Защита блога WordPress от взлома 19


Здравствуйте, уважаемые друзья. Сегодня поговорим о безопасности, о защите вашего блога WordPress. WordPress самый популярный движок для создания сайтов и блогов, быстро, удобно, бесплатно. А раз так, то абсолютно не секрет где находятся файлы, отвечающие за административную панель WordPress. Чем в свою очередь могут воспользоваться мошенники и заполучить доступ к управлению блогом. А учитывая тот факт, что многие новички даже не задумываются о смене стандартного логина (admin) и пароля полученного при регистрации, это облегчает задачу злоумышленников.

Согласитесь, очень важно сохранить контроль над своим блогом, вы ведь не хотите потерять свой блог, вы столько сил и труда вложили в него.

Но пока вы новичок и ваш блог молод, вероятность того, что блог может быть взломан целенаправленно, крайне мала. Ну кому это интересно. Зато, сейчас по Интернету гуляет много шпионских скрипров, которые взламывают админки WP путём подбора логина и пароля. А это чревато не только взломом, но и реально тормозит работу блога. Так как нагрузка на сервер увеличивается стократно. Запросов к базе данных не счесть.

Но обезопасить свой блог возможно, и для этого потребуется выполнить несколько несложных действий.

Как известно, когда вы устанавливаете WordPress, то по умолчанию вам присваивается имя (admin) и генерируется пароль. Эти данные, как правило, приходят на почтовый ящик, указанный при регистрации. И мало кто из пользователей вообще задумываются о смене логина и пароля на начальном этапе.

Так вот в дальнейшем пароль Вы сможете сменить в административной панели WordPress, а вот логин сменить, так просто не удастся.

Логин так просто не сменить

Логин так просто не сменить

А раз у огромного множества владельцев блогов на WordPress одинаковый логин, задача злоумышленников упрощается. Подобрать остаётся только пароль.

Как сменить пароль к панели управления WordPress

Сменить пароль можно несколькими способами. Но, пожалуй, самый простой это смена пароля в панели управления WordPress. Для этого нужно открыть панель управления WP и перейти в раздел «Пользователи» > «Ваш профиль». Введите новый пароль в специальное поле и повторно введите новый пароль в поле подтверждения пароля.

Создание нового пароля

Создание нового пароля

Совет: придумывайте сложные пароли, используйте строчные и прописные латинские буквы, цифры. Сохраните пароль в надёжном месте, лучше в нескольких.

Как восстановить доступ к панели управления WordPress

На тот случай если Вы вдруг потеряли пароль или забыли, есть возможность восстановить пароль. Кстати этот способ можно использовать и для смены пароля.

Для восстановления пароля нужно пройти по адресу http://ВАШ ДОМЕН/wp-admin/ Файл, отвечающий за доступ в административную панель WP: wp-login.php.

Восстановление пароля

Восстановление пароля

Для восстановления пароля нужно нажать на ссылку «Забыли пароль? (Lost your password?)».

Далее нужно ввести e-mail адрес, указанный при регистрации или имя пользователя.

Ввод e-mail

Ввод e-mail

На указанный e-mail придёт письмо со ссылкой на смену пароля.

Ссылка на восстановление пароля

Ссылка на восстановление пароля

Пройдя по ссылке, нужно ввести новый пароль и подтвердить его.

Ввод нового пароля

Ввод нового пароля

Теперь можно войти в панель управления WP с новым паролем.

Вход с новым паролем

Вход с новым паролем

Как видите, данный способ позволяет, и восстановить доступ и сменить пароль. И обратите внимание, всё завязано на почтовом ящике. Поэтому, берегите от него пароль в надёжном месте, иначе вся ваша защита WP пойдёт насмарку. Да и не только это.

Как сменить логин пользователя WordPress

Надёжный пароль это очень хорошо, но для того чтобы усилить защиту следует сменить и логин пользователя. Так злоумышленник или шпионский скрип не сможет подобрать лишь один пароль, придётся еще и с логином возиться. А это многократно усложняет задачу и повышает безопасность Вашего блога.

Как я уже говорил выше, логин нельзя сменить в панели управления WordPress. Это делается через административную панель хостинга.

Я покажу пример на своём хостинге от Sprinthost. Статью о моём хостинге можно прочитать здесь.

Итак, зайдя в панель управления хостингом, нужно перейти в панель управления базами данных PhpMyAdmin.

Вход в PhpMyAdmin

Вход в PhpMyAdmin

Выберите нужную базу данных. Если у вас один блог, и вы не создавали дополнительных баз данных, значит она одна. Название будет выглядеть примерно так: логин от хостинга_ключ базы данных(префикс).

Выбор базы данных

Выбор базы данных

Теперь необходимо открыть таблицу wp_users. В этой таблице можно сменить и логин и пароль. Кстати, вот Вам ещё один способ для смены пароля.

Таблица отвечающая за пользователей

Таблица отвечающая за пользователей

Для того чтобы отредактировать запись пользователя нужно нажать на карандаш.

Редактирование записи в таблице

Редактирование записи в таблице

И теперь вы можете изменить и логин и пароль. Для этого достаточно удалить предыдущую запись и вписать новую.

Смена логина

Смена логина

Разумеется, вход в административную панель WP теперь вы осуществляет с новым логином. И в вашем профиле будет отображён новый логин, который также нельзя изменить через админку WordPress.

Новый логин

Новый логин

Следующим шагом к обеспечению безопасности, является ограничение попыток ввода логина и пароля. Изначально после установки WordPress, такого ограничения нет. И поэтому подсев на ваш сайт, шпионский скрипт очень здорово может нагрузить сервер, подбирая логин и пароль сколько угодно раз.

А нужно сделать так, чтобы при неверном вводе логина и пароля, IP с которого вводили данные – блокировался на определённое время. А при повторной попытке подбора, вообще блокировался навсегда.

Как ограничить количество попыток ввода логина и пароля

И в решении этой задачи нам помогут плагины для WordPress. Вот наиболее надёжные:

Better WP Security

Login LockDown

Плагин Better WP Security, очень мощный и всесторонне обеспечивает защиту вашего блога. Но он и сильней нагружает сервер. Плагин обладает огромным функционалом, описание которого потребует отдельной статьи. После установки, настройки можно и не менять, оставив всё по умолчанию. В таком случае на ввод логина и пароля отводится 3 попытки, если будут введены неверные данные трижды, IP блокируется на 15 минут. И на Вашу почту приходит уведомление, что с определённого IP была совершена попытка несанкционированного входа.

Письмо об атаке

Письмо об атаке

Этот плагин отличается от остальных, тем что при повторной попытке подобрать логин и пароль с того же IP, это IP блокируется навсегда. Попадает в чёрный список.

Итак, давайте рассмотрим функцию блокировки подбора логина и пароля плагином Better WP Security.

Установив плагин, у вас появится дополнительный раздел «Безопасность (Security)». Для изменения настроек нужно перейти в раздел «Настройки (Settings)» и применить настройки, удовлетворяющие Вашим потребностям. Я сделал вот так:

Настройки плагина Better WP Security

Настройки плагина Better WP Security

То есть после первой попытки подобрать пароль, IP блокируется на 100 минут. После повторного «косяка» блокируется навсегда (на период хранения журнала). И в белый список внесите свой IP для страховки.

Но если Вы не собираетесь пользоваться всем функционалом этого плагина, я советую для ограничения попыток ввода логина и пароля использовать менее функциональный, но не менее эффективный плагин Login LockDown.

Итак, для начала скачиваете свежую версию плагина, по приведенной выше ссылке. И устанавливаете его. И, конечно же, активируете.

Установка плагина

Установка плагина

После установки плагина следует выполнить некоторые настройки. Для этого перейдите в раздел «Настройки» — Login LockDown. И выполните настройки приведённые на скриншоте.

Настройки плагина Login LockDown

Настройки плагина Login LockDown

Установив такие параметры, после трёх неверных вводов логина и пароля, IP блокируется на 100 минут. Список блокируемых IP будет отображаться на странице настроек данного плагина.

Ещё одним надёжным способом защиты является изменение страницы входа в административную панель сайта. Это решение позволит без плагинов избавится от всех желающий добраться до вашей админки.

Применив эти несложные действия, вы значительно повысите защиту своего блога. И конечно же не забывайте проводить обновления движка WordPress, плагинов, темы оформления. Также если Вы не используете, какие то плагины, их лучше удалить вовсе. Держите свой блог в чистоте. И не забывайте делать почаще резервную копию блога.

А если, вам и этого кажется мало, тогда настройте двухуровневую защиту и можете спать спокойно. Такой уровень защиты обойти невозможно.

На этом у меня сегодня всё, применяйте полученные знания и будьте спокойны за свой блог. Желаю вам удачи, друзья.

С уважением, Максим Зайцев.



Если статья оказалась для Вас полезной, поделитесь с друзьями, жмите на кнопочки:


Подписывайтесь на новые статьи!


Оставьте комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

19 коммент. к статье “Защита блога WordPress от взлома

  • Баяс

    Полезная статья, Максим, спасибо. Недавно, просматривая свои статьи в режиме «Текст», обнаружил скрытые ссылки, закодированные в base64, в визуальном режиме они не видны. Понятно, что сайт был взломан. В папке tmp нашел 2 левых файла, добавленные совсем недавно. Как я понял, в этих файлах содержатся команды, которые автоматически добавляют ссылки в ваши новые статьи. Естественно, я их удалил. Затем поменял все пароли: админки, фтп, панели управления. Но вот о том, что можно сменить и логин, не знал.

    • Максим Зайцев От автора

      В том то и дело, мы стараемся, пишем, работаем над своим блогом, а про защиту многие из нас забывают. Вот злодеи и пользуются этим. Поэтому очень важно суметь защитить свой блог. Бояс, рад что смог Вам помочь. Желаю удачи!

  • Елена

    действительно, защита блога-это очень важно. Спасибо за дельные советы. Тоже пользуюсь плагином. Вот только с Better WP Security не сложилось.

    • Максим Зайцев От автора

      Здравствуйте, Елена. Better WP Security мощный плагин позволяющий из панели администратора WP вносить изменения и в базу данных и настраивать очень много других параметров безопасности. Но достаточно одного неловкого движения и блог может накрыться. Поэтому нужно всегда делать резервные копии перед всякого рода внедрениями.

  • Олия

    Максим подскажите ,установить плагин Login LockDown нужно после смены пароля и логина или без разницы ?)Спасибо.
    Я так поняла , что он не учитывает IP.
    Правильно?
    А то я пользуюсь разными и боюсь , что плагин меня потом не пустит на блог)
    Всем удачи.

    • Максим Зайцев От автора

      Олия, когда устанавливать планиг не имеет значения. IP в качестве страховки можно прописать Better WP Security в Login LockDown такой возможности нет. Главное логин и пароль надёжные придумать и не забыть 🙂 Желаю удачи!

  • Natalya

    Спасибо. Актуальная информация. Я пользовалась Login LockDown, но, к сожалению, он не обеспечивал 100% защиту. Нужно сочетание различных способов.

    • Максим Зайцев От автора

      Это точно, 100% защиты не даёт ни один способ. А вот сочетание защитных мер, повышает уровень защиты.

  • Alexa

    Плагин хороший, но 100%-ной защиты не дает.
    необходимо в комплексе применять его с несколькими защитами в т.ч. и с «защитой от дурака».

    • Максим Зайцев От автора

      Согласен, поэтому я и предложил несколько вариантов для обеспечения защиты. Которые лучше всего использовать в совокупности.

  • Ян Збаразкий

    Спасибо, Максим за статью. По Вашему совету сменил логин в админ панели WordPress, теперь ещё установлю плагин и буду спать спокойно.

    • Максим Зайцев От автора

      Добрый день, Ян. Вы всё правильно сделали, нужно обезопасить свой блог от злоумышленников.

  • Валерий

    Спасибо, очень хорошая и полезная статья. Прочитал, теперь буду разбираться.

    • Максим Зайцев От автора

      Валерий, если будут вопросы, спрашивайте. Я буду рад помочь. Желаю успешного применения на практике.

  • Сергей

    Спасибо, Максим, благодаря твоей статье поменял логин и пароль на своем сайте, он у меня уже два года и руки все не доходили. Думаю лучше пусть у меня руки дойдут, пока у кого-то другого не дошли, а я потом буду кусать локти 🙂 А как проверить, был ли у меня сайт взломан или нет, может уже закинули мне гадости, а я и не знаю?

    • Максим Зайцев От автора

      Сергей, привет. Безопасность превыше всего. Молодец, что нашёл время и всё настроил. А по поводу взлома, в кабинетах вебмастера Яндекс и Гугл в разделе «Безопасность» было бы сообщение о взломе и вредоносном коде обнаруженном на сайте. Раз уведомлений ты не получал, значит вредоносного кода на сайте нет. А все остальные поползновения злоумышленников ты отсёк сменой логина и пароля. Ещё хорошо бы сменить страницу входа в админ панель: http://1zaicev.ru/kak-izmenit-stranicu-vxoda-v-admin-panel-wordpress/

      • Сергей

        Спасибо, завтра продолжу заниматься безопасностью блога, сегодня много вызовов, энтерит у собак не прекращается, за комп не могу засесть надолго 🙂