«

»

Ноя 18 2014

Как защитить сайт от взлома правильно?

Как защитить сайт от взлома правильно.Привет-привет всем моим посетителям. Я рад снова видеть вас на блоге boqdanov.ru. Давайте сегодня поговорим о том, как защитить сайт от взлома. Это достаточно важная тема, которую необходимо обязательно изучить и применить на своем веб-ресурсеКаждый день нехорошие люди (хакеры) делают попытки взлома миллиона сайтов. Статистика говорит, что 30% из этих попыток оканчиваются удачей.
Все это происходит из-за того, что владельцы сайтов пренебрегают элементарными правилами безопасности.

Ваш сайт можно сравнить с домашним животным, который нуждается в постоянном внимании и уходе. Вы думаете, что ваш веб-ресурс не представляет никакой ценности, зачем его будут взламывать. Вот после раскрутки сайта можно подумать и о безопасности. Я больше чем уверен, основной список дел, который вы каждый день выполняете, состоит из проверки электронной почты, просмотра позиций сайта, ответы на комментарии, написание интересного поста и т.д. Но представьте на минутку, что ваш веб-ресурс взломали и вся ваша работа в одну секунду уничтожена.Защищаем сайт от взлома правильно

Тут-то ваш список дел резко изменится и придется начинать все с самого начала. Большинство просто бросают эту затею. Вот поэтому защита WordPress очень важна, тем более это не займет много времени и не обязательно знать язык программирования.

Как защитить сайт от взлома?

Почему нехорошие люди (хакеры) хотят взломать ваш сайт?

Notice

  • Внедрить ссылки на другой сайт (платные ссылки). Вы даже будете не знать, что с вашего сайта идет продажа ссылок.
  • Угнать ваш сайт из-за трафика.
  • Из-за содержимого на сайте.
  • Получить адреса всех зарегистрированных пользователей.
  • Использовать ваш сервер для рассылки спама или хранения файлов нелегального характера.
  • Банальная человеческая зависть. Если ваш сайт достаточно раскручен, конкурент может специально заказать взлом.
  • И конечно же, просто для удовольствия.

Вы до сих пор думаете, что ваш сайт никому не нужен?

Как защитить WordPress от взлома?

1. Создать надежный пароль.

Это самый простой, но действенный способ для обеспечения безопасности веб-ресурса. Многие указывают не сложный пароль специально, чтобы его ввод не занимал слишком много времени. Каждый из ваших сайтов должен иметь разный пароль. Постарайтесь, чтобы пароль был длиной не менее 15 символов и состоял из букв, цифр и знаковПароль такого вида не подойдет, его ломают в два счета:

Notice

пароль
password123
привет
hello123
QWERTY
QWERTYUIOP
твое имя
название компании.

Защищаем сайт
В большинстве случаев люди, которые хотят взломать ваш сайт, на самом деле не люди, это роботы. Эти боты идут на страницу входа в систему, устанавливают имя администратора и начинают подбор с самых простых комбинаций. Ваш пароль — это первая и самая важная ступень в защите от хакеровНе храните файл с паролями на электронной почте или на компьютере. Самое надежное место — это ваша голова и обычный блокнот.

2. Обновление WordPress.

Когда речь доходит до обновления WordPress, многие люди попросту не делают этоЛибо не хотят тратить время, либо боятся несовместимости некоторых плагинов с обновленным движком.
Делаем резервную копию (Бэкап) всех файлов и обновляемся до последней версии. Обновление выпускаются не для того, чтобы привлечь внимание пользователей. В новой версии, как правило, исправляются ошибки, закрываются дыры в безопасности, появляются новые функцииТакже следите за обновлением плагинов и темы.

3. Выбор хостинга.

Если вы создаете серьезный проект для долгосрочного использования, то никогда не используйте бесплатный хостингВсе бесплатное — очень плохого качества. Взломать такой сервер не составит большого труда. В своем хостинг — провайдере Beget я полностью уверен. Почитайте статью «Как я гонялся за вирусом на блоге» и убедитесь сами. Если вы выбираете виртуальный хостинг, то риск возрастает. Как правило, на таком хостинге располагается не одна сотня таких же сайтов и если хотя бы один ломают, то и ваш ресурс попадает в зону рискаПоэтому нужно выбирать выделенный сервер. Он, конечно, стоит дороже, но зато много привилегий, в том числе и в плане безопасности.

4. Делаем защиту от частого ввода пароля.

Вход в систему WordPress устроен так, что количество попыток ввода пароля не ограничен. Этим и пользуются хакеры. Для защиты от частого ввода пароля будем использовать плагин Login Lockdown. Он устроен так, что если в течение пяти минут указать пароль неправильно три раза, то IP адрес с которого шла атака блокируется. Время блокировки можно указать в настройках — от одного часа до суток. Этот плагин отлично справляется с подобным родом «переборщиков». Где скачать и как установить плагин, читаем вот здесь.

5. Защищаем свой блог с помощью плагинов WP Security Scan и Anti XSS Attack.

WP Security Scan еще один нужный плагин, который проверяет ваш блог на наличие уязвимостей. Если такие присутствуют, он дает полное описание вредоносных программ.
Anti XSS Attack этот плагин просто устанавливается и активируется. Никаких настроек нет. Плагин блокирует XSS атаки, которые очень часто используют хакеры для взлома сайта.

6. Проверка сайта на наличие открытых директорий.

Необходимо выполнить в браузере пару команд.
В адресной строке прописываем по очереди вот эти адреса.

1. http://Ваш домен/wp-content/
2. http://Ваш домен/wp-content/plugins/

Если при переходе на новую страницу, вы увидите файлы и папки вашего сайта, это значит, что директории у вас открыты. Зная содержание сайта, хакерам не составит труда увести ресурс. Для того, чтобы закрыть файлы и папки от просмотра, нужно создать пустой файл index.php и поместить его в обе директории. Вообще, при установке WordPress данные файлы должны присутствовать, но мало ли что. Для большей надежности откройте файл htaccess и поместите туда следующий код:

Options All -Indexes

Все! Теперь при вводе таких команд у вас открывается чистая страница.

7. Удаляем не нужные файлы Readme.html и License.txt.

Бывает такое, что для взлома сайта хакеру необходимо знать только текущую версию движка WordPress. Файлы Readme.html и License.txt для вас и вашего блога не представляют ценности, а для нехороших людей — это куча полезной информации. Удаляем эти файлы. Также не лишним будет удалить в файле header.php строчку

<meta name=”generator” content=”WordPress <?php bloginfo (’version’); ?>” />

в которой указывается версия движка.

Второй вариант.

Для всех любителей всяких нестандартных тем или кто не нашел данную строчку в файле header.php, есть другой отличный вариант решить проблему показа версии WordPress в исходном коде сайта. Необходимо в файл functions.php вашей темы добавить следующий код:

remove_action('wp_head', 'wp_generator');

Я прописал его в самом конце файла и все отлично работает. И не забываем после каждого выхода обновлений темы, процедуру повторять. За подсказку спасибо Михаилу.

8. Убираем выскакивающее окно, которое уведомляет о неправильном пароле.

Убирайте это окно срочно. Объясню почему. Допустим, попал хакер на страницу входа в систему и начинает перебирать данные, а ему бац окошко «не правильно введен пароль». Он понимает, что логин он угадал и запускает бота, который в автоматическом режиме начинает перебор пароля. Если уберем окошко, вот тут сложней ему будет. Как видно на скриншоте логин я ввел правильно, но не угадал с пароль.пароль удаляем
Чтобы его отключить, открываем для редактирования файл funcions.php и прописываем следующую строчку.

add_filter ('login_errors',create_function ('$a', «return null;»));

Теперь при вводе данных хакер не будет знать, что именно не правильно, окна же нет. Отлично работает.

9. Меняем стандартный логин.

Уверяю вас, что у большинства владельцев сайтов логин входа в систему так и остался стандартным «admin». Об этом знаю я, знаете вы и знают те самые нехорошие люди. Зная логин, они действуют по старой схеме. Менять будем через phpMyAdmin прямо в нашей базе данных.
Идем в панель управления на хостингеЗащищаем сайт от взлома

вводим логин и пароль,Как защищать сайт от взлома . Несколько способов

и открываем базу данных. Немного погуляем по таблице до пункта wp_users, далее вкладка «Обзор», в которой находится строчка admin.защита от взлома сайта Нажимаем на карандашик и меняем логин администратора на более сложныйТам же в таблице можно поменять и пароль. Ищем user_pass, в строке  удаляем все содержимое и прописываем новый пароль.Защита сайта  Если все сделали, можно выходить.

10. Редактируем файлы function.php и search.php.

Немного изменив эти файлы, вы закроете доступ и возможность хакерам гулять по вашему серверу с целью поиска полезной информации.
Открываем файл function.phpидем в самый конец и прописываем следующую строчку.

<!--?php remove_action (’wp_head’, ‘wp_generator’); ?-->

Далее открываем для редактирования файл search.php
Находите строчку

<!--?php echo $_SERVER ['PHP_SELF']; ?-->

Меняем на:

<!--?php bloginfo (’home’); ?-->

С этим тоже разобрались.

11. Очистите свой сайт от ненужных вещей.

Наведите порядок в своей WordPress панели. Удалите все плагины, которые вы не используете в своей работе. Также избавьтесь от сайтов, которые забросили и долго их не обновляете. Со временем на таких сайтах могут появляться дыры в безопасности, что существенно угрожает вашим действующим сайтам.

12. Программа FileZilla.

Никогда не храните пароли в программе FileZilla, потому что они не шифруются. Если у вас когда-либо на компьютере заведется вирус «Сборщик паролей», то все пароли он передаст своему хозяину. Периодически проверяйте ваш ПК на вирусы, используя антивирус с актуальными базам.

Настройка резервной копии.

В случае если ваш сайт взломали или вы что сделали неправильно, имея резервную копию, вы без труда сможете быстро восстановить работу сайта и принять меры по усилению безопасности. Я использую плагин WordPress Database Backup, который отправляет мне каждый день на почту архив базы данных. Если вы используете другое решение, то обязательно убедитесь, что предыдущие версии не удаляются и у вас есть несколько копий.

Заключение.

Это далеко не полный список шагов, который нужно предпринять, чтобы предотвратить взлом своего сайта. И даже при том, что взламывать сайты не прекратят, с помощью вышеперечисленных шагов и принятия мер предосторожности для обеспечения безопасности вашего сайта, вы можете значительно уменьшить риск взлома. Правильно защитить сайт от взлома.Думаю вопрос «как защитить сайт от взлома?» теперь уйдет на второй план. И помните, проблему лучше предупредить, чем потом ее решать. Спасибо Вам, что дочитали мой пост от начала до конца. А вы уже предприняли меры по защите своих сайтов? Жду ваших ответов. На этом буду заканчивать. Удачи в делах!

С уважением, Богданов Антон!

 

Интересные материалы по теме:

31 комментарий

Перейти полю для комментария

  1. Юрий Йосифович

    Да, способов защитить сайт от взлома довольно много. Каждый выбирает себе той, какой ему хочется. Самый верный — постоянно не забывать делать резервное копирование.

    1. Антон Богданов

      Юр, привет! Это я еще не все способы описал. Будет вторая статья. Про резервное копирование это ты в самую точку попал. Есть копии- есть и сайт.

  2. Николай+Кудрявцев

    Привет Антон! Всё по делу, хорошая информация. Хочу добавить пару слов. Можно поставить плагин защиты на вход в админку — Login LockDown, после трёх неверных попыток подбора пароля, блокирует вход в админ зону на указанное время=) У меня стоит, проверял работает.

