Перейти к содержимому

23 ноября, 2012

28

Безопасность сайта — 7 рекомендаций + 7 плагинов и еще несколько советов для защиты блога

Эффективная безопасность блога

Привет читателям SeoVast.ru, Сегодня, как и обещалподробный мануал по безопасности сайта на WordPress. Большинство из приведенных вещей настолько просты, что иной раз о них просто забываешь. Часть информации разбросана по интернету, как отдельные статьи и именно по этому я сделал подробный обзор по безопасности сайта на WordPress (но сильно не расслабляйтесь — это только первая статья).

Безопасность сайта — первые шаги после установки WordPress

Итак, давайте с вами представим, что мы только сегодня зарегистрировали хостинг и установили WordPress, на многих сайтах ничего не меняется и через год, как будто они только сегодня поставили ВордПресс.

  1. Первое, что нужно сделать — это удалить все ненужные файлы из корневой папки вашего сайта. Я приведу пример на хостинге TimeWeb — папка _public.html. Переходим в нее и удаляем следующие файлы: readme.html, license.txt, hello.php. Такие файлы не имеют никакой роли для сайта и лишнюю информацию необходимо удалять.Безопасность сайта - удаляем ненужное
  2. Создаем пустой файл Index.php (просто создайте пустой текстовый документ и переименуйте на index.php) и добавляем его в следующие папки: wp-includes/, wp-content/, /plugins/, что бы убедиться, что все правильно сделали перейдите по по адресу — ваш сайт/plugins (так же для других) и убедитесь, что отображается пустая страница. В противном случае не имея пустой индексной страницы на сайте вы даете возможность злоумышленникам увидеть различные данные о вашей системе, как к примеру версия плагинов.
  3. Редактируем файл wp-config.php Меняем секретный ключ с дефолтного: Безопасность сайта редактируем wp-config Используйте этот сервис. Ключи безопасности используются при хэшировании паролей, чтобы усилить их.
  4. Перемещаем файл wp-config.php на уровень выше, то есть если раньше он находился в папке _public.html, то теперь мы перемещаем его на тот же уровень, что бы получилось два файла  — _public.html и wp-config. WordPress по умолчанию перейдет на уровень выше, если не обнаружит данный файл в нужной директории, так что дополнительных настроек вам не потребуется.
  5. Устанавливаем правильные права на файлы и папки
    Основное правило: Для файлов — 644? Для папок — 755
  6. Теперь заходим в административную панель нашего сайта и первым делом меняем пароль на сложный. Для этого переходим по вкладке «пользователи»- «ваш профиль». Так же желательно поменять имя администратора на более сложное (как это сделать в следующей статье).
  7. Удаляем данные о версии WordPress из шаблона. переходим в редактор тем, далее header.php. Здесь нам нужно найти и удалить строчку: <meta name=»generator» content=»WordPress <?php bloginfo(‘version’); ?>» />. Этот код отображает текущую версию вашего движка и делиться такой ценной информацией просто опасно. Для проверки нажмите в своем браузере «Ctrl+U» и если в коде есть версия WordPress, то ищем код в шаблоне. Весь код не нужно просматривать, версия отображается обычно до тега </head>.

Основные плагины для безопасности сайта на WordPress

  1. Переходим к плагинам и первый плагин WordPress? который рекомендую установить - Login LockDown. Данный плагин позволяет изменить количество попыток входа в WP. К примеру настраиваем 3 попытки входа и при неправильном наборе логина в течении 10 минут или пароля возможность следующего входа равна 60 минутам. По умолчанию плагин блокирует на 1 час блок IP адресов после 3 неудачных попыток входа в течении 5 минут. Безопасность сайта - вход в админку Только не увлекитесь и не поставьте все на максимум, а то сами не попадете к себе на сайт при ошибке))).
  2. плагин Secure WordPress — выполняет довольно много функций, но в больше степени предназначен для блогов, где есть зарегистрированные пользователи с различными правами. Плагин удаляет все информационные сообщения для пользователей об обновлениях WordPress, плагинов, тем (для всех кроме администратора). Скрывает номер версии WordPress. Блокирует различные запросы, которые могут нанести вред вашему сайту.
  3. Плагин Anti-XSS attack — защищает вас (вернее ваш блог) от XSS-атак, плагин достаточно активировать и больше никакие настройки не требуются.
  4. Еще один плагин —  WP Security Scan. Он сканирует и показывает все уязвимости на вашем сайте. После установки просто перейдите по всем разделам новой вкладки WSD-secuirity. Не обязательно даже знать английский, что бы понять выводимые проблемы на сайте.
  5. Следующий Плагин Hide Login. По умолчанию вход в админ-панель вашего сайта имеет вид www.ваш сайт/wp-login.php плагин же позволяет задать новый адрес для входа.
  6. WordPress File Monitor сообщает обо всех изменениях в файлах вашего сайта. Сообщения выводятся, как в админке, так и дублируются на почту. Такой плагин достаточно иногда включать и проверять, что все впорядке (никто не шарился по вашим файлам конфигурации).
  7. Плагин  WP Secure Scan — позволяет заменить префикс WP на другой для работающего сайта. Тоесть вы можете изменить все пути начинающиеся с WP не боясь запутаться в настройках и всех файлах содержащих данные пути.

