Недавно я рассказывала о том, как сделать полный бэкап сайта и почему делать его необходимо. Сегодня я хотела бы рассказать о том, какие меры стоит предпринять, чтобы защитить сайт от взлома, в частности, о необходимости смены стандартного логина, защите от подбора паролей к панели администратора и сканировании файлов сайта на наличие вредоносного кода.
Вероятность того, что ваш блог рано или поздно взломают, на сегодняшний день, к сожалению, очень и очень велика, так как желающих тысячи. Зачем им это нужно, отдельный разговор: кто-то захочет внедрить вирус или рекламу для получения дохода, а кто-то может лишить вас доступа к собственному сайту и требовать деньги за его возврат. Поэтому очень важно принять меры по обеспечению безопасности сайта уже сейчас.
Итак, самое простое для злоумышленника действие и самое распространённое — подобрать пароль и зайти в админку вашего сайта. Дело в том, что при установке вордпресс по умолчанию выбирается логин admin, который нельзя изменить, — а это значит, что для взломщика полдела уже сделано: логин он знает, осталось подобрать только пароль, а для этого можно использовать специальные программы, которые будут бесконечно пытаться авторизоваться на вашем сайте, подбирая пароли, и в конце концов им это удастся. Поэтому первое, что нужно сделать, — ограничить количество попыток авторизации при неправильном вводе пароля: после того, как пароль был неправильно введён, например, два раза, плагин заблокирует этому IP возможность авторизоваться на определённое количество часов, на какое, вы выбираете сами.
Для этого я установила плагин Limit Login Attempts, ограничивающий количество попыток авторизации. Чтобы установить нужные вам параметры, зайдите в Настройки — Limit Login Attempts и выберите, после скольких попыток нужно блокировать злоумышленника и на какое время:
Также можно включить опцию уведомления по e-mail в случае превышения максимального числа:
После установки плагина в статистике блокировок буквально через пару дней я увидела вот такую картину:
А на почту мне стали приходить отчеты о превышении попыток авторизации:
Как видите, желающих нашлось немало, и количество их не зависит от посещаемости и раскрученности вашего ресурса.
Заметьте, практически все попытки авторизоваться осуществлялись под логином admin. Как я уже говорила, подобрать пароль, зная логин, гораздо проще, в то время как угадать пару логин-пароль практически невозможно.
Помните, если вы используете логин admin, ваш сайт не защищён!
Так что следующий необходимый шаг — изменение логина администратора. Сделать это можно несколькими способами:
-
самостоятельно прописать изменение логина в базе данных;
-
вручную добавить нового пользователя с другим логином, наделись его правами администратора, удалить первый аккаунт и пользоваться вторым;
-
сменить логин администратора при помощи плагина.
Если вы не на сто процентов уверены в своих силах, первым вариантом пользоваться не советую.
Второй вариант вроде и неплох, но есть риск, что при удалении аккаунта все ваши предыдущие комментарии останутся без аватара. Мелочь, а неприятно (хотя вроде этот баг уже пофиксили). Да и вообще, не хочется мне удалять свой аккаунт, и всё! К тому же, есть вероятность, что так вы будете не самым главным администраторским админом
Третий вариант показался мне самым удобным, тем более что новый логин пропишется в базе данных и потом при желании плагин можно будет отключить.
Не забыв предварительно забэкапить сайт на случай непредвиденных последствий, я приступила к установке плагина All In One WP Security, с помощью которого можно не только сменить логин, но и защитить блог от взлома по нескольким направлениям.
После установки в левой панели у вас появится пункт WP Secure, нам туда. В выпадающем меню выбираем Администраторы, вводим новый логин и нажимаем Изменить имя пользователя:
Чем сложнее будет логин, тем лучше. Бессвязный набор букв и цифр — самое то, главное не забудьте его записать.
