Советы по защите блога на WordPress

Мало убрать последствия, нужно понять причины возникновения. Я уже писал, что нас взломали и, мол, мы все решили. Однако, через неделю история повторилась, был изменен другой jquery скрипт, а также файлы .htaccess. Причем в .htaccess стояли редиректы на какой-то левый сайт только для мобильных устройств и планшетов, а потому заметил я это не сразу.

За пару дней удалось найти все файлы измененные злоумышленником, а также созданные им специально для проникновения (shell). И опять спасибо хостингу за помощь. После чего я решил принять все меры, о которых рассказано в интернете.

Все части моего небольшого FAQ для блоггеров:

Я написал ряд статей, связанных с блоггингом. Они не претендуют на полноценный мануал, но начинающим могут оказаться полезными. Можете ознакомится, если интересно.

0. Рекомендую курс «Как стать блогером тысячником и зарабатывать»
1. Как начать вести блог
2. Как раскрутить блог — список моих действий
3. Как зарабатывать на блоге и в путешествиях
4. Пример заработка на нашем блоге — Финстрