Ну вот и до моего блога добрались. На днях кто-то пытался подобрать пароль для входа в админ-панель моего блога, причем так настойчиво. Хорошо что раньше, почти сразу после создания блога мне на глаза попалась статья в интернете «защита блога от хакеров». И я не просто ее прочитал, но и применил несколько простых правил и для защиты блога и для защиты от хакеров.
И сегодня я хочу Вам о них рассказать. Естественно что 100% гарантии от того что Ваш блок не взломают соблюдение этих правил не дают. Если человек решил взломать Ваш и именно Ваш блог или сайт, то он, рано или поздно, этого добьется. Но согласитесь, для того что бы кто-то захотел взломать Ваш блог, несмотря ни на что, должна быть веская причина. В основном взломом блогов занимаются начинающие хакеры. А они действуют по принципу «Зачем взламывать защищенный блог, когда в сети полно блогов без защиты» И именно эти блоги, на которых не уделяют должного внимания защите от хакеров, становятся легкой их, хакеров, добычей.
Защита блога несколько простых правил.
Итак вот эти несколько простых правил помогли мне уберечь свой блог от атак хакеров:
- Изменение логина для пользователя с правами админитсратора. После установки WordPress создает единственного пользователя с правами администратора и логином — admin, зная этот логин злоумышленнику остается лишь подобрать пароль, что, согласитесь, гораздо проще чем подобрать пару логин-пароль.
Поэтому после установки WP сразу же заведите другого пользователя с правами администратора и достаточно сложным паролем (15-25 символов с использование цифр и прописных и строчных букв), измените отображение его имени, например на Ваше имя, это имя будет отображаться как имя автора статьи и по умолчанию устанавливается логин, а это Вам совсем не нужно, и удалите учетную запись, или уменьшите права, стандартного администратора. Например присвоив ему роль «подписчик». Сделать это можно войдя под новым логином пользователя с правами администратора.
Выполнение одного этого правила существенно увеличит защиту блога от хакеров пытающихся получить доступ к панели управления; - Следующий шаг по защите блога — удаление из корневой директории Вашего блога файлов license.txt и readme.html. Набрав в строке браузера «http://your-blog.name/readme.html» Вы увидите версию используемого Вами движка WordPress. А это, в свою очередь, позволит злоумышленнику использовать известные для этой версии уязвимости.
Внимание! При каждом обновлении версии WP эти файлы восстанавливаются, поэтому после каждого обновления эти файлы следует удалять. Сделать это можно либо подключившись по ftp, либо из файл менеджера Вашего Хостера, как Вам удобнее; - К этой же области относится следующая рекомендация. Проверьте если в файле header.php Вашей темы, в некоторых темах это уже исправленно, присутствует строка
<meta name=”generator” content=”WordPress <?php bloginfo (’version’); ?>” />
,
то удалите эту строку, или закомментируйте
/*<meta name=”generator” content=”WordPress <?php bloginfo (’version’); ?>” />*/
Потому что эта команда так же выводит версию WordPress снижая защиту блога от хакеров. - Проверьте Насколько используемая Вами тема способствует защите блога. Наберите в браузере «http://your-blog.name/wp-content/» или «http://your-blog.name/wp-content/plugins/». Если Вы увидите содержание Этих каталогов, то это плохо и автор темы не позаботился о защите от хакеров. Позаботьтесь об этом Вы. В указаных каталогах нужно разместить пустой файл назвав его index.html, так называемую заглушку. Это не позволит злоумышленнику получить список используемых Вами плагинов, и как следствие, воспользоваться их уязвимостью;
- Если Вы не предусматриваете самостоятельную регистрацию пользователями на Вашем блоге, то удалите панель регистрации, или запретите регистрацию. Это существенно повысит защиту от хакеров
- Установите 2 плагина для защиты блога это Anti-XSS attack и Login LockDown или Limit Login Attempts. Первый защитит админ панель от XSS-атак, любой из следующих ограничит количество неверного ввода пары логин—пароль, с блокировкой на указанное Вами время для хоста, с которого были предприняты эти попытки. Именно благодаря этим плагинам я и узнал, что кто-то пытался подобрать пароль для входа в админ панель моего блога;
- Установите любой плагин для создания резервной копии Вашего блога и Базы данных, и периодически сохраняйте файлы резервного копирования на свой компьютер. Многие хостеры делают сами резервное копирование, но файл с резервной копией на локальном компьютере может выручить. Ведь неизвестно, что может произойти у хостера, и как быстро, в случае наступления форс-мажора он сможет, и сможет ли, восстановить Ваш блог.
Ну вот в принципе и все правила, соблюдение которых повысит защиту от хакеров и позволит Вам спать спокойно. Единственно что еще посоветую так это изменить пароль на вход в панель управления Вашего хостера на более сложный. Ведь если хакер получит к ней доступ, то все Ваши усилия по защите блога будут бесполезны.
Отпишитесь в комментариях насколько помогла, и помогла ли вообще, данная статья.
И желаю Вам никогда не терять контроля над своими блогами и/или сайтами. Успехов!
Login LockDown , Limit Login Attempts ПРО ЭТИ ПЛАГИНЫ Я НЕ ЗНАЛА.СПАСИБО ЗА ХОРОШИЕ СОВЕТЫ!
Спасибо, мне осталось поменять админ, усложнить пароль, а так основные мероприятия уже провел.
Спасибо за ценные рекомендации. Буду применять. Если говорить в целом, то за исключением второй части первого пункта все понятно. Завтра проверим на практике.
Сегодня для своего сайта выполнил действия 2, 3, 4, 5, 6 все получилось. Спасибо.