«

»

Ноя 18 2014

Как защитить сайт от взлома правильно?

Как защитить сайт от взлома правильно.Привет-привет всем моим посетителям. Я рад снова видеть вас на блоге boqdanov.ru. Давайте сегодня поговорим о том, как защитить сайт от взлома. Это достаточно важная тема, которую необходимо обязательно изучить и применить на своем веб-ресурсеКаждый день нехорошие люди (хакеры) делают попытки взлома миллиона сайтов. Статистика говорит, что 30% из этих попыток оканчиваются удачей.
Все это происходит из-за того, что владельцы сайтов пренебрегают элементарными правилами безопасности.

Ваш сайт можно сравнить с домашним животным, который нуждается в постоянном внимании и уходе. Вы думаете, что ваш веб-ресурс не представляет никакой ценности, зачем его будут взламывать. Вот после раскрутки сайта можно подумать и о безопасности. Я больше чем уверен, основной список дел, который вы каждый день выполняете, состоит из проверки электронной почты, просмотра позиций сайта, ответы на комментарии, написание интересного поста и т.д. Но представьте на минутку, что ваш веб-ресурс взломали и вся ваша работа в одну секунду уничтожена.Защищаем сайт от взлома правильно

Тут-то ваш список дел резко изменится и придется начинать все с самого начала. Большинство просто бросают эту затею. Вот поэтому защита WordPress очень важна, тем более это не займет много времени и не обязательно знать язык программирования.

Как защитить сайт от взлома?

Почему нехорошие люди (хакеры) хотят взломать ваш сайт?

Notice

  • Внедрить ссылки на другой сайт (платные ссылки). Вы даже будете не знать, что с вашего сайта идет продажа ссылок.
  • Угнать ваш сайт из-за трафика.
  • Из-за содержимого на сайте.
  • Получить адреса всех зарегистрированных пользователей.
  • Использовать ваш сервер для рассылки спама или хранения файлов нелегального характера.
  • Банальная человеческая зависть. Если ваш сайт достаточно раскручен, конкурент может специально заказать взлом.
  • И конечно же, просто для удовольствия.

Вы до сих пор думаете, что ваш сайт никому не нужен?

Как защитить WordPress от взлома?

1. Создать надежный пароль.

Это самый простой, но действенный способ для обеспечения безопасности веб-ресурса. Многие указывают не сложный пароль специально, чтобы его ввод не занимал слишком много времени. Каждый из ваших сайтов должен иметь разный пароль. Постарайтесь, чтобы пароль был длиной не менее 15 символов и состоял из букв, цифр и знаковПароль такого вида не подойдет, его ломают в два счета:

Notice

пароль
password123
привет
hello123
QWERTY
QWERTYUIOP
твое имя
название компании.

Защищаем сайт
В большинстве случаев люди, которые хотят взломать ваш сайт, на самом деле не люди, это роботы. Эти боты идут на страницу входа в систему, устанавливают имя администратора и начинают подбор с самых простых комбинаций. Ваш пароль — это первая и самая важная ступень в защите от хакеровНе храните файл с паролями на электронной почте или на компьютере. Самое надежное место — это ваша голова и обычный блокнот.

2. Обновление WordPress.

Когда речь доходит до обновления WordPress, многие люди попросту не делают этоЛибо не хотят тратить время, либо боятся несовместимости некоторых плагинов с обновленным движком.
Делаем резервную копию (Бэкап) всех файлов и обновляемся до последней версии. Обновление выпускаются не для того, чтобы привлечь внимание пользователей. В новой версии, как правило, исправляются ошибки, закрываются дыры в безопасности, появляются новые функцииТакже следите за обновлением плагинов и темы.

3. Выбор хостинга.

Если вы создаете серьезный проект для долгосрочного использования, то никогда не используйте бесплатный хостингВсе бесплатное — очень плохого качества. Взломать такой сервер не составит большого труда. В своем хостинг — провайдере Beget я полностью уверен. Почитайте статью «Как я гонялся за вирусом на блоге» и убедитесь сами. Если вы выбираете виртуальный хостинг, то риск возрастает. Как правило, на таком хостинге располагается не одна сотня таких же сайтов и если хотя бы один ломают, то и ваш ресурс попадает в зону рискаПоэтому нужно выбирать выделенный сервер. Он, конечно, стоит дороже, но зато много привилегий, в том числе и в плане безопасности.

4. Делаем защиту от частого ввода пароля.

Вход в систему WordPress устроен так, что количество попыток ввода пароля не ограничен. Этим и пользуются хакеры. Для защиты от частого ввода пароля будем использовать плагин Login Lockdown. Он устроен так, что если в течение пяти минут указать пароль неправильно три раза, то IP адрес с которого шла атака блокируется. Время блокировки можно указать в настройках — от одного часа до суток. Этот плагин отлично справляется с подобным родом «переборщиков». Где скачать и как установить плагин, читаем вот здесь.

5. Защищаем свой блог с помощью плагинов WP Security Scan и Anti XSS Attack.

WP Security Scan еще один нужный плагин, который проверяет ваш блог на наличие уязвимостей. Если такие присутствуют, он дает полное описание вредоносных программ.
Anti XSS Attack этот плагин просто устанавливается и активируется. Никаких настроек нет. Плагин блокирует XSS атаки, которые очень часто используют хакеры для взлома сайта.

6. Проверка сайта на наличие открытых директорий.

Необходимо выполнить в браузере пару команд.
В адресной строке прописываем по очереди вот эти адреса.

