]]>eTXT]]>


]]>]]>

Wordpress админка - как защитить сайт от взлома и вирусов

Практические советы как защитить сайт WordPress от взлома и проверить блог на вирусы. Не могу зайти в админку wordpress – значит, мне взломали сайт. О безопасности вордпресс или других cms нужно подумать до того, как вам взломают административную панель входа. Проверить на вирусы файлы шаблона можно при выборе тем.

Не ждите, пока взломают ваш сайт на вордпресс. Когда вам придется дважды восстанавливать доступ к админке, то приятных ощущений не получите. Пока сайт не особо посещаем, то и на крючок к взломщикам может и не попасть. Но только авторитет интернет проекта вырастет, а посещаемость начнет расти семимильными шагами, то тут и начинаются проблемы. Так случилось и со мной. После первого взлома я благополучно восстановила доступ к админке WordPress и успокоилась. Пронесло, так показалось… Но после повторного взлома подумалось, а что ж защиту не выставила тогда? Поэтому сегодня решила собрать всевозможные советы по защите сайтов от хакеров, а в частности вордпресс админок.
Советов по защите много, есть целые сайты, посвященные безопасности веб-ресурсов. Я соберу все лучшие рекомендации на этой странице.


Найдем слабые места в защите вордпресс блога с помощью плагинов:

AntiVirus for WordPress, скачать http://wordpress.org/extend/plugins/antivirus/ 
Устанавливаем и проверяем шаблон на наличие вирусов. Жмем «Scan the templates now». В результате чистые файлы будут показаны зеленым цветом, а желтым и красным подозрительные.

TAC (Theme Authenticity Checker) – проверяем темы wp на наличие вредоносного кода перед установкой. Скачать http://wordpress.org/extend/plugins/tac/

WP Security Scan, скачать http://wordpress.org/extend/plugins/wp-security-scan/
Настройка плагина. Во вкладке «Scanner» смотрим правильность прав доступа. Для папок права доступа - 755, папки  cache и uploads - 777, для файлов – 644, wp-config.php - 644).
Еще этот плагин может переименовать префикс wp_ без вашего входа в базу данных. Для этого идем на вкладку «Database» и вписываем собственный префикс. Но проверить  префикс лучше и в БД.

После того, как вы отсканируете  и исправите все слабые места, то можете удалить сам плагин.
Если возникнет проблема с входом в админку, то удалите виновный плагин.

 

Совет первый – установка плагинов для защиты WordPress сайта.

Плагин WordPress Anti-XSS attack — предупреждение и защита от XSS-атак wp блога. Это означает защиту от хакерских запросов с адресной строки.
Скачать русскую версию Anti-XSS attack http://mywordpress.ru/plugins/anti-xss-attack/
Установка стандартная:  залейте файл anti-xss-attack.php в папку wp-content/plugins/, затем активировать и все. Он будет работать.
На заметку по работе плагина: если в браузере пользователя отключена передача referer, то все действия пользователя вордпресс будет воспринимать как XSS-атаку.

Плагин Login LockDown (Limit Login Attempts) – заблокирует ботов, которые попытаются совершить взлом адинки вордпресс.  Выглядит это так: бот пытается попасть в административную часть блога с помощью подборов пароля. Плагин можно настроить на конкретный интервал времени таких попыток с одного ip. При его превышении бот будет заблокирован.  Настраивается и время блокировки, и отмена ее.
Скачать Login LockDown http://wordpress.org/extend/plugins/login-lockdown/ 
Устанавливаем как обычно. Залили  на сервер, активировали и настроили время. Можете оставить и по умолчанию.

Stealth Login – меняет адрес страницы авторизации, которая по умолчанию имеет адрес   WP-login.php. Можно придумать любой адрес типа «сайт/Любой_логин». Также он может запретить вход на сайт по адресу WP-login.php – для этого отметьте  «Stealth Mode».

Secure WordPress
Удаляет информацию об ошибке входа.
Добавляет index.php в папки плагинов и тем. Не даст злоумышленнику посмотреть список установленных плагинов. Такие файлы, как index.php и index.html лучше вставить во все папки. Иначе может произойти вот что: читайте ниже.
Закрывает возможность хакеру просмотреть какие плагины установлены на блоге с помощью добавления пустого файла index.html.
При запросе http://сайт.ru/index.html  можно обнаружить, что ваш блог все-таки поражен вредоносным кодом. Например, я обнаружила множество страниц не со своим контентом из несуществующей директории своего домена, типа http://сайт.ру/drivers/. Ответ сервера при этом код 200.

Удаляет WP-версии, кроме как в админ зоне. ]]>Профессиональный блог за день]]>
Удаляет Really Simple Discovery. (RSD)  - это формат XML  и издательское соглашение, создающие сервисы, используемые блогами, а также  иными  web-приложениями.
Удаление Windows Live Writer - это программа (редактор), c помощью которой можно писать и публиковать свои сообщения в блог.
Удаляет ядро обновления информации для не администраторов (т.е.  всем, кроме админа).
Удаляет информацию обновления плагинов для не администраторов.
Удаляет тему обновления информации для не администраторы (только WP 2.8 и выше)
Скрывает WP-версию на доске объявлений  для не администраторов.
Удаляет версию на URL-адресов из скриптов и таблиц стилей только на интерфейсе.
Блокирует любые подозрительные  запросы, которые могут быть вредны для вашего сайта WordPress.
Скачать плагин Secure WordPress  http://wordpress.org/extend/plugins/secure-wordpress/
Скачать Secure WordPress  на русском языке http://blogproblog.com/wp-content/uploads/2009/10/secure-wordpress.zip

Chap Secure Login защищает процесс авторизации путем шифрования. Это полезно в случае, когда хакерская программа отслеживает и перехватывает вашие данные.

Скачать Chap Secure Login http://wordpress.org/extend/plugins/chap-secure-login/


Еще подборка плагинов для усиления безопасности wp блога:
belavir (php MD5) - с его помощью сразу увидите в каких файлах произведены изменения.
bs-wp-noerrors
WordPress File Monitor – сканирование и отслеживание измененных файлов.

Полезно использовать защиту от спама, спамер может рассылать невидимые глазу ссылки:
WP-SpamFree на русском.

Попробовала плагин Better WP Security по совету в комментариях. Да, возможностей много и его можно ставить вместо нескольких. Но нужно осторожно пробовать все предлагаемые возможности. Не пренебрегайте бекапом базы данных при работе с ним и файлов. Например, при разрешении ему писать в файлах и смене плагином папки wp-content сайт перестал работать, а вход админа был заблокирован. Вылечилось удалением таблиц плагина в MySQL и заливанием прежних корневых файлов.


Второй совет для защиты вордпресс блога.

 

Зачищаем код, убирая или изменяя мета гег generator в header.php темы.

<meta name=”generator” content=”WordPress <?php bloginfo (’version’); ?>” />
Вместо вордпресс можно написать свое придуманное название
<meta name=»generator» content=айлялялюлю7 ?/>
Не получилось, то в wp-includes/general-template.php комментируем содержимое функции (то, что находится внутри функции):
function get_the_generator( $type ) {/**
……. */
}
Или закрываем мета тэг  генератор. Для этого в файле function.php установленной темы добавьте вверху после  <?php следующую строку:
remove_action(‘wp_head’,'wp_generator’);

Не переусердствуйте в самозащите.  Например, файлы .htaccess и search.php служат для настройки конфигурации веб-сервера и php. Хостер их тоже защищает, закрыв к ним доступ.  Так что следующий совет для продвинутых программистов и необязателен для остальных:

В файле поиска  search.php замените строку
<!--?php echo $_SERVER ['PHP_SELF']; ?-->

на
<!--?php bloginfo (’home’); ?-->
Таким образом, вы наложите запрет для взломщиков  рыться на вашем сервере.

 

 

 

Общие рекомендации по совершенствованию безопасности блога:

 

Сложный длинный пароль не менее 12 символов, пароль из одних цифр подбирается на раз-два;
Разные логины и пароли для хостинга, базы данных, входа на сайт, доступ по ftp, электронной почты, статистики и прочих сервисов;
Установите дополнительно пароль на папку wp-admin – такую возможность предоставляет хостер.

 

Белый экран в wordpress

Однажды может и такое случиться, что вместо админки будет белый лист. И вы никуда не можете попасть. В чем причина, вчера все работало, а сегодня белый лист на сайте? Ищите, гуглите для вашего случая. Но несколько нужных советов из того, что я нашла набросаю здесь.

Для отладки хорошо вывести ошибки для обозрения.

1. Здесь почитайте про вывод ошибок ]]>http://codex.wordpress.org/ЧАВО/Белый_экран на сайте]]>

2. В файл wp-config.php добавляем строки:

// Включить рапортирование ошибок для WP
define('WP_DEBUG', 1);
// НЕ показывать ошибки в браузере
define('WP_DEBUG_DISPLAY', 0);
// Сказать WP чтобы тот создал файл
define('WP_DEBUG_LOG', 1);

Затем логи просмотрите в /wp-content/debug.log

3. Еще способ включить показ ошибок - сделать следующую запись в .htaccess

php_value error_reporting E_ALL

 

4. Целый список ваших шагов ]]>http://codex.wordpress.org/Как_задавать_правильные_вопросы]]>

5. Быстро определить, есть ли проблема с плагинами или нет можно, переименовав на сервере папку с плагинами wp-content/plugins

    • Не обязательно, но можно изменить данные администратора через phpmyadmin в таблице wp-users, здесь же мы и восстанавливаем доступ к сайту в случае взлома. Прописываем количество попыток авторизации.
    • Полезно удалять не нужные файлы сразу после установки. В них имеется служебная информация, как версия движка и т.д.. Удалите из корня сайта файлы readme.html и license.txt.  Не оставляйте возможности повторно установить блог – удалите файл install.php.
    • Эти способы скроют лишь версию cms, т.к. используемый движок можно легко вычислить по стандартным папкам (например, наберите в поисковой строке http://сайт.ру/wp-admin или http://сайт.ру/wp-login.php), по пути к файлам, скриптам, листу стилей, картинкам – в адресах увидите «wp-content», в сервисах автоматического определения движков сайта типа http://2ip.ru/cms/ тоже легко определите cms. Если взломщик не определит версию вордпресс, то жизнь его усложнится при поиске слабых мест сайта. А для того, чтобы скрыть сам тип движка, как видите, нужно повозиться.
    • Вбейте в адресную строку http://ваш_сайт.ру /wp-content/ и http://ваш_сайт.ру /wp-content/plugins/. Чистый лист – хорошо, но если вы увидели содержимое, то срочно запретите доступ к каталогам в файле htaccess.
    • Делайте бекап блога, установив плагин WordPress Database Backup. Скачать русифицированный http://mywordpress.ru/plugins/wordpress-database-backup/
    • Запрещение регистрации пользователей на сайте тоже укрепит безопасность интернет проекта.
    • Простой и быстрый способ защиты блога от взлома – настройки пользователя, вы там как admin и есть возможность добавления ника. Воспользуйтесь этим. Сделайте себе ник и отметьте  его «отображать как». Плюс и пароль сделайте сложным. Хакер в этом случае будет подбирать пару ник-пароль вместо логин-пароль.
    • Удаление с темы вордпресс ссылки на административный вход тоже усложнит жизнь хакерам.

А если wp блог уже взломали, то читайте инструкцию, как восстановить доступ к админке.

Еще полезно ознакомиться: Как проверить сайт на зараженность вирусами

Навигатор по интернету

Узнать простую, но эффективную систему для наращивания трафика. Плюс эта книга с правами перепродажи. 

Узнать подробнее!

Создание сайта

Сделать веб-сайт по приемлемым ценамЗаказать создание сайта под ключ. Цена: недорого.





Если вам понравилась статья, вы можете ]]>подписаться на RSS]]> или E-mail рассылку. Для получения обновлений по электронной почте, введите ваш e-mail адрес в эту форму:

Введите Ваш email:

Подпишись с ]]>FeedBurner]]>

Другие сервисы почтовых рассылок

* Нажимая на кнопку "Подписаться!" я даю согласие на рассылку и соглашаюсь с политикой конфиденциальности