Безопасный блог на WordPress

Читайте гостевой пост Дмитрия Донченко. Редкий случай, когда у меня в блоге освещаются технические моменты блоггинга. Тем более есть смысл прочитать и взять себе на заметку. Я уже взял.

***
Уже были случаи, когда блоги взламывали и дефейсили (на страничке взломанного блога пишут какую-нибудь гадость или размещают картинку, прописывают рекламные ссылки или еще как-нибудь «шалят»).

В худшем же случае вы можете лишиться всех записей, комментариев и вообще всей информации, которая хранится в базе данных блога. Либо в код блога пропишут вредоносный код, который будет забрасывать вирусы посетителям, ну и еще много всяких неприятностей может случится, если злоумышленники доберутся до вашего блога.

Для того, чтобы такого не случалось, предлагаю побеспокоиться о безопасности автономного блога на WordPress заранее:

  1. Вспомните, когда вы последний раз меняли пароль к панели администрирования вашего блога? Никогда? И еще, пароль к такой важной части вашего блога обязательно должен быть не короче 6 символов и содержать буквы и цифры. Желательно изменять его если не каждый месяц, то раз в 3 месяца точно.
  2. Ограничьте доступ к папке wp-admin. Тогда, даже если злоумышленник каким-то образом раздобыл ваш пароль, при правильно настроенном ограничении доступа попасть в панель администрирования у него не получится.
  3. Ограничение доступа может быть произведено по IP-адресу, если у вас статический IP-адрес, либо с помощью установки дополнительного пароля, на вход в директорию wp-admin. Для этого либо пропишите необходимые настройки в файле .htaccess либо воспользуйтесь плагином AskApache.
  4. Если по какой-то причине у вас не получается ограничить доступ к папке wp-admin по IP-адресу или дополнительному паролю, вы можете установить плагин Login Lockdown который регистрирует неудачные попытки авторизации и после заданного числа, блокирует IP-адрес.
  5. Попробуйте открыть ссылку вида: http://вашблог.ком/wp-content/plugins/, что вы видите? Правильно: вы видите список файликов и папочек, это ваши плагины. Данная информация облегчает задачу по взлому блога, т.к. некоторые из плагинов могут содержать уязвимости. Чтобы больше на ваши плагины никто не смотрел, запретите отображение содержимого папок в файле .htaccess, либо просто создайте пустой файл wp-content/plugins/index.html.
  6. Вы можете убрать строчку «< meta name=”generator” content=”WordPress ” />» из файла header.php в шаблонах блога, это затруднит идентификацию блога и поиск уязвимостей по версии блога, хотя если вы будете следовать следующему совету, эту строку можно не удалять.
  7. Следите за обновлениями плагинов и самого WordPress. Если до этого были найдены какие-то уязвимости, разработчики всегда пытаются исправить их в новых версиях. Сейчас следить за обновлениями не сложно, WordPress сам сообщает вам в панели администрирования, когда появляется новая версия. Ваша задача просто обновить блог.
  8. Сделайте ревизию плагинов и отключите те, которыми вы не пользуетесь.

Это основные советы, которые помогут вам избежать неприятностей и обезопасить свой блог от взлома. Уверен, что их можно дополнить и написать новые методы и способы, пишите!

       

43 комментария на запись “Безопасный блог на WordPress”

  1. Сергей Гладилин пишет:

    По-моему, первым пунктом должен быть:
    0. Регулярно выполняйте резервное копирование базы данных. Тогда в случае взлома вам будет, к чему вернуться

  2. IDW пишет:

    пункт 5, у меня пишут, что нет прав

    пункт 7, обновлялся до 2.3.3 вчера после 2-х часов после выпуска обновления 😛

  3. dmitriy.donchenko пишет:

    2Сергей: Безусловно вопрос резервного копирования очень важен, но как быть если взлом уже случился, и он был скрытый, т.к. в какой-то из ваших постов, вписали код с вирусом или еще чем-то гадким. И после этого вы сделали резервную копию уже поломанного блога. Врачи говорят, что лучше профилактика чем лечение 😉

    2IDW: Значит настройки по запрету индексов есть где-то в настройках сервера который обслуживает ваш блог. Тем лучше для вас 😉

  4. socks5 proxy blog пишет:

    палю тему статья про взлом вордпресса была в хакере

  5. dimka пишет:

    Хороша подборка, даже не знаю что и добавить, но регулярное резервное копирование всегда помогает. Сразу из панели управления сайтом можно делать бекпы, или бекапы по расписанию, тоже удобная штука с отправкой файла бекапа на почту, например gmail.

  6. Tod пишет:

    5. Можно наверное и индекс.пхп добавить, тем более что его пример есть в папке wp-content.
    зы. фраза типа «пропишите необходимые настройки в файле .htaccess» мне почти ни о чем не говорит:) можно было бы чуть поподробней расписать.

  7. Tod пишет:

    Прошу прощения за дезинформацию, индекс.пхп в п.5 не сработает.

