- Захистіть адміністраторську частина сайту.
Зловмисники можуть використовувати брутфорс-атаки, суть яких полягає в підборі адміністраторських логіна і пароля. Щоб цього не сталося, використовуйте плагін askapache-password-protect.
Цей плагін, створює файли .htpasswd і .htaccess в головних папках сайту, в яких приписує логін і пароль, додатково встановлені Вами і запитує їх кожен раз при спробі отримати доступ до адмінки.
Ну, ось, тепер в адмінку, не знаючи пароля, швидше за все ніхто не потрапить.
За замовчуванням префікс WordPress таблиць wp_, тобто все таблиці в базі починаються з цих символів.
Більшість ботів, що використовують SQL-ін'єкцію (SQL-Injections) уразливості, застосовують стандартні імена таблиць. Змінивши їх префікс, ми знизимо ризики злому сайту хакерськими ботами і самими хакерами.
- Якщо WordPress ще не встановлено. то необхідно відредагувати файл wp_config.php. Знайдіть рядок:
І поміняйте її на:
Далі можна встановити WordPress звичайним способом.
Імена і кількість таблиць залежать від встановленої версії WordPress.
Але, звичайно, їх десять:
Поміняйте, також, кілька записів у таблиці wp_options (myprefix_options):
А можна не паритися і встановити плагін WP-Prefix-changer - wp-prefix-changer-v11-released. який зробить все автоматично.
Увага!
Перш, ніж виконати будь-які дії з базою даних, обов'язково зробіть бекап вашої бази.
Якщо ваш сайт вже працює, не варто його чіпати. Хай вже буде, як є.
Ризик злому не такий великий, а зіпсувати все дуже легко.
Якщо спроби потрапити в адмінку відбуваються неодноразово - плагін інтерпретує їх як брутфорс-атаки і блокує IP, з яких вони відбуваються. Кількість невдалих спроб і час блокування налаштовуються в параметрах плагіна.
Завжди корисно дізнатися першим про те, що в якийсь файл впроваджений сторонній код (вірус і т.п.) і вжити відповідних заходів. У цьому нам може допомогти плагін Belavir - belavir. який покаже, які файли Вордпресс або вашої теми змінилися.
Інформація про змінені файлах відобразиться в адмінці сайту - в Консолі - в колонці «Поточний стан блогу».
У всіх версіях WordPress (та й всіх інших двигунах) є діри. На жаль, не всі вони знайдені і відомі. Зловмисник може виявити вразливість і сформувати спеціальний запит до вашого сайту і тим самим, наприклад, отримати адмінських доступ. А що він може зробити, зайшовши в адмінку, складно навіть уявити.
Щоб захистити свій сайт від таких непроханих гостей, скачайте плагін anti-xss-attack - і встановіть його. Плагін не потребує налаштування і починає працювати відразу ж після активації.
Головним завданням плагіна є сканування встановленої версії системи і перевірка її на можливі прогалини в безпеці. Цей плагін вважається одним з кращих по забезпеченню безпеки сайтів на WordPress. Він перевіряє велику кількість параметрів безпеки, починаючи від версії WP і закінчуючи дозволом доступу до файлів і безпекою бази даних.
Віруси, черв'яки і шкідливі програми можуть бути впроваджені в WordPress і здатні порушити роботу вашого сайту. Щоб цього не сталося встановіть плагін antivirus для WordPress. Він моніторить стан сайту і попереджає про будь-яких можливих нападах.
Повідомлення про помилки входу в адмінку, як правило, містять багато корисної інформації не тільки для вас, але і для бажаючих зламати наш сайт. Тому, краще їх відключити. Для відключення повідомлень про помилки зручно використовувати плагін bs-wp-noerror.
Якщо хто то отримає дані доступу до вашого сайту з Вашого FTP-клієнта (а вони знаходяться там в незашифрованому вигляді), то одночасно він отримає повне управління над усіма файлами на Вашому сервері. Тому, якщо хостинг надає Shell-доступ, обов'язково скористайтеся цією можливістю.
Shell-доступ реалізується по протоколу https. Їм можна користуватися і для входу в WordPress.
Для Shell-доступу можна використовувати програми Putty або Winscp (для Windows). Пароль в цих програмах шифрується.
Далі потрібно повністю закрити доступ до сайту по FTP. Для цього в корені сайту створіть файл .htaccess, в якому пропишіть такий код:
Не використовуйте програму TotalComander для з'єднання з FTP - через неї дуже просто вкрасти паролі. Є кілька непоганих програм для роботи з FTP. Якщо ваш хостер не надає Shell-доступ, користуйтеся краще ними.
Для цього існує класний плагін wp-spamfree. діючий проти автоматичного спаму.
Якщо ж все вище написане не допомогло і сайт все-таки був зламаний, для його відновлення потрібен буде бекап бази даних. Подбайте про те, щоб зробити його заздалегідь. Для цього можна використовувати плагін WordPress Database Backup.
Крім бази даних, збережіть на жорсткий диск свого комп'ютера папку з вашою темою, всі плагіни і всі додаткові файли. htaccess, robots.txt і wp-config.php.
Наявність всіх цих файлів допоможе вам швидко відновити свій сайт в разі аварії на сервері або зараження вірусом.
Ось ще один плагін для бекапа BackUpWordPress.
Цей плагін робить не просто бекап бази даних, а повну резервну копію всього вашого блогу. Він зберігає базу даних, плагіни, файли самого WP і файли які ви завантажували в ваш блог. У ньому є безліч налаштувань, що стосуються автоматизації бекапа, повідомлення про зроблені бекап і відновлення з резервної копії. Вообщем, в плагін є багато цікавих і корисних функцій.
Удачі вам в нелегкій справі захисту свого сайту!
Щиро сподіваюся, що все, написане вище вам допоможе.
Скачайте пак, описаних в пості плагінів, по посиланню нижче ↓
Вже завантажили 183 раз (а)
відкрити ↓
Для цього існує корисний плагін Login LockDown. Він допомагає захиститися від підбору пароля і логіна до адмінки, фіксуючи все IP, з яких намагаються отримати доступ до адмінській частини.
А ось, якщо хтось заходить в адмінку вашого сайту під вашим логіном і паролем, тоді варто ще і свій комп'ютер перевірити на віруси і трояни, а після цього обов'язково змінити пароль від адмінки і всі інші паролі також.
Скажіть у Вас є сайти де дозволена реєстрація відвідувачів, ось мені потрібно б дозволити але Ви пишіть що не бажано. Не невже все так безнадійно?
Є один сайт.
За 3 роки існування його ніхто не зламав.
Дякую за корисну інформацію.
Дуже допомогли деякі плагіни
підкажіть як найкраще прибрати в вихідному коді сторінки всі згадки про версії движка. це теж не варто бачити хакерам, я правильно мислю?
Читайте продовження посту - там написано.
That takes us up to the next level. Great potsing!
Це переводить нас на наступний рівень знань. Відмінний пост!
я застосував ваші поради щодо захисту сайту і почалися проблеми
1-перестали виводитися картинки в ноткапче?
2-при включенні WP Security Scan анівіруснік блокує (непросто блокує а закриває наглухо) сторінку, пише сильна загроза і.т.д (norton 360)?
3-після активації wpantivirus через деякий час (не відразу) з'явився напис про підозру на зараження?
можливо ваші посилання на Плаг з заразою?
перестали виводитися картинки в ноткапче
Модулі часто конфліктують один з одним.
Вирішуйте самі, який з них вам потрібніше.
при включенні WP Security Scan анівіруснік блокує (непросто блокує а закриває наглухо) сторінку, пише сильна загроза і.т.д (norton 360)?
Яку сторінку?
Який антивирусник - плагін або на комп'ютері?
після активації wpantivirus через деякий час (не відразу) з'явився напис про підозру на зараження?
Знову таки, де з'явилася?
На сайті?
Взагалі, він дуже консервативний і б'є на сполох з приводу будь-якого, незнайомого йому коду.
Сам плагін нічого не вирішує, тільки сканує файли на сервері.
Вирішити, що з виявленого їм, є небезпечним, а що ні, можете тільки ви.
можливо ваші посилання на Плаг з заразою?
Неможливо.
Посилання ведуть на сайти розробників плагінів і в репозиторій плагінів wordpress.org, а не на виразника.
при включенні WP Security Scan анівіруснік блокує (непросто блокує а закриває наглухо) сторінку, пише сильна загроза і.т.д (norton 360)?
Яку сторінку?
Який антивирусник - плагін або на комп'ютері?
1 з адмінки при переході на сайт
2 на комп'ютері (norton 360 5.0)
3 видалив WP Security Scan і все стихло, плагін wpantivirus теж заспокоївся
Я Ксана
(В миру Людмила) - веб дизайнер і розробник сайтів.
На цьому блозі я пишу про Wordpress - про створення, підтримки і просування сайтів на цьому движку, про плагіни і темах для нього, про дизайн та верстку.
Розповідаю, також, про свій досвід з видобутку грошей в мережі.
Сподіваюся, це все вам буде цікаво.
- Жіноча тема Sabrina Premium
Тема City News Тема призначена для блогу, новинного сайту або міського порталу. Виконана в «журнальному» стилі. Головна: Сторінка окремої.
Розробка кулінарного сайту Рецепти для мультиварки. Особливості: - Адаптивна верстка. - Сторінка для друку. - Різні типи контенту.
Приєднуйтесь до мене!
2 047 учасників