Защитить блог от взлома или как не стать жертвой хакера

защита блога от взлома Здравствуйте уважаемые читатели! Сегодня я затрону тему, которая должна волновать каждого блоггера  сразу же после установки движка wordpress на хост — защита блога от взлома и несанкционированного проникновения. Пусть Ваш проект еще не столь популярен, но Вы же вложили в него столько сил, и будет обидно, если в один прекрасный день его взломают. Да, о 100% защите речи быть не может. Ведь находятся умельцы, которым удается взламать сайты крупных банков, а там уже защита от взлома сделана профессионалами. Но как говорится: «Береженного, Бог бережет», поэтому предпринимаем все возможные способы защитить блог от взлома.

Я хочу предложить Вам выполнить несколько пунктов, которые позволят создать защиту Вашему проекту:

1. Сразу после того, как Вы установили движок на хост, зайдите в административную панель и создайте нового пользователя с оригинальным логином и присвойте ему статус — администратора, при этом в строке «Отображать как» укажите как будет отражаться Ваше имя при публикации статьи. Оно ни в коем случае не должно соответствовать Вашему логину, а пользователя под логином admin просто удалите.

Таким образом хакеру придется подбирать и логин и пароль к Вашей админке.

2. Устанавливаем плагин «anti-xss-attack», который предотвращает доступ через различные программы и коды к адресной строке админки блога. Конечно, от ручного ввода это не спасет, но все же это защита блога.

3. Установите плагин Login LockDown ( http://wordpress.org/extend/plugins/login-lockdown/) Этот плагин устанавливаем как и все, после его активации в панели «Параметры» появляется строка Login LockDown, кликнув по которой откроется окно настроек, где можно указать количество попыток ввода логина и пароля. То есть, если Вы установили по 3, и при вводе данных к административной панели ошибетесь именно 3 раза, то Ваш IP блокируется на определенное время, указанное Вами. Желательно устанавливать большой интервал времени, часов эдак 9. На собственном опыте скажу, подергаться меня заставил данный плагин, когда забыла сменить расскладку на клавиатуре, зато через ….. часов руки точно забили и пароль и логин.

4. Устанавите плагин Belavir (http://mywordpress.ru/plugins/belavir/), который отслеживает за всеми изменениями в php файлах движка. После того, как Вы закинете с помощью ftp — клиента данный плагин в директорию /wp-content/plugins/ и активируете его, он начнет свою работу. У Вас в панели «Доска объявлений» появится новый пункт

плагин Belavir

Надпись «Все ок!» показываем нам, что все файлы php  находятся в неизмененном виде. Но довольно часто приходится вносить изменения самостоятельно и в этом случае плагин быстро среагирует  и покажет где именно были произведены корректировки кода

плагин belavir

При условии, что Вы самостоятельно вносили поправки в коды можно просто нажать на кнопку «Сбросить\обновить кэш файлов» и у Вас снова появится надпись «Все ок!». Если же Вы не вносили никаких изменений, а плагин говорит об обратно, то спешу Вас обрадовать, Ваш блог взломали. Срочно проверяте файлы или же сносите их вообще.

При этом следует учесть, что плагин автоматом создает файл .htbelavir в директории /wp-content/uploads/, в котором сохраняет все файлы хешей. Так вот, чтобы взломщик не смог забрать данный файл из этой директории, следует создать файл .htaccess, в котором необходимо прописать следующие строки

<filesmatch "\.(gif|jpg|png)$"> Allow from all  Deny from all

И который потом разместить в директории /wp-content/uploads/

5. В теме шаблона находим файл functions.php  и прописываем в любом месте кода, заключенного в <?php  …… ?> следующую строку

add_filter('login_errors', create_function('$a', "return null;"));

файл functions.php

Дело в том, что если хакер вздумает подобрать пароль или логин к админке и не смотря на время блокировки будет упорно сидеть, то у него будет появляться примерно вот такое окно

способы защитить блог от взлома

где указывается, что именно введено не верно. Зато после внесения изменения в файл functions.php  будет появляться просто красный прямоугольник

способы защитить блог от взлома

И взломщику сложно уже будет определить, где именно он ошибся.

6.Переписываем в файле version.php версию используемого движка. Данный файл находится в папке wp-includes, расположенной в главном каталоге движка. В этом файле необходимо найти строчку

$wp_version = '*.*.*';

где вместо зведочек будет указана используемая версия

способы защитить блог от взлома

Эти цифирки заменяем на свои, предположим 2.9.5. Дело в том, что версию движка можно просмотреть в исходном коде страницы блога

kod

И для знающего умельца не составит труда найти слабые места у используемой версии, а так мы путаем карты.

Вот теперь можно немного  расслабиться. Надеюсь применение всех этих пунктов поможет Вам избежать массу неприятных минут!

Всем удачи и до новых встреч на блоге «Seo записки отчаянной«

Вам понравилась статья? Расскажите о ней друзьям!