Еще несколько советов по безопасности вашего сайта на WordPress

  • После выбора подходящей темы WordPress — удаляем неиспользуемые шаблоны.
  • Удаляем все неиспользуемые плагины.
  • Следим за обновлениями WordPress.
  • Следим за обновлениями плагинов.
  • Следите за обновлениями безопасности http://secunia.com/advisories/search/?search=WordPress.
  • Проверяйте все скрипты, темы и плагины на безопасность и содержание вредоносного кода.
  • Не используйте слабые пароли и логины.
  • Регулярно делайте резервные копии данных.
  • Ждите обновлений на моем блоге по этой теме (скоро будут).
Ах, да! Чуть не забыл)) Я уже рассказывал о том, что сейчас жаркая пора для конкурсов и поэтому без такого блока просто не обойтись: Статья «Безопасность сайта на WordPress«участвует в конкурсе: 7 советов на блоге Vovka.su (ну о нем то думаб не нужно рассказывать).


Статья написана при поддержке — iMacin.ru — интересного проекта об Apple.

Понравилась статья!?
Хотите получать новые на свой почтовый ящик ?
Это просто!

Создать свой сайт с SeoVast

Так же читайте:



Также вы можете просмотреть Все записи блога

Узнайте больше из Настройка



Узнавайте О Новых Статьях По Почте


28 комментариев Написать комментарий
  1. Ноя 23 2012

    Ну, вот и ещё одна возможность устроить перекличку благодаря очередному Вовкиному конкурсу. К слову, тема опять весьма удачная подобрана. В прошлый раз были рецепты, в этот раз советы… всё реальный контент… Желаю удачи!

    [Ответить]

    Иванов Сергей Reply:

    Да конкурсы у него действительно отличные.

    [Ответить]

  2. Ноя 24 2012

    Обязательно нужно упомянуть о руссифицированных темах, и внешних ссылках, заложенных в них. В Роисси целый бизнес построили на этом.

    [Ответить]

    Иванов Сергей Reply:

    Это да… Даже прогоны через шаблоны можно купить.

    [Ответить]

  3. Ноя 24 2012

    Отличная статья. Нашла несколько плагинов о которых раньше не знала.

    [Ответить]

  4. Эрик
    Ноя 25 2012

    Слушай, у меня такая же проблема, у меня очень много редиректов. Как с этим справиться?

    [Ответить]

    Иванов Сергей Reply:

    О редиректах я писал подробно здесь http://seovast.ru/kak-skryt-partnerskuyu-ssylku-pryachem-referalnye-ssylki/ создается отдельная папка, закрываем ее в robots.txt и скидываем туда все ссылки.

    [Ответить]

  5. Ноя 27 2012

    Хорошая тема. Не хотелось бы, чтобы взломали блог. Некоторые плагины я уже применяю, но только что узнал о новых. Спасибо за статью.

    [Ответить]

  6. Однако! У меня даже половины нет из этого арсенала. Кстати, плагин WordPress File Monitor почему-то не сработал. Может, неправильно настроила, а может, просто не приживаются некоторые. Темы лишние пойду удалю. Спасибо за полезную статью. К ней бы еще 7 с инструкциями по каждому пункту. Кто в теме, они и сами знают, как обеспечить безопасность. А вот кто не совсем — нам разжевать все желательно. :)
    Успехов в конкурсе!

    [Ответить]

    Иванов Сергей Reply:

    Обязательно напишем подробный обзор всех пунктов… Эх еще бы времени побольше было в сутках))))

    [Ответить]

  7. mishuta 2012
    Ноя 27 2012

    А как определить лишние файла на другом хостинге? Там столько разных файлов и папок, что к теме на пятый уровень добираешься.

    [Ответить]

    Иванов Сергей Reply:

    Файлы о которых я писал находятся в корневой папке вашего сайта, ну и еще можно просмотреть файлы темы: wp-content-themes-имя вашей темы.

    [Ответить]

  8. Ноя 27 2012

    А после обновления версии движка файл wp-config.php опять надо будет на следующий уровень переносить или он автоматически обновится?

    [Ответить]

    Иванов Сергей Reply:

    Ой, точно не помню… Но по моему, когда я обновлял, то автоматом все прописалось (пробуйте).

    [Ответить]

  9. Ноя 27 2012

    Регулярно делайте резервные копии данных.

    А еще лучше настроить ежедневные автоматические бекапы. вручную их делать не круто

    И убейте вашу капчу, я ее на тачпаде 2 минуты не мог собрать!

    [Ответить]

    Иванов Сергей Reply:

    Раньше стоял бекап раз в неделю, но теперь немного поменял (то есть на раз в день) и делаются копии автоматически, как раз по этой теме и будет ближайшая статья.

    [Ответить]

    Надежда Хачатурова Reply:

    И у меня стоит раз в неделю, а хостинг бэкапы не делает автоматически. Поменять на ежедневные, наверное, лучше? Случись что, как минимум 7 статей заливать по-новой придется, а то и больше. А если еще со ссылками?

    [Ответить]

    Иванов Сергей Reply:

    Да после последнего своего происшествия я просто уверен в необходимости ежедневных беков ( если разберетесь, то используйте dropbox) раньше, как то думал «да ладно и так нормально»… Все меняется)))

    [Ответить]

    Надежда Хачатурова Reply:

    Так у меня на Dropbox и скидывается все. Только не пойму логики: а зачем открывать папку, которая на компьютере? В смысле, держать ее открытой. Это же компьютера не касается?

    [Ответить]

    Иванов Сергей Reply:

    Я что то не совсем понял — у вас открыт доступ на эту папку или просто она синхронизируется с компьютером?

  10. mishuta 2012
    Ноя 29 2012

    На сайте автора плагина Anti-XSS attack комментарий, не внушающий доверия
    «ПЛАГИН НЕ АКТУАЛЕН ДЛЯ WP версии 2.5 и выше (новее)»?!!

    [Ответить]

    Надежда Ковальская Reply:

    У меня стоит Anti-Xss, WordPress самая новая версия, все работает..

    [Ответить]

  11. Ноя 29 2012

    После очередного обновления WordPress ваши плагины и сайт могут не работать, это факт.
    Делайте полную копию сайта перед обновлением — ВСЕГДА!

    [Ответить]

    Иванов Сергей Reply:

    Конечно могут не работать, именно поэтому я практически в каждой статье упоминаю об обязательном резервном копировании. Сайт может полететь и при установке нового плагина и при обновление и при небольшой правке кода, так что лучше всегда иметь запасной вариант.

    [Ответить]

  12. Дек 3 2012

    Спасибо, за совету, пошел применять.

    [Ответить]

  13. Дек 5 2012

    Спасибо! У Вас получилась действительно полезная статья с реальными рекомендациями по самому, наверное, популярному у блоггеров движку:)

    Буду рада, если Вы и мой конкурсный текст оцените. Он посвящен советам по работе с заказчиками. http://slanet.ru/blog/poleznye-sovety-kopirajtershi

    [Ответить]

  14. Удачи в конкурсе, статья получилась очень-преочень полезная. У меня больше половины действий по защите блога, описанных здесь, не выполнено.. Надо бы заняться этим делом..

    [Ответить]

    Иванов Сергей Reply:

    Я раньше тоже думал надо… и все… а тут повод случился))) И защиту настроил и несколько статей за пару дней написал. Сплошная польза)))

    [Ответить]

Поделитесь своими мыслями. Оставить комментарий.

(required)
(required)

Внимание: HTML не допускается. Ваш адрес электронной почты никогда не будет опубликован.