1. http://Ваш домен/wp-content/
2. http://Ваш домен/wp-content/plugins/

Если при переходе на новую страницу, вы увидите файлы и папки вашего сайта, это значит, что директории у вас открыты. Зная содержание сайта, хакерам не составит труда увести ресурс. Для того, чтобы закрыть файлы и папки от просмотра, нужно создать пустой файл index.php и поместить его в обе директории. Вообще, при установке WordPress данные файлы должны присутствовать, но мало ли что. Для большей надежности откройте файл htaccess и поместите туда следующий код:

Options All -Indexes

Все! Теперь при вводе таких команд у вас открывается чистая страница.

7. Удаляем не нужные файлы Readme.html и License.txt.

Бывает такое, что для взлома сайта хакеру необходимо знать только текущую версию движка WordPress. Файлы Readme.html и License.txt для вас и вашего блога не представляют ценности, а для нехороших людей — это куча полезной информации. Удаляем эти файлы. Также не лишним будет удалить в файле header.php строчку

<meta name=”generator” content=”WordPress <?php bloginfo (’version’); ?>” />

в которой указывается версия движка.

Второй вариант.

Для всех любителей всяких нестандартных тем или кто не нашел данную строчку в файле header.php, есть другой отличный вариант решить проблему показа версии WordPress в исходном коде сайта. Необходимо в файл functions.php вашей темы добавить следующий код:

remove_action('wp_head', 'wp_generator');

Я прописал его в самом конце файла и все отлично работает. И не забываем после каждого выхода обновлений темы, процедуру повторять. За подсказку спасибо Михаилу.

8. Убираем выскакивающее окно, которое уведомляет о неправильном пароле.

Убирайте это окно срочно. Объясню почему. Допустим, попал хакер на страницу входа в систему и начинает перебирать данные, а ему бац окошко «не правильно введен пароль». Он понимает, что логин он угадал и запускает бота, который в автоматическом режиме начинает перебор пароля. Если уберем окошко, вот тут сложней ему будет. Как видно на скриншоте логин я ввел правильно, но не угадал с пароль.пароль удаляем
Чтобы его отключить, открываем для редактирования файл funcions.php и прописываем следующую строчку.

add_filter ('login_errors',create_function ('$a', «return null;»));

Теперь при вводе данных хакер не будет знать, что именно не правильно, окна же нет. Отлично работает.

9. Меняем стандартный логин.

Уверяю вас, что у большинства владельцев сайтов логин входа в систему так и остался стандартным «admin». Об этом знаю я, знаете вы и знают те самые нехорошие люди. Зная логин, они действуют по старой схеме. Менять будем через phpMyAdmin прямо в нашей базе данных.
Идем в панель управления на хостингеЗащищаем сайт от взлома

вводим логин и пароль,Как защищать сайт от взлома . Несколько способов

и открываем базу данных. Немного погуляем по таблице до пункта wp_users, далее вкладка «Обзор», в которой находится строчка admin.защита от взлома сайта Нажимаем на карандашик и меняем логин администратора на более сложныйТам же в таблице можно поменять и пароль. Ищем user_pass, в строке  удаляем все содержимое и прописываем новый пароль.Защита сайта  Если все сделали, можно выходить.

10. Редактируем файлы function.php и search.php.

Немного изменив эти файлы, вы закроете доступ и возможность хакерам гулять по вашему серверу с целью поиска полезной информации.
Открываем файл function.phpидем в самый конец и прописываем следующую строчку.

<!--?php remove_action (’wp_head’, ‘wp_generator’); ?-->

Далее открываем для редактирования файл search.php
Находите строчку

<!--?php echo $_SERVER ['PHP_SELF']; ?-->

Меняем на:

<!--?php bloginfo (’home’); ?-->

С этим тоже разобрались.

11. Очистите свой сайт от ненужных вещей.

Наведите порядок в своей WordPress панели. Удалите все плагины, которые вы не используете в своей работе. Также избавьтесь от сайтов, которые забросили и долго их не обновляете. Со временем на таких сайтах могут появляться дыры в безопасности, что существенно угрожает вашим действующим сайтам.

12. Программа FileZilla.

Никогда не храните пароли в программе FileZilla, потому что они не шифруются. Если у вас когда-либо на компьютере заведется вирус «Сборщик паролей», то все пароли он передаст своему хозяину. Периодически проверяйте ваш ПК на вирусы, используя антивирус с актуальными базам.

Настройка резервной копии.

В случае если ваш сайт взломали или вы что сделали неправильно, имея резервную копию, вы без труда сможете быстро восстановить работу сайта и принять меры по усилению безопасности. Я использую плагин WordPress Database Backup, который отправляет мне каждый день на почту архив базы данных. Если вы используете другое решение, то обязательно убедитесь, что предыдущие версии не удаляются и у вас есть несколько копий.

Заключение.

Это далеко не полный список шагов, который нужно предпринять, чтобы предотвратить взлом своего сайта. И даже при том, что взламывать сайты не прекратят, с помощью вышеперечисленных шагов и принятия мер предосторожности для обеспечения безопасности вашего сайта, вы можете значительно уменьшить риск взлома. Правильно защитить сайт от взлома.Думаю вопрос «как защитить сайт от взлома?» теперь уйдет на второй план. И помните, проблему лучше предупредить, чем потом ее решать. Спасибо Вам, что дочитали мой пост от начала до конца. А вы уже предприняли меры по защите своих сайтов? Жду ваших ответов. На этом буду заканчивать. Удачи в делах!

С уважением, Богданов Антон!

 

Интересные материалы по теме: