Добрый день, дорогие друзья! В прошлой статье мы развеяли мифы о безопасности сайта на WordPress. Сегодня продолжим тему и разберем, как защитить сайт от взлома.
Вы узнаете о нескольких практических способах защиты вашего ресурса.
Конечно, хакер-профессионал взломает почти любой блог, но стоит все же усложнить ему задачу по максимуму.
В этом случае будет шанс, что взломщик оставит ваш сайт в покое и отправится искать более легкую добычу. Защита сайта или блога — важный момент и ему стоит уделить внимание.
Как защитить сайт
1. Сложный пароль
Как создать надежный пароль я уже рассказывала, вы можете прочитать об этом здесь. Но хочется добавить еще несколько моментов. Не используйте один и тот же пароль для нескольких сайтов и сервисов.
Не сохраняйте пароли в браузере. Это очень удобная функция, особенно если вы заходите постоянно на одни и те же сайты, и многие ей пользуются (и я не исключение 🙂 , но постепенно удаляю пароли, особенно от наиболее важных для меня ресурсов).
Но помните, что тем самым вы делаете ваши данные доступными для любого, в чьи руки попадет ваш компьютер.
Кроме того, получить доступ к вашим данным можно и удаленно, при помощи трояна или перехвата трафика в открытой сети Wi-Fi. Поэтому стоит все же дважды подумать, перед тем как сохранить пароль в браузере. Если у Вас много паролей и Вы не можете их запомнить, используйте менеджер паролей.
Периодически стоит менять пароли, даже если они надежные.
2. Резервное копирование файлов и баз данных
Конечно, многие хостинги предлагают услугу резервного копирования, но на любом хостинге может
случиться авария, что приведет к потере баз данных. Поэтому лучше подстраховаться и все сделать самим.
В базе данных хранятся все записи, комментарии и ссылки блога. В случае повреждения базы данных, вы потеряете все написанное.
Резервные копии стоит делать регулярно и хранить минимум 3 последние копии в разных местах и на разных носителях.
Скачиваем плагин из админки и активируем. Плагин создает резервные копии базы данных, а также всех файлов блога.
Укажите свой электронный адрес, чтобы получать копии на почту и задайте периодичность. Бекап базы данных лучше делать каждый день, а бэкап всех файлов чуть реже, например, раз в неделю.
Бэкап файлов также можно сделать самостоятельно. Для этого нам понадобится FTP-менеджер. Я использую FileZilla. Для создания копии файлов подключаемся к серверу хостинга.
В настройках в меню «Сервер» включаем «Принудительно отображать скрытые файлы». Затем вы выделяете все файлы на вашего блога на хостинге, щелкаете правой кнопкой мышки и выбираете скачать.
Предварительно рекомендую создать отдельную папку на компьютере, где будут храниться все резервные копии. А внутри этой папки создавать папки с датой, когда вы делаете копирование и туда скачивать файлы.
И не храните пароль от хостинга в FTP-менеджере. Лучше потратить лишнюю минуту и ввести его заново.
3. Изменение логина
По умолчанию у всех стоит логин Admin для попадания в панель WordPress, что очень упрощает работу хакерам. Логин им уже известен и остается только подобрать пароль, который очень часто довольно простой.
Чтобы изменить логин, вам надо зайти в панель управления хостингом и открыть PHPmyAdmin.
Открываете вашу базу данных и выбираете пункт «wp-users». Нажимаем изменить и вместо admin пишем другой логин. Новый логин нужно прописать в двух местах.
В моем хостинге эти пункты называются: user_login и user_nicename. При этом login и nicename я сделала разными. И не забудьте сохранить изменения.
4. Версия WordPress
Удалите из корневой папки вашего блога файлы Readme.txt и License.txt, чтобы хакеры не узнали вашу версию WordPress.
С этой же целью в файле header.php стоит удалить следующую строку:
<meta name=”generator” content=”WordPress <?php bloginfo (’version’); ?>” />
5. Плагины для защиты блога
Плагин AntiVirus — проверяет шаблон на наличие вредоносных кодов. Проверку можно осуществлять как в ручном, так и в автоматическом режиме. Если все в порядке, то все разделы будут зеленые. Если же плагин найдет подозрительный код, он выделит его красным.
Плагин Block Bed Queries. Часто злоумышленники получают доступ к блогу, используя специальные запросы, чтобы найти уязвимые места. Плагин BBQ защищает от потенциально опасных запросов.
И очень рекомендую плагин Ithemes Security (бывший Better WP Security). У него широкие возможности по защите вашего блога.
Вот только некоторые из них:
- указывает наличие уязвимостей и исправляет их;
- меняет префикс базы данных;
- ограничивает количество попыток ввода пароля и блокирует пользователя, уоторый пытается подобрать пароль к вашей админ-панели;
- создает резервную копию баз данных;
- скрывает ссылку для входа в Админ-панель. Вы сами создаете новую ссылку, и таким образом другие не смогут попасть на страницу ввода логина и пароля.
Кроме этого предлагаю Вам избавиться от спамных комментариев.
6. Проверка на наличие вирусов
Установите на компьютер антивирус и регулярно выполняйте проверку.
Регулярно проверяйте нет ли сообщений о проблемах и вирусах в Инструментах вебмастеров от Яндекса и Гугла.
Для этого в Яндекс.Вебмастер зайдите в раздел Безопасность, а в инструментах веб-мастеров Гугл в раздел Проблемы Безопасности. Если Вы увидите сообщение, что проблем не обнаружено, то значит все в порядке.
7. Обновление плагинов и движка
Как только появляется новая версия движка WordPress или обновления для плагинов, обновляйте. Новые версии более надежны, так как разработчики устраняют многие уязвимости. Но перед обновлением не забывайте делать резервную копию сайта.
Это простые и необходимые способы, которые помогут защитить сайт или блог от взлома. А какой способ используете вы? Считаете ли вы, что защита сайта важно и стоит о ней позаботиться?
Как всегда очень полезные советы. Так же хочу сказать, что нужно регулярно обновлять версию WordPress. Это очень важно, так как новые версии, как правило лучше защищены.
Альберт полностью согласна, нужно обновлять вордпресс и плагины
Многие даже не знают, что обновление WP — это улучшение защиты.
Сама это узнала не так давно.
Согласна, нужно периодически обновляться, это дополнительно помогает защите.
Спасибо за советики! Вот со сложными паролями у меня беда, ну не люблю я их всё! Хотя безопасность превыше всего, однозначно! 😉 А вот логин я сразу изменила, только вот его можно и здесь в комментариях легко увидеть!?
Юль, у меня тоже со сложными паролями не складывается, как и с их разнообразием. 🙄 Но мне кажется, если кому-то действительно нужно будет взломать пароль, то это не составит слишком много труда.
Согласна, сложный пароль тоже не гарантия безопасности, но все же лучше, чем ничего. Я тоже не люблю сложные пароли, но для блога придумала очень сложный символов на 20.
А я как раз доверяю бумажным носителям, все коды и пароли записываю. За моим компом работаю только я, но все равно — ничего на нем такого не храню.
И сына приучила — для своих всех дел и профилей тоже в блокнотик записывать, хотя он все и по памяти помнит.
А вот резервное копирование — иногда забываю делать.
Я в последнее время тоже стала записывать в ежедневник все свои пароли, потому как их скопилось уже ну очень много и все их в голове не удержать, а всяким запороленным вордовским файлам я вообще не доверяю, так как программ для их распороливания куча. Каждый год меняю ежедневник и все пароли аккуратно переносятся в новый.
В комментариях можно отображать имя или любой ник, который не будет иметь отношения к логину 🙂
Очень хорошие советы.Я бы ещё по советовал,ни в коем случае не одобрять комментарии с разными вставленными тегами и прочими ссылками,так как злоумышленников сейчас очень много.
Максим, спасибо за совет
С плагином Инвизибл капча такие комменты сразу идут в спам (или корзину — как настроишь).
Мне этот плагин тоже очень нравится. Все делает за нас 🙂
Я никогда не одобряю комментарии ссылками, разве что в виде исключения, комментарии проверенных людей
Очень дельные советы. Пароли храню в браузере только на собственном компьютере. Когда работала, на компьютере после себя очищала список посещенных сайтов и куки. Плагин считаю очень нужным, потому что порой в скриптах, которые мы себе вставляем на блог, содержатся вирусы, а мы об этом и не знаем.
Ой, как много всего можно сделать. Я, лентяйка, и половины не делаю :(…
Блин, за полтора месяца так ничего и не сделала, хотя собиралась. Вдвойне лентяйка! 👿
Мне каждый день отчеты приходят о попытке взлома админки, так что безопасностью пренебрегать не стоит
Женя, мне тоже стали приходить предупреждения,что кто то пытается войти в админпанель, так что твои рекомендации мне кстати. Занесла тебя в закладки, буду работать.Спасибо, все твои статьи очень полезны. 🙂
Спасибо, Наталья! Мне в защите очень помогает плагин Better WP Security, у него просто масса возможностей.
Еще хотелось бы добавить. Пороли на электронных ящиках периодически меняйте. Обязательно прикрепите к ним свой номер телефона.
Вот менять никак не приучусь, а надо бы
Очень хороший совет, Наталья! Только вот у меня тоже всё руки не доходят менять эти пароли. Ладно хоть телефоны привязала!
У меня на почте тоже пароль один и тот же уже давно стоит, надо поменять 🙂
А Вы не могли бы подсказать, что означает эта строка в файле header.php, которую нужно удалить? А вдруг она для чего-то там нужна
Она как раз указывает, какая версия вордпресс у вас установлена, я ее удалила без проблем, но конечно, сначала стоит сохранить исходный вариант файла, прежде чем вносить какие-либо изменения, мало ли что
Когда ж успевать всем заниматься — и пароли менять, и статьи новые писать, и сайт продвигать? 😕
Беру на заметку — рутинная,но нужная вещь защита от взлома.
По поводу второго пункта, забыл как называется плагин…. Очень удобная вещь… Создает полную резервную копию блога и автоматом заливает ее на дропбокс, можно настраивать расписание и прочие прелести. Вспомню, обязательно напишу.
за видио спасибо. танцующий пони это прикольно
А у меня хостер автоматически каждый день делает бекап и доступен он 3 дня, поэтому я не волнуюсь на эту тему. Да и многие хостинги делают такую услугу, очень полезна.
У меня тоже хостинг делает бекапы, но и с хостингом может всякое случится, поэтому лучше иметь самой резервные копии.
А я вот делаю резервное копирование. и пароль ввожу каждый раз с клавиатуры. не сохраняю его. На прошлой неделе заметила что на скрытой странице стали появляться комментарии с «левых сайтов». После добавления первого коммента на моем блоге автоматически должна появляться страница благодарности за первый комментарий. но это же за добавление к любому моему посту. а тут как будто кто сломал и комменты добавляются именно к странице благодарности за первый комментарий. я в панике. что произошло не пойму. написала в тех поддержку на хостинге, порекомендовали заблокировать ip с которого приходят такие комментарии. как оказалось с одного и то го же ip, но типа разными ссылками на сайты. непонятной тематики. 💡
Спасибо за статью,Евгения! Некоторые советы взяла на заметку.
У меня вопрос — резервное копирование. Если сделали новое копирование, предыдущее ведь можно удалить?
И ещё. Плагин Антивирус. Надо чтобы он был постоянно включен или можно его включать время от времени — проверил и отключил?
У меня он постоянно включен, но думаю, можно и отключать. Главное, не забывать периодически включать и проверять блог
Это как с битыми ссылками, я раз в неделю проверяю. Также и с этим плагином можно!
Очень подробная статья. Спасибо, Евгения. Кладу в закладки. Особенно со сменой логина. Так просто все объяснили. На другом сайте читала — ничего не могла понять, а теперь попробую это сделать 🙂
Надо делать сложный пароль и менять его почаще.
Лучше всегда делать резервную копию, это сохранит сайт в любом случае)
Вот это действительно актуальная информация для меня. Спасибо большое за советы нужные!.. недавно у меня был очередной взлом сайта, после чего были обнаружены дарвеи и по этой причине сайт потерял почти 80% трафика (с 1000 уников до 200 в сутки).
Защита нужна, особенно при создании авторского контента.
От роботов и горе-хакеров должно помочь. Спасибо!
Не смогла сразу все запомнить и освоить, поставлю вашу страничку в закладки, очень нужная информация.
Защита сайта — это важный этап в его проектировании и эксплуатации.
Спасибо за советы
Начинающим модератора статья будет весьма интересна. Улыбнул момент с логином Admin 🙂 У самой раньше был такой :)))
Жень, у меня вопрос по поводу плагина WordPress Database Backup. Его установишь, отметишь, допустим каждый день и он сам будет делать резервное копирование и каждый день присылать на почту и самой больше не надо ничего делать?
И можно в двух словах о плагине, который у тебя установлен Better WP Security, я просто незнаю, что все таки лучше для защиты поставить.
Да, надо просто указать как часто нужно присылать резервную копию (лучше каждый день) и свой мейл, и плагин все сам будет делать.
Если установишь его, то WP Database Backup не нужен, так как в Better WP Security есть эта функция. Его возможности очень широки, он хорошо защищает и заменяет несколько плагинов.
Женечка, спасибо большое, буду этим заниматься, потому что очень актуально сейчас.
Спасибо Жень, справилась за час и все установила, дольше думала и боялась. 🙄
У меня так же было. Я несколько раз о плагине читала, но все боялась установить, а потом все же решилась и очень довольна
Жень, хотела изменить свой логин, но таких файлов не нашла, что у тебя в статье описаны. Думаю, может не так что то поняла, написала в техподдержку, (у меня Спринтхост), и вот что они мне прислали:»Логин автоматически создаётся используя домен указанный при оформлении заказа. Возможность изменения логина, к сожалению, не предусмотрена.» Глупо как то, да?
Про сохранение резервных копий спрашивать теперь расхотела.. Значит придется все таки плагин устанавливать, чтоб уж точно знать и быть спокойной.
Наташ, мне кажется это они тебе ответили по поводу логина для входа на хостинг, а изменить нужно логин для входа в админ панель WordPress, логин к ней можно поменять в любом хостинге.
Да Жень, наверное так и есть,я что то не подумала что они могли иметь ввиду вход на хостинг. Спасибо тебе за подсказку! 😛
Привык защищать сайт с помощью htaccess прописываю доступ к админ-панели, к файлу wp-config.php и к каталогу wp-admin, только с определенного IP-адреса или диапазона адресов.
О Readme.txt и License.txt не знала. Посмотрела в корень своего сайта на сервере, нашла License.txt и удалила. А вместо Readme.txt у меня оказался Readme.html — удалила и его ))
При этом удалять надо после каждого обновления движка, так как после обновления они снова появляются
Хорошая статья. Я ещё раз понял, что не зря удалил все пароли от сайтов из всех программ и файлов.
1. Пароли всегда делаю очень сложные. У меня нет паролей, короче двенадцати символов. Есть даже один пароль, состоящий из пятидесяти символов :-). Я работаю по такому правилу: придумываю текст из Русских слов, после чего записываю в Английской раскладке Русскими буквами.
Вот раньше я тоже любил сохранять пароли. Несколько дней назад от хостинга и сайта удалил.
2. Бекап на хостинге сохраняется каждый день, причём один хранится на том же сервере, что и сайт, а другая — на их бекап-сервере, к которому доступа нет. Можно оттуда скачать бекап только через админку.
Кроме этого я сохраняю бекап к себе на локальный диск «Д» своего компьютера и ставлю пароль на архив.
3. Логины Admin и Админ никогда не использую, потому что уже где-то год назад об этом узнал.
4. Так как я WordPress не использую, этой проблемы нет: версия движка, которого я использую, нигде не упоминается.
5. Плагинов этих нет.
Я бы еще посоветовал регулярно обновлять движок сайта и плагины. Поскольку Вордпресс не совершенен и имеет «дыры» в коде, через которые нехорошие люди взламывают сайты. В новых версиях этих дыр как правило меньше.
Согласна, сама сразу же обновляю и движок, и плагины.
Приму к сведению!
Бывает так, что не обновляю подолгу. 😐
И еще сложный пароль к админке хостинга, ограничение на FTP и хороший антивирус на компьютере. Тогда ваш блог точно защищен
Данил, а что означает ограничение на FTP?
Начал задумываться о защите своего блога и решали поискать, но не в яндексе, а сначала по блогам которые читаю. Интересный пост. Все вопросы которые себе задавал тут отражены. Будем защищать блог. Спасибо за качественную информацию.
Самая актуальная статья для меня.
А то, наделала блогов, а вдруг чей злой глаз не так посмотрит!
Начинаю изучать и применять!
Спасибо огромное, Евгения!
Здравствуйте, Евгения!
Вижу, на Вашем блоге много хороших статей!
Буду внимательнее читать, знакомиться, использовать в работе.
А защита блога — первое дело!
Хороший блог, интересные статьи, буду чаще заходить в гости!
Жень подскажи пожалуйста, как чистить логи, если установлен плагин Better WP Security?
И вообще что такое эти логи, никак не пойму?
Это длинный список файлов, которые присылают на почту?
Извини пож. за одни вопросы, но мне нужно за это взяться. 😮
Женя, большое спасибо за видео, с плагином Better WP Security разобралась, кое что изменила и проставила галочки. И… наконец то почистила логи!!! Там было много чего чистить 😯
Спасибо тебе!! ну и я молодец тоже, уфффф, гора с плеч!! ❗
Наташ, рада, что все получилось :)!
С твоей помощью Женечка все всегда получается 😉