Как защитить сайт от взлома



Недавно я рассказывала о том, как сделать полный бэкап сайта и почему делать его необходимо. Сегодня я хотела бы рассказать о том, какие меры стоит предпринять, чтобы защитить сайт от взлома, в частности, о необходимости смены стандартного логина, защите от подбора паролей к панели администратора и сканировании файлов сайта на наличие вредоносного кода.

Вероятность того, что ваш блог рано или поздно взломают, на сегодняшний день, к сожалению, очень и очень велика, так как желающих тысячи. Зачем им это нужно, отдельный разговор: кто-то захочет внедрить вирус или рекламу для получения дохода, а кто-то может лишить вас доступа к собственному сайту и требовать деньги за его возврат. Поэтому очень важно принять меры по обеспечению безопасности сайта уже сейчас.

Эта статья находится в разделе Блоговедение. Также Вам могут быть интересны другие статьи этого раздела:

Итак, самое простое для злоумышленника действие и самое распространённое — подобрать пароль и зайти в админку вашего сайта. Дело в том, что при установке вордпресс по умолчанию выбирается логин admin, который нельзя изменить, — а это значит, что для взломщика полдела уже сделано: логин он знает, осталось подобрать только пароль, а для этого можно использовать специальные программы, которые будут бесконечно пытаться авторизоваться на вашем сайте, подбирая пароли, и в конце концов им это удастся. Поэтому первое, что нужно сделать, — ограничить количество попыток авторизации при неправильном вводе пароля: после того, как пароль был неправильно введён, например, два раза, плагин заблокирует этому IP возможность авторизоваться на определённое количество часов, на какое, вы выбираете сами.

Для этого я установила плагин Limit Login Attempts, ограничивающий количество попыток авторизации. Чтобы установить нужные вам параметры, зайдите в Настройки — Limit Login Attempts и выберите, после скольких попыток нужно блокировать злоумышленника и на какое время:

как обезопасить сайт

Также можно включить опцию уведомления по e-mail в случае превышения максимального числа:

После установки плагина в статистике блокировок буквально через пару дней я увидела вот такую картину:

А на почту мне стали приходить отчеты о превышении попыток авторизации:

Как видите, желающих нашлось немало, и количество их не зависит от посещаемости и раскрученности вашего ресурса.

Заметьте, практически все попытки авторизоваться осуществлялись под логином admin. Как я уже говорила, подобрать пароль, зная логин, гораздо проще, в то время как угадать пару логин-пароль практически невозможно.

Помните, если вы используете логин admin, ваш сайт не защищён!

Так что следующий необходимый шаг — изменение логина администратора. Сделать это можно несколькими способами:

  • самостоятельно прописать изменение логина в базе данных;

  • вручную добавить нового пользователя с другим логином, наделись его правами администратора, удалить первый аккаунт и пользоваться вторым;

  • сменить логин администратора при помощи плагина.

Если вы не на сто процентов уверены в своих силах, первым вариантом пользоваться не советую.

Второй вариант вроде и неплох, но есть риск, что при удалении аккаунта все ваши предыдущие комментарии останутся без аватара. Мелочь, а неприятно (хотя вроде этот баг уже пофиксили). Да и вообще, не хочется мне удалять свой аккаунт, и всё! К тому же, есть вероятность, что так вы будете не самым главным администраторским админом =)

Третий вариант показался мне самым удобным, тем более что новый логин пропишется в базе данных и потом при желании плагин можно будет отключить.

Не забыв предварительно забэкапить сайт на случай непредвиденных последствий, я приступила к установке плагина All In One WP Security, с помощью которого можно не только сменить логин, но и защитить блог от взлома по нескольким направлениям.

После установки в левой панели у вас появится пункт WP Secure, нам туда. В выпадающем меню выбираем Администраторы, вводим новый логин и нажимаем Изменить имя пользователя:

как защитить блог

Чем сложнее будет логин, тем лучше. Бессвязный набор букв и цифр — самое то, главное не забудьте его записать.

Ещё один способ защиты — сменить адрес страницы, с которой вы залогиниваетесь на сайте. Обычно для того, чтобы зайти на сайт, достаточно добавить к его адресу wp-login.php или wp-admin, чем и пользуются злоумышленники. Если сменить этот адрес, они даже попыток залогиниться предпринять не смогут. Однако есть нюанс: если вы сами забудете новый адрес, то уже сами не сможете попасть в админку. Сменить адрес страницы логина можно в разделе Защита от брутфорс-атак:

В разделе Регистрация пользователя можно включить ручное одобрение новых регистраций, чтобы обезопасить сайт от подозрительных пользователей:

В разделе Авторизация с помощью этого плагина тоже можно включить блокировку попыток авторизации и настроить параметры блокировки, включая функцию уведомления о неудачных попытках авторизации на е-мейл:

В раздере Файрволл можно активировать основные функции брандмауэра для защиты вашего сайта:

Пополните словарный запас и научитесь стройть предложения
с интерактивным курсом английского языка!

