Защита сайтаЗдравствуйте уважаемые дамы и господа. Сегодня мы с Вами поговорим о защите сайта от взлома.

Первое, что нужно сделать после создания сайта или блога, это позаботиться о его защите. Как только Ваш ресурс становиться популярным, у него начинает расти посещаемость, это начинает привлекать и людей, которые захотят воспользоваться плодами вашего труда. Для того чтобы обеспечить защиту своему сайту, необходимо сразу заменить логин входа в админ панель.

По умолчанию, при установке  движка WordPress, стоит логин Admin. Многие пользователи оставляют этот логин, устанавливая лишь свой пароль на вход. Это хорошо известно и взломщикам.  А так как взлом логина и пароля обычно производится путем подбора с помощью специальных программ, то это уже 50% успеха. Остается подобрать только пароль. О последствиях, я думаю, вы догадываетесь. Поэтому не помешает периодически производить смену логина и пароля, и при этом делать их достаточно сложными для взлома.

Надежный пароль -- защита от хакеров

Пароль админки на движке WordPress сменить очень просто. При входе в админ. панель ниже формы ввода логина и пароля есть ссылка "Забыли пароль?". Нажимаете на нее и попадаете на страницу, где вас просят ввести имя пользователя или e-mail. Вводите, и нажимаете на кнопку "Получить новый пароль".

К вам на почту придет письмо, в котором вам будет предложено пройти по ссылке. Нажимаете на ссылку и оказываетесь на странице замены пароля. Здесь вводите новый пароль, еще раз подтверждаете его  и нажимаете на кнопку "Задать новый пароль". Все ваш пароль успешно заменен.

Сменить пароль можно и другим способом. Заходите в админ. панель. слева  находите пункт меню

"Пользователи". В выпавшем меню жмете на  "Ваш профиль", и в конце открывшейся страницы настройки профиля находите пункт "Новый пароль".  Здесь в поля ввода два раза вводите новый пароль и нажимаете на кнопку "Обновить профиль".

Здесь же в панели администрирования можно поменять логин и пароль еще одним способом. Так же выбираем пункт

"Пользователи", только в выпавшем меню жмем на пункт "Добавить нового". На странице добавления нового пользователя заполняете поле "Имя пользователя" -- это и будет ваш новый логин. Свой e-mail, придумываете хороший пароль и повторяете его.

 

 

Обязательно дайте новому пользователю права администратора. И пожалуйста, запишите новый логин и пароль, а то вдруг забудете.  Так же можно поставить галочку "Отправить пароль на e-mail" и вы получите свой пароль на почту, которую указали Теперь можно нажимать на кнопку "Добавить нового пользователя".

С этого момента у вас будет два пользователя с равными правами администратора. Закрываете панель администрирования и опять заходите в нее под новым логином и паролем. Заходите в пункт меню "Пользователи" -- "Все пользователи", наводите курсор на свою старую учетную запись и нажимаете на "Удалить".

На странице удаления пользователей обязательно нажимаете на кнопку "Связать все записи и ссылки с другим пользователем".  Убеждаетесь в том, что в окошке со стрелочкой стоит ваш новый логин и нажимаете на кнопку "Подтвердите удаление". Все теперь вы единственный и полноправный хозяин с новым логином и паролем.

Если вы по каким-либо причинам не можете войти в свою админ панель, забыли логин и пароль или их поменяли хаккеры, то на этот случай можно воспользоваться еще одним способом смены логина и пароля. Без паники отправляетесь на свой хостинг. В нашем случае это хостинг TimeWeb

Заходите в панель управления аккаунтами. Находите пункт "Базы данных MySQL" и кликаете по нему. На странице "Управление базами данных MySQL" получаете полный доступ.

Для этого вводим в поле ввода придуманный нами пароль и нажимаем на кнопку "Включить доступ"  После этого наше окно примет следующий вид

Жмем на кнопку "Войти в phpMyAdmin" и оказываемся на странице phpMyAdmin. Здесь слева выбираем нашу базу данных, кликаем по ней и перед нами откроется структура нашей базы.

Выбираем пункт "wp_users" и кликаем по иконке "Обзор".

Здесь мы увидим свой логин и пароль в зашифрованном виде. Следующим шагом мы нажимаем на кнопку "Изменить" (это карандаш) и оказываемся на странице редактирования.

Напротив пункта user_pass выбираем способ кодирования пароля MD5 и вместо иероглифов, которыми закодирован наш бывший пароль просто вводим новый пароль. Сверху и снизу пароля вводим наш новый логин и нажимаем кнопку OK. Все наши логин и пароль изменены. Теперь необходимо взять себе за правило периодически менять  логин и пароль. Защита сайта прежде всего.

Следующим шагом необходимо запретить регистрацию пользователей на сайте. Для тех кому это нужно Вы сами  откроете доступ к вашей админке и определите их права. Для этого заходим в консоль "Параметры" -- "Общие" и напротив пункта "Членство" снимаем галочку "Любой может зарегистрироваться". Это  намного повысит безопасность сайта.

Дальше, проверяем наши следующие директории: http://ваш блог/wp-content/  и   http://ваш блог/wp-content/plugins/. Для этого  набираем их поочередно в браузере. Если после вызова этих директорий видны находящиеся в них файлы и папки, то в каждую из них необходимо создать и поместить пустой файл index.php. После этого, при попытке войти в эти директории, вы будете видеть пустые страницы.

Защита сайта с помощью плагинов

Одним из распространенных способов взломать блог является подбор пароля и логина. Делается это с помощью специальных программ, которые автоматически подбирают все возможные варианты. Здесь нам может помочь плагин Login LockDown.  Этот плагин вводит ограничение на количество попыток ввода логина или пароля с одного IP-адреса. Плагин TAK поможет обнаружить и обезвредить вредоносный код при установке новой или уже установленной темы WordPress. Как это сделать, можно прочитать здесь

Обязательно устанавливаем плагин WordPress DataBase BackUp. C помощью этого плагина мы сможем получать резервные копи баз данных и файлов нашего сайта на свой e-mail по расписанию. Как установить и как работает этот плагин можно прочитать по адресу. В случае неприятностей, всегда можно восстановить блог из резервной копии.

Кроме того будут полезны плагины WP Security Scan и WordPress Exploit Scanner. Эти плагины не требуют постоянной активации. Достаточно раз в неделю или две проверить состояние вашего блога и деактивировать их. Это поможет найти уязвимости вашего блога и устранить их.

CMS WordPress имеет открытый исходный код, в котором имеются не закрытые уязвимости. Эти дыры и являются местом проникновения хакеров. Поэтому необходимо регулярно обновлять CMS до новой версии, в которой известные дыры как правило закрываются и хакерам приходится искать новые возможности для проникновения. Так же необходимо скрыть всю информацию об установленной версии CMS. У каждой версии свои возможности для взлома, поэтому знание версии CMS облегчает хакерам работу.

 

P.S.  CMS WordPress и плагины скачивайте только с официального сайта или сайта разработчика. Шаблоны для CMS берите только у проверенных разработчиков. Посредники могут запросто вшить в шаблон или плагин вредоносный код, который принесет Вам не мало хлопот. Защита сайта от взлома в ваших руках

C уважение Владимир.

 

 

 

 

 

 

 

рассказать друзьям и получить подарок