Защита блога wordpress

WorldPress-lockC ростом популярности wordpress становиться не только удобнее, мощнее но и более привлекательным для взломщиков. Это процесс неизбежный.

Так же стоит добавить неприятную новость. Если вдруг вам так повезло, что за вас взялся настоящий профи, а то еще хуже группа профи тогда вашему блогу хана. Думаю процентов так на 99,9.

Так как, слава богу, истинных профи не так много, да и вряд ли они будут тратить время на ваш блог.

А вот от середняков и начинающих кул-хацкеров стоит защитится.

В этой статье я не хочу тупо писать перечень плагинов, а пойду по-другому. Называю проблему и предлагаю решение.

Поехали

1. Использование старых сборок wordpress

Новые сборки это не только новые функции, а иногда и возросшее потребление ресурсов, но прежде всего закрытие большого числа найденных багов.

Ведь как заявили разработчики “в wordpress 3.0 было внесено свыше 1217 исправлений и улучшений”

Так, что обновляйте свои блоги. Это кстати повысит ваши шансы на борьбу с проблемой номер 2.

2. Всем известна версия вашего блога

Сразу отвечу на вопрос: откуда? Ведь я о этом нигде не писал! – Вы нет, а вот создатели wordpress за вас написали.

Зайдите в исходный код вашей страницы и посмотрите в разделе «head». И там найдете:

1
<meta name="generator" content="WordPress 2.9.2" />

Ну, допустим и, что это дает? А то, что любой желающий может использовать эксплойт, особенно если у вас старая версия wordpress.

Эксплойт – это, что-то вроде готового инструмента для использования найденной дыры в безопасности.

Ведь найти брешь в безопасности одно, а вот использовать ее могут только специалисты. А вот эксплойтом может воспользоваться любой, достаточно его скачать и запустить на подходящей системе, и вуаля ваш блог взломан.

Решение: Заходим в папку с вашей темой и открываем файл «header.php» и ищем строку:

1
<meta name=”generator” content=”WordPress <?php bloginfo (’version’); ?>” />

И удаляем ее. Теперь загляните в исходный код. Все

Но в новых версия вывод происходит через функцию «wp_head ()» ее не трогаем, может, появится много проблем, в том числе и с плагинами.

Поэтому добавляем в файл «function.php»

1
remove_action( 'wp_head', 'wp_generator' );

Проверяем.

Пусть это нас полностью и не защитит но, по крайней мере, мы затрудним работу кул-хацкерам.

Да и эксплойты к новым сборкам выходят не так быстро.

Особенно это актуально, если вы консерватор и до сих пор используете одну из древних сборок wordpress.

3. Единый путь входа в админку

Большая проблема безопасности блогов на wordpress в том, что они используют единую структуру. То есть, то, что подходит для одного блога, подойдет и для другого.

Ну, например: написав – «http://вашблог.зона/wp-admin»

И вы попали на окно ввода пароля.

И если от ручного входа не защитится (потом сами не попадете :-)). То вот ботам можно попортить жизнь да и заодно повысить защиту блога от XSS атак (что это такое можно почитать в google).

Решение: Для этого есть хороший плагин: Anti-XSS attack

  • Скачиваем его по ссылке;
  • Заливаем в папку с плагинами;
  • Активируем плагин;

Все. Настройки он не требует.

Что он делает. Выйдете с админки. И заново наберите: http://вашблог.зона/wp-admin

Как видите, теперь наш путь теперь изменен и для входа нужно нажать на ссылку. И только тогда вы попадете к знакомому окну.

4. Единое имя пользователя

По логике вещей хакеру для входа на ваш блог нужно подобрать два ключа:

  • ваш логин – который может содержать не мало символов;
  • ваш пароль – то же самое;

Но боль шесть блогеров заметно облегчают нехорошим людям жизнь. Зачем подбирать логин, если он уже известен. Это – admin

Думаю, решение вы уже поняли. Нужно сменить «admin», на что ни будь другое.

Как?

  • В wordpress 3.0 это делается штатными средствами;
  • В предыдущих сборках нужно было использовать небольшую хитрость;
  • Я же рекомендую вам использовать плагин;

Слышу гул – «Ради смены имени держать целый плагин!»

Это не совсем так. Плагин вообще нужен для оптимизации базы данных, а заодно в нем есть функция смены логина на свой.

Лично я включаю данный плагин, когда хочу оптимизировать базу данных, после использования отключаю. И так далее

Плагин — WP-Optimize

  • Скачиваем его по ссылке;
  • Заливаем в папку с плагинами;
  • Активируем плагин;

Нажимаем на «Панель объявлений» и из списка выбираем WP-Optimize.

Плагин хоть и английский, но прост как двери. На всякий случай пробегусь по опциям:

  1. Remove all Post revisions — удаляет ревизии ваших постов;
  2. Clean marked Spam comments – удаляет комментарии помеченные как спам;
  3. Clean Unapproved comments – удаляет не одобренные комментарии;
  4. Optimize database tables – оптимизирует таблицы вашей базы данных (внизу вы видите ваши таблицы – сколько занимают места на диске и нужна ли им оптимизация);
  5. Old username: — пишем admin;
  6. New username: — новый логин;

И жмем process – вот и все.

5. можно сколько угодно ошибаться при наборе пароля

Это конечно зло. И открывает ваш блог для брутфорса.

Брутфорс – метод для подбора пароля. Тупым перебором значений!

Решение: Это зло мы искореним опять-таки с помощью плагина — Login LockDown

  • Скачиваем его по ссылке;
  • Заливаем в папку с плагинами;
  • Активируем плагин;

Нажимаем «Настройки» и из выпадающего списка выбираем Login LockDown.

Плагин английский, но настроек мало, нам нужны две:

  • Max Login Retries – главная сколько раз можно ошибиться при вводе пароля;
  • Lockout Length (minutes) – на сколько минут заблокируется акаунт после указанных в ( Max Login Retries) попытках ввода пароля;

Да кстати теперь перед вводом логина и пароля вы можете видеть надписи, что ваш блог защищен этим плагином.

6. Не забываем про классику

  • Используйте надежные пароли, а не свой номер телефона или дату рождения;
  • Храните его в надежном месте или есть память хорошая в уме;
  • Помните, разработчику wordpress никогда не попросят прислать им по email ваш логин и пароль;

На этом, пожалуй, все. Эти нехитрые приемы повысят безопасность вашего блога.

С уважением Тригуба Сергей!

Автор:
Приглашаю присоединиться ко мне в следующих сервисах:
Получайте новые статьи по созданию сайтов на ваш почтовый ящик.

Комментарии Вконтакте:

Комментарии Facebook:

Комментариев10 комментариев

Вы правы, если захотели взломать — взломают. Но от «случайных» взломов можно и нужно ограждаться. Спасибо за информацию. Пригодилось.

Порой обходят все капчи и постят комментарии. Вот это вот уже прошаренные боты.

    Не обязательно боты. Есть спец. сервисы которые нанимают людей для заполнения капчей.

    В основном из бедных стран. Потому, что платят гроши!

Защита блога это хорошо, только вот Login LockDown ставит на себя ссылку при входе в админку, а логин удобно менять в phpmyadmin.

Да и еще, помимо логина и сложного пароля, обязательно нужно менять ID админа. Тода и нужда в Login LockDown отпадет, брутфорсить вспотеют.

По поводу XSS, ставить опять же плагин не особо хочется, потому что любой плагин в вордпресс норовит загадить базу и поставить на себя ссылку, тем самым делают блог медленнее и передают вес ресурса кому то.

И вообще он меня бесит 🙂

Интересно, что будет если взять и переименовать папку «wp-admin» ? Небо упадет на голову, или же все будет работать? Нужно попробовать, а если нет — найти решение. Стандартный вход «как у всех» — не есть хорошо.

    При желании ссылки можно закрыть или вообще удалить.

    А вот насчет стандартного входа, мне кажется будет больше проблем, чем толку!

    Хотя, кто знает!

Не сказал бы, что обновление блога по версии в пользу.

Как раз на серче топик висит о пробитом WP 3.01 И что характерно,

2.9 рядом были и остались не тронутыми. О чем это говорит — лочат имеющиеся огрехи и наворачивают новых, открывают пути старых проблем.

И почему не говорим о защите блогов по access, там много команд можно добавить против взломов.

    Конечно, в новых версиях появляются новые дыры это неизбежно.

    Я имел ввиду, что пока заточат массовые инструменты для взлома пройдет время. А вот для старых версий они уже в свободном доступе.

    Тему accesss не хотел затрагивать. Ввиду не всегда предсказуемых результатов.

    Хотя согласен это сильный инструмент!

Написать ответ

Получай обновления блога первым!
Каталог@Mail.ru - каталог ресурсов интернет