    1. Антон Богданов

      Добрый вечер Николай. Про этот плагин даже не слышал. Спасибо за подсказку. Надо будет и его поставить. А то нынче сейчас не спокойно стало, не стоит пренебрегать безопасностью. Многие ограничиваются только резервными копиями. Мол, если ломанут, то восстановиться всегда можно. Ты как опытный вебмастер, что думаешь по этому поводу?

  3. Николай Кудрявцев

    Ломают в 90% из за уязвимости в FTP. Все говорят, что Файлзила, самый удобный клиент. Но и самый расслабляющий=) бдительность. В общем в твоём посте, всё правильно. Антивирус лицензионный обязательно нужен, не ломаный, а с оф. сайта, без него инет лучше не включать вообще. Сейчас такое время, что скрипты вирусов, пасутся прямо на входе в ваш роутер. Буквально сидят на конце кабеля, подключения. И выжидают момента, для проникновения=)

    1. Антон Богданов

      Я файзилой стараюсь вообще не пользоваться. На счет компьютерных вирусов, есть очень интересные экземпляры. Антивирусом Касперским уже продолжительное время пользуюсь, базы при запуске обновляются. До этого Доктор Веб стоял, нареканий не было. Закончилась лицензия, и решил Каспера попробовать, но про доктора не забываю. Периодически сканирую бесплатной утилитой весь комп.

      1. Анютка Незабудка

        Да, вирусы сейчас набирают силу. стараюсь постоянно сканировать свой комп на предмет вирусов, чтобы не пропустить чего-либо нехорошего.

  4. Николай+Кудрявцев

    Я через вебмани, лицензию за копейки, что-то в районе 14 баксов недавно брал даже есть пост на эту тему + на смартфон себе поставил, идёт в подарок=), там и на каспер, тоже есть ключ, но подороже. Смотри.

    1. Антон Богданов

      Спасибо Николай. Сейчас почитаю зайду. Ты обновил движок? Что-то твой аватар не показывается. У меня проблема?

  5. Николай+Кудрявцев

    Поправь мой мейл в админке, я неправильно написал=), ты офлайн работаеш?

    1. Антон Богданов

      Вот другое дело, а то думал обновился не удачно. Да, работаю. Ремонт настройка ПК и ноутбуков. Сейчас сайтик делаю, типа визитки. Буду добавлять туда статейки на тему починки компов. Сейчас дизайн продумываю. Движок уже поставил. Такие пироги.

  6. Николай Кудрявцев

    Хорошее дело! Удачи в начинаниях, своего дела!

    1. Антон Богданов

      Спасибо! Тебе тоже удачи в делах и хорошего настроения!

  7. Евгения Куварина

    Использую практически все из списка, я для защиты использую плагин Ithemes Security, он устраняет основные уязвимости WordPress

    1. Антон Богданов

      Добрый день, Евгения. Рад видеть вас на своем блоге. На самом деле плагинов для защиты огромное количество, даже не знаешь какой лучше выбрать. Возьму на заметку ваш плагин. Уверен, что лишним не будет. А какой, по вашему мнению, способ защиты от взлома является наиболее надежным?

    2. Анютка Незабудка

      Тоже возьму на заметку ваш плагин, потому что не знаешь, в какой момент он тебе понравится. Чтобы потом не бегать и не искать, когда понадобится.

  8. Александр+Киселев

    Спасибо. После прочтения вашей стать убрал выскакивающее окно при вводе пароля.

    1. Антон Богданов

      Защита сайта и резервное копирование на первом месте, потом уже настройка, оптимизация, контент.

  9. Алексей

    Это касается защиты блога, в общем случае можно пользоваться защитой сайтов от взлома — Alarmer.

    Хотя на первый взгляд защита там основана на своевременном обнаружении и выявлении внедренного кода, но действует она эффективно.

  10. Михаил

    Антон, что касается файлов «Readme.html и License.html» — может быть License.txt ?

    Второе, в хедере такой строчки нет, это насчёт версии движка, а в исходном коде версия присутствует именно в такой строчке. Где искать её? Спасибо за статью, кое-что для меня не было известно.