  8. Андрей пишет:

    Хорошая информация, в заметки и в работу! куча народа сидит и гадит другим ради собственного морального удовлетворения

  9. arry пишет:

    статья правильная в целом, тока я рекомендовал бы читать первоисточник wordpress.org

  10. Юрий Курилов пишет:

    Я бы к этому еще добавил: «Подходите ответственно к выбору провайдера». Вы можете очень хорошо защитить свой блог всеми вышеописанными способами, но если кто-то сломает провайдера, то они вам не помогут. 🙂

  11. alex_deu пишет:

    прекрасные советы, спасибо, но, как уже написали выше —
    самый главный совет почему-то упустили — банальный регулярный backup. и все хакеры со своими пакостями идут лесом.

  12. IDW пишет:

    А если хостинг отберут?

    Или домен спионерят? Пока будете разбираться, все скажут что вас больше нет, и все дела.

  13. Дмитрий Донченко пишет:

    Про бэкап действительно нужно было написать, судя из комментов. Просто счел это настолько банальным пунктом, что не стал его описывать.

    А что значит хостинг отберут или домен спионерят?

  14. al777 пишет:

    Статья интересная и познавательная, все 8 пунктов, пятый пункт хоть и дезинформация, стоят того, чтобы их прочитать и принять советы.

  15. Дмитрий Донченко пишет:

    5-й пункт, совсем не дезинформация.

    Попробуйте в разных блогах открывать эту папочку, я думаю что найдутся те у которых она не закрыта.

  16. dimaka пишет:

    Огромное спасибо за советы. Через .htaccess разрешил доступ к wp-admin только для моего IP и сплю спокойно.

  17. Alexey пишет:

    […]должен быть не короче 6 символов и содержать буквы и цифры. Желательно изменять его если не каждый месяц, то раз в 3 месяца точно. […]
    C этим даже у мя проблемки…

  18. majormo пишет:

    Спасибо!!! Советы очень ценные!!!

  19. andrew пишет:

    Хороший дизайн у Вас

  20. topick пишет:

    Спасибо вам!!!

  21. продвижение пишет:

    у меня ещё никогда блог не взламывали
    я вообще не представляю, каким образом его можно взломать 🙂
    да и мне незачем беспокоиться, потому что сервера то не мои, а хостера

  22. Дмитрий Донченко пишет:

    Опасаться нужно не за сервера, а за данные Вашего блога, потому как при взломе, злоумышленники могут:

    1. Удалить все записи.
    2. Вставить в шаблон ссылки на вирусные сайты и тп.

    В последнюю очередь боятся будут хостеры 🙂

  23. Kobik пишет:

    Мне кажется достаточно просто обновлять вордпресс, а остальное имхо параноя

  24. lublurossiju пишет:

    а на Linux сервер это не более безопасно?

  25. webernie пишет:

    Никогда бы не подумал, что все так серьезно… Спасибо за информацию.
    Пункт #5 надо будет обязательно выполнить.

  26. Shoper пишет:

    Полезные советы! Но еще не забывайте про права доступа. Лишние 777 на всех папках явно еще одна дырка для хакера. Лучше вообще не ставить больше, чем 755 на папки и 666 на файлы. а wp-config.php вообще безопасней всего поставить 644.

  27. promo-провод пишет:

    Спасибо за наводку на Login Lockdown — прежде не слышал, поставил

  28. erty root пишет:

    а я бы вам не рекомендовал торопиться с обновлением. новые версии пошли еще хуже старых, и в смысле защищенности тоже.

  29. fix пишет:

    Спасибо за совет!

  30. Emka пишет:

    Здравствуйте. Дмитрий Донченко РЕСПЕКТ тебе доступно обьясняешь !!!

  31. Андрей пишет:

    помоему данная статья достоина того что задуматься и вспомнить о безопасности

  32. Сергей пишет:

    Да безопасность превыше всего.

  33. All-Sot пишет:

    подскажите как в хитачес прописать доступ только по одному айпишнику?

Tweetbacks к записи “Безопасный блог на WordPress”

Оставить комментарий

Перед тем как оставить комментарий, прочтите правила.
  1. Запрещены оскорбительные и необоснованные высказывания в адрес собеседников.
  2. Запрещено умышленно подписываться чужим именем (человека, который присутствует в блоге).
  3. Запрещено использовать ники, созданные из ключевых слов для SEO, в сочетании с URL сайтов аналогичного написания.
  4. По умолчанию запрещены ссылки в теле комментариев. Комментарий может быть отредактирован на первый раз (ссылка удалена), на второй раз комментарий удаляется целиком.
  5. Запрещены искусственные “комментарии”, созданные подряд в разных статьях с интервалом менее 2 минут.
  6. За любое нарушение пп. 1-5 комментарии удаляются без объяснения причин, пользователю делается предупреждение.
  7. Ссылки в подписи автора должны вести на личный блог автора или тематический блог, который ведет автор комментария. Все остальные ссылки, включая ссылки на сплоги, будут удаляться.
  8. Комментарии, не относящиеся к теме статьи (оффтоп), могут быть удалены.
  9. За систематическое нарушение правил (3 и более раз) пользователь банится.
Список правил может дополняться, изменяться в любой момент.
Для вашего удобства лучше всего зарегистрироваться в блоге.

 

Закрыть
E-mail It