В Панели управления плагина вы можете следить за информацией о последних авторизациях.

В разделе Разное можно включить защиту текста от копирования, то есть пользоваться правой кнопкой мыши и выделять текст статей на вашем сайте станет невозможно. С точки зрения пользователя я считаю эту функцию не совсем удобной, мне приятнее работать с «живым» сайтом, а не с зеркалом, поэтому я данную функцию не включаю. К тому же, есть много способов защиты контента и подтверждения авторства статей, позже я расскажу и о них.

Ну и наконец, стоит периодически производить Ручное сканирование изменений файлов в разделе Сканнер, чтобы видеть, какие файлы сайта были изменены — зачастую это может быть связано с тем, что в них был встроен вредоносный код:

В плагине предусмотрено еще множество функций, таких как черный список, защита от спама, защита файловой системы и многое другое. Единственное, что я не советовала бы делать, — это менять префикс баз данных, так как это может нарушить работу сайта.

В заключение хочу добавить, что за какие-то пару недель на мой сайт было совершено 216 «покушений», то есть неверных попыток авторизации в панели администратора. Причём по много попыток с каждого IP — а значит есть люди, целенаправленно этим занимающиеся. Поэтому не стоит облегчать им жизнь, оставляя свой сайт беззащитным.

С вами была Яна. До новых встреч!

share-comment

Подпишитесь на обновления блога и получайте уведомления
о новых статьях на почту!


10 комментариев к записи “Как защитить сайт от взлома”
  1. Елена

    Яночка, спасибо за ценную информацию, вот прямо сейчас всё и выполню по твоей статье, один плагин я уже установила, тот, который ограничивает количество авторизаций. Всё-таки, о защите блога нужно задумываться сразу при начале его ведения. Хотела ещё спросить, а этот плагин для изменения имени админа позволяет сколько угодно раз менять это имя. Просто бывает фрилансеры работают с сайтом и после этого нужно бы всё сменить на всякий случай.

    • Администратор сайта Яна

      Да, имя админа можно сменить только один раз через плагин, но пароль можно по-прежнему менять сколько хочешь. Фрилансеры с одним знанием логина не так страшны, как куча злоумышленников, пробующих войти под логином admin. А через редактирование непосредственно базы данных можно и не раз логин сменить, но туда без опыта лучше не соваться =)

    • Oleg

      Добрый день, защита сайта это 50% работы от его администрирования, нужно каждую неделю менять пароль от admin, и стараться искать уязвимости ежедневно!

  2. Елена

    Сейчас зашла посмотрела для интереса количество изоляций и ужаснулась 77 штук!!! =-O

    • Администратор сайта Яна

      У меня уже 116 :-D И это только изоляции, то есть попыток-то было еще больше. Как нельзя лучше доказывает необходимость делать бэкапы и всячески защищать сайт от взлома. Мои “изобретатели” преимущественно admin используют, некоторые особо находчивые – mama-v-internete, а я тихо посмеиваюсь теперь над их бесплодными попытками 8)

      • Елена

        Да-да, и у меня “самые находчивые” пробуют вводить название сайта =)

  3. Сергей Совков

    Когда вёл блог на вордпресс, то использовал именно этот плагин. Я делал 3 попытки в вода пароля и блок на 1 час. Всё было хорошо =)

    • Администратор сайта Яна

      Я даже более суровые параметры установила на всякий случай =) И регулярно делаю полный бэкап по ftp.

  4. Любовь

    Я не сторонница установки лишних плагинов на сайт и стараюсь обходиться без них по возможности. Поэтому сама меняла admin в базе данных, по видео-уроку, который нашла в сети. Главное, сделать бэк ап, тогда в случае чего можно вернуть сайт назад.

    • Администратор сайта Яна

      Это Вы правильно делаете. Хотя насколько я понимаю, после смены логина админа через плагин этот самый плагин можно удалить, а логин останется прописанным в базе данных.

Оставить комментарий

Все права защищены. Полное или частичное копирование материалов запрещено, при согласованном использовании материалов необходима ссылка на ресурс - mama-v-internete.ru