    1. Антон Богданов

      Добрый вечер, Михаил. Конечно License.txt. Спасибо, поправил. Тут ключевым моментом является наличие Readme и License. Что касается наличие строки в header.php. Только сейчас смотрел Ваш исходный код, но ” /> не нашел. Значит все нормально, удалять ничего не нужно.

  11. Михаил

    Антон, вот в этой теме sadvin.ru это та же тема, только обновлённая и я до сих пор ищу подобные строки, коды и т.д. В старой, да, я удалял, вспомнил, года три назад, а в этой обновлённой не удалил, видимо потому что нет её в хедере.

    1. Антон Богданов

      Михаил возможно сейчас уже не указывается версия WordPress. Это большой плюс. Я удалял у себя в необновленной версии темы эту строчку. На всякий случай еще раз проштудировал ваш исходный код страницы, строчки я этой не нашел. Могу тему вашу скачать и посмотреть, если хотите.

  12. Михаил

    Вот скрин, я стрелкой отметил: и сайт сейчас в адресную введу

    1. Антон Богданов

      Все понял Михаил. Я код исходной страницы другого вашего сайта смотрел. Сейчас гляну и отпишусь.

    2. Антон Богданов

      Скачал я вашу тему. Действительно не нашел этой строчки, установлю ее на локальный сервер и попробую решить проблему. А пока можно сделать следующее. Идем по пути: Ваш сайт/wp-includes/general-template.php. В этом файле ищем строчку $gen = '<meta name="generator" content="WordPress ' . get_bloginfo( 'version' ) . '" />';. Только эту. Можно удалить ее полностью, тогда версия движка показываться не будет. Либо прописать так: $gen = '<meta name="generator" content="WordPress 2.7.1" />'; Тогда версия движка будет прописана неправильно. Цифры можно указывать любые. После выхода обновлений, процедуру повторять. Если у Вас есть какие- либо мысли, поделитесь пожалуйста.

  13. Михаил

    Автор темы вообще намудрил чего-то в этом обновлении, он разбросал строки, обычно находящиеся в одном месте, в файле header.php, по разным файлам, используя теги (head)и(/head).

    Можно конечно, скопировать последнюю часть строки из исходного кода страницы и воспользоваться поиском в Notepad++ поэтапно открывая файлы темы.

    Спасибо за совет, Антон, если не найду поиском, воспользуюсь Вашей подсказкой. Удачи Вам!

    1. Антон Богданов

      Михаил этим редактором только успел проверить, но не поэтапно. Запустил поиск в файлах. Результата «0». Поставлю непосредственно на локальный сервер и поковыряюсь еще. В любом случае, где-то он прописывается. Я смотрю вы плотно взялись за тему «F2». Тема не стандартная, много чего можно настроить не ковыряясь в коде.

    2. Антон Богданов

      Посмотрел вариант, который Вы предложили. Отличное решение проблемы. Только после выхода обновлений, строчку снова придется добавлять. Спасибо Михаил, будем пробовать.

  14. Михаил

    Я тоже в Notepad++ ничего не нашёл, воспользовался добавлением той строки в function.php кстати, я бы добавил к Вашей статье этот вариант отключения отображения версии движка, хотя бы для себя, чтоб не забыть и посетителям польза будет. Я уже вставил строку, всё отлично сработало. И потом, обновления темы не так часто происходят, как обновление движка. За F2 я не брался, мне она досталась сразу, когда я ещё ржавым чайником был (сейчас я блестящий чайник) 🙂 и сколько тем не приходилось перелопачивать, но всё равно к ней возвращался. Вот такие дела!

    1. Антон Богданов

      Дополнил. Спасибо за подсказку, Михаил. Рад знакомству!

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

;-) :| :x :twisted: :smile: :shock: :sad: :roll: :razz: :oops: :o :mrgreen: :lol: :idea: :grin: :evil: :cry: :cool: :arrow: :???: :?: :!: