Здравствуйте, уважаемые друзья. Сегодня поговорим о безопасности, о защите вашего блога WordPress. WordPress самый популярный движок для создания сайтов и блогов, быстро, удобно, бесплатно. А раз так, то абсолютно не секрет где находятся файлы, отвечающие за административную панель WordPress. Чем в свою очередь могут воспользоваться мошенники и заполучить доступ к управлению блогом. А учитывая тот факт, что многие новички даже не задумываются о смене стандартного логина (admin) и пароля полученного при регистрации, это облегчает задачу злоумышленников.
Согласитесь, очень важно сохранить контроль над своим блогом, вы ведь не хотите потерять свой блог, вы столько сил и труда вложили в него.
Но пока вы новичок и ваш блог молод, вероятность того, что блог может быть взломан целенаправленно, крайне мала. Ну кому это интересно. Зато, сейчас по Интернету гуляет много шпионских скрипров, которые взламывают админки WP путём подбора логина и пароля. А это чревато не только взломом, но и реально тормозит работу блога. Так как нагрузка на сервер увеличивается стократно. Запросов к базе данных не счесть.
Но обезопасить свой блог возможно, и для этого потребуется выполнить несколько несложных действий.
Как известно, когда вы устанавливаете WordPress, то по умолчанию вам присваивается имя (admin) и генерируется пароль. Эти данные, как правило, приходят на почтовый ящик, указанный при регистрации. И мало кто из пользователей вообще задумываются о смене логина и пароля на начальном этапе.
Так вот в дальнейшем пароль Вы сможете сменить в административной панели WordPress, а вот логин сменить, так просто не удастся.
А раз у огромного множества владельцев блогов на WordPress одинаковый логин, задача злоумышленников упрощается. Подобрать остаётся только пароль.
Как сменить пароль к панели управления WordPress
Сменить пароль можно несколькими способами. Но, пожалуй, самый простой это смена пароля в панели управления WordPress. Для этого нужно открыть панель управления WP и перейти в раздел «Пользователи» > «Ваш профиль». Введите новый пароль в специальное поле и повторно введите новый пароль в поле подтверждения пароля.
Совет: придумывайте сложные пароли, используйте строчные и прописные латинские буквы, цифры. Сохраните пароль в надёжном месте, лучше в нескольких.
Как восстановить доступ к панели управления WordPress
На тот случай если Вы вдруг потеряли пароль или забыли, есть возможность восстановить пароль. Кстати этот способ можно использовать и для смены пароля.
Для восстановления пароля нужно пройти по адресу http://ВАШ ДОМЕН/wp-admin/ Файл, отвечающий за доступ в административную панель WP: wp-login.php.
Для восстановления пароля нужно нажать на ссылку «Забыли пароль? (Lost your password?)».
Далее нужно ввести e-mail адрес, указанный при регистрации или имя пользователя.
На указанный e-mail придёт письмо со ссылкой на смену пароля.
Пройдя по ссылке, нужно ввести новый пароль и подтвердить его.
Теперь можно войти в панель управления WP с новым паролем.
Как видите, данный способ позволяет, и восстановить доступ и сменить пароль. И обратите внимание, всё завязано на почтовом ящике. Поэтому, берегите от него пароль в надёжном месте, иначе вся ваша защита WP пойдёт насмарку. Да и не только это.
Как сменить логин пользователя WordPress
Надёжный пароль это очень хорошо, но для того чтобы усилить защиту следует сменить и логин пользователя. Так злоумышленник или шпионский скрип не сможет подобрать лишь один пароль, придётся еще и с логином возиться. А это многократно усложняет задачу и повышает безопасность Вашего блога.
Как я уже говорил выше, логин нельзя сменить в панели управления WordPress. Это делается через административную панель хостинга.
Я покажу пример на своём хостинге от Sprinthost. Статью о моём хостинге можно прочитать здесь.
Итак, зайдя в панель управления хостингом, нужно перейти в панель управления базами данных PhpMyAdmin.
Выберите нужную базу данных. Если у вас один блог, и вы не создавали дополнительных баз данных, значит она одна. Название будет выглядеть примерно так: логин от хостинга_ключ базы данных(префикс).
Теперь необходимо открыть таблицу wp_users. В этой таблице можно сменить и логин и пароль. Кстати, вот Вам ещё один способ для смены пароля.
Для того чтобы отредактировать запись пользователя нужно нажать на карандаш.
И теперь вы можете изменить и логин и пароль. Для этого достаточно удалить предыдущую запись и вписать новую.
Разумеется, вход в административную панель WP теперь вы осуществляет с новым логином. И в вашем профиле будет отображён новый логин, который также нельзя изменить через админку WordPress.
Следующим шагом к обеспечению безопасности, является ограничение попыток ввода логина и пароля. Изначально после установки WordPress, такого ограничения нет. И поэтому подсев на ваш сайт, шпионский скрипт очень здорово может нагрузить сервер, подбирая логин и пароль сколько угодно раз.
А нужно сделать так, чтобы при неверном вводе логина и пароля, IP с которого вводили данные – блокировался на определённое время. А при повторной попытке подбора, вообще блокировался навсегда.
Как ограничить количество попыток ввода логина и пароля
И в решении этой задачи нам помогут плагины для WordPress. Вот наиболее надёжные:
Плагин Better WP Security, очень мощный и всесторонне обеспечивает защиту вашего блога. Но он и сильней нагружает сервер. Плагин обладает огромным функционалом, описание которого потребует отдельной статьи. После установки, настройки можно и не менять, оставив всё по умолчанию. В таком случае на ввод логина и пароля отводится 3 попытки, если будут введены неверные данные трижды, IP блокируется на 15 минут. И на Вашу почту приходит уведомление, что с определённого IP была совершена попытка несанкционированного входа.
Этот плагин отличается от остальных, тем что при повторной попытке подобрать логин и пароль с того же IP, это IP блокируется навсегда. Попадает в чёрный список.
Итак, давайте рассмотрим функцию блокировки подбора логина и пароля плагином Better WP Security.
Установив плагин, у вас появится дополнительный раздел «Безопасность (Security)». Для изменения настроек нужно перейти в раздел «Настройки (Settings)» и применить настройки, удовлетворяющие Вашим потребностям. Я сделал вот так:
То есть после первой попытки подобрать пароль, IP блокируется на 100 минут. После повторного «косяка» блокируется навсегда (на период хранения журнала). И в белый список внесите свой IP для страховки.
Но если Вы не собираетесь пользоваться всем функционалом этого плагина, я советую для ограничения попыток ввода логина и пароля использовать менее функциональный, но не менее эффективный плагин Login LockDown.
Итак, для начала скачиваете свежую версию плагина, по приведенной выше ссылке. И устанавливаете его. И, конечно же, активируете.
После установки плагина следует выполнить некоторые настройки. Для этого перейдите в раздел «Настройки» — Login LockDown. И выполните настройки приведённые на скриншоте.
Установив такие параметры, после трёх неверных вводов логина и пароля, IP блокируется на 100 минут. Список блокируемых IP будет отображаться на странице настроек данного плагина.
Ещё одним надёжным способом защиты является изменение страницы входа в административную панель сайта. Это решение позволит без плагинов избавится от всех желающий добраться до вашей админки.
Применив эти несложные действия, вы значительно повысите защиту своего блога. И конечно же не забывайте проводить обновления движка WordPress, плагинов, темы оформления. Также если Вы не используете, какие то плагины, их лучше удалить вовсе. Держите свой блог в чистоте. И не забывайте делать почаще резервную копию блога.
А если, вам и этого кажется мало, тогда настройте двухуровневую защиту и можете спать спокойно. Такой уровень защиты обойти невозможно.
На этом у меня сегодня всё, применяйте полученные знания и будьте спокойны за свой блог. Желаю вам удачи, друзья.
С уважением, Максим Зайцев.
Полезная статья, Максим, спасибо. Недавно, просматривая свои статьи в режиме «Текст», обнаружил скрытые ссылки, закодированные в base64, в визуальном режиме они не видны. Понятно, что сайт был взломан. В папке tmp нашел 2 левых файла, добавленные совсем недавно. Как я понял, в этих файлах содержатся команды, которые автоматически добавляют ссылки в ваши новые статьи. Естественно, я их удалил. Затем поменял все пароли: админки, фтп, панели управления. Но вот о том, что можно сменить и логин, не знал.
В том то и дело, мы стараемся, пишем, работаем над своим блогом, а про защиту многие из нас забывают. Вот злодеи и пользуются этим. Поэтому очень важно суметь защитить свой блог. Бояс, рад что смог Вам помочь. Желаю удачи!
действительно, защита блога-это очень важно. Спасибо за дельные советы. Тоже пользуюсь плагином. Вот только с Better WP Security не сложилось.
Здравствуйте, Елена. Better WP Security мощный плагин позволяющий из панели администратора WP вносить изменения и в базу данных и настраивать очень много других параметров безопасности. Но достаточно одного неловкого движения и блог может накрыться. Поэтому нужно всегда делать резервные копии перед всякого рода внедрениями.
Максим подскажите ,установить плагин Login LockDown нужно после смены пароля и логина или без разницы ?)Спасибо.
Я так поняла , что он не учитывает IP.
Правильно?
А то я пользуюсь разными и боюсь , что плагин меня потом не пустит на блог)
Всем удачи.
Олия, когда устанавливать планиг не имеет значения. IP в качестве страховки можно прописать Better WP Security в Login LockDown такой возможности нет. Главное логин и пароль надёжные придумать и не забыть Желаю удачи!
Спасибо , пошла ставить)
Спасибо. Актуальная информация. Я пользовалась Login LockDown, но, к сожалению, он не обеспечивал 100% защиту. Нужно сочетание различных способов.
Это точно, 100% защиты не даёт ни один способ. А вот сочетание защитных мер, повышает уровень защиты.
Плагин хороший, но 100%-ной защиты не дает.
необходимо в комплексе применять его с несколькими защитами в т.ч. и с «защитой от дурака».
Согласен, поэтому я и предложил несколько вариантов для обеспечения защиты. Которые лучше всего использовать в совокупности.
Спасибо, Максим за статью. По Вашему совету сменил логин в админ панели WordPress, теперь ещё установлю плагин и буду спать спокойно.
Добрый день, Ян. Вы всё правильно сделали, нужно обезопасить свой блог от злоумышленников.
Спасибо, очень хорошая и полезная статья. Прочитал, теперь буду разбираться.
Валерий, если будут вопросы, спрашивайте. Я буду рад помочь. Желаю успешного применения на практике.
Спасибо, Максим, благодаря твоей статье поменял логин и пароль на своем сайте, он у меня уже два года и руки все не доходили. Думаю лучше пусть у меня руки дойдут, пока у кого-то другого не дошли, а я потом буду кусать локти А как проверить, был ли у меня сайт взломан или нет, может уже закинули мне гадости, а я и не знаю?
Сергей, привет. Безопасность превыше всего. Молодец, что нашёл время и всё настроил. А по поводу взлома, в кабинетах вебмастера Яндекс и Гугл в разделе «Безопасность» было бы сообщение о взломе и вредоносном коде обнаруженном на сайте. Раз уведомлений ты не получал, значит вредоносного кода на сайте нет. А все остальные поползновения злоумышленников ты отсёк сменой логина и пароля. Ещё хорошо бы сменить страницу входа в админ панель: http://1zaicev.ru/kak-izmenit-stranicu-vxoda-v-admin-panel-wordpress/
Спасибо, завтра продолжу заниматься безопасностью блога, сегодня много вызовов, энтерит у собак не прекращается, за комп не могу засесть надолго
Удачи тебе и крепкого здоровья пациентам!