Ещё один способ защиты — сменить адрес страницы, с которой вы залогиниваетесь на сайте. Обычно для того, чтобы зайти на сайт, достаточно добавить к его адресу wp-login.php или wp-admin, чем и пользуются злоумышленники. Если сменить этот адрес, они даже попыток залогиниться предпринять не смогут. Однако есть нюанс: если вы сами забудете новый адрес, то уже сами не сможете попасть в админку. Сменить адрес страницы логина можно в разделе Защита от брутфорс-атак:
В разделе Регистрация пользователя можно включить ручное одобрение новых регистраций, чтобы обезопасить сайт от подозрительных пользователей:
В разделе Авторизация с помощью этого плагина тоже можно включить блокировку попыток авторизации и настроить параметры блокировки, включая функцию уведомления о неудачных попытках авторизации на е-мейл:
В раздере Файрволл можно активировать основные функции брандмауэра для защиты вашего сайта:
с интерактивным курсом английского языка!
В Панели управления плагина вы можете следить за информацией о последних авторизациях.
В разделе Разное можно включить защиту текста от копирования, то есть пользоваться правой кнопкой мыши и выделять текст статей на вашем сайте станет невозможно. С точки зрения пользователя я считаю эту функцию не совсем удобной, мне приятнее работать с «живым» сайтом, а не с зеркалом, поэтому я данную функцию не включаю. К тому же, есть много способов защиты контента и подтверждения авторства статей, позже я расскажу и о них.
Ну и наконец, стоит периодически производить Ручное сканирование изменений файлов в разделе Сканнер, чтобы видеть, какие файлы сайта были изменены — зачастую это может быть связано с тем, что в них был встроен вредоносный код:
В плагине предусмотрено еще множество функций, таких как черный список, защита от спама, защита файловой системы и многое другое. Единственное, что я не советовала бы делать, — это менять префикс баз данных, так как это может нарушить работу сайта.
В заключение хочу добавить, что за какие-то пару недель на мой сайт было совершено 216 «покушений», то есть неверных попыток авторизации в панели администратора. Причём по много попыток с каждого IP — а значит есть люди, целенаправленно этим занимающиеся. Поэтому не стоит облегчать им жизнь, оставляя свой сайт беззащитным.
С вами была Яна. До новых встреч!
Сейчас зашла посмотрела для интереса количество изоляций и ужаснулась 77 штук!!!
У меня уже 116 И это только изоляции, то есть попыток-то было еще больше. Как нельзя лучше доказывает необходимость делать бэкапы и всячески защищать сайт от взлома. Мои «изобретатели» преимущественно admin используют, некоторые особо находчивые — mama-v-internete, а я тихо посмеиваюсь теперь над их бесплодными попытками 8)
Да-да, и у меня «самые находчивые» пробуют вводить название сайта
Яночка, спасибо за ценную информацию, вот прямо сейчас всё и выполню по твоей статье, один плагин я уже установила, тот, который ограничивает количество авторизаций. Всё-таки, о защите блога нужно задумываться сразу при начале его ведения. Хотела ещё спросить, а этот плагин для изменения имени админа позволяет сколько угодно раз менять это имя. Просто бывает фрилансеры работают с сайтом и после этого нужно бы всё сменить на всякий случай.
Да, имя админа можно сменить только один раз через плагин, но пароль можно по-прежнему менять сколько хочешь. Фрилансеры с одним знанием логина не так страшны, как куча злоумышленников, пробующих войти под логином admin. А через редактирование непосредственно базы данных можно и не раз логин сменить, но туда без опыта лучше не соваться
Добрый день, защита сайта это 50% работы от его администрирования, нужно каждую неделю менять пароль от admin, и стараться искать уязвимости ежедневно!
Когда вёл блог на вордпресс, то использовал именно этот плагин. Я делал 3 попытки в вода пароля и блок на 1 час. Всё было хорошо
Я даже более суровые параметры установила на всякий случай И регулярно делаю полный бэкап по ftp.
Я не сторонница установки лишних плагинов на сайт и стараюсь обходиться без них по возможности. Поэтому сама меняла admin в базе данных, по видео-уроку, который нашла в сети. Главное, сделать бэк ап, тогда в случае чего можно вернуть сайт назад.
Это Вы правильно делаете. Хотя насколько я понимаю, после смены логина админа через плагин этот самый плагин можно удалить, а логин останется прописанным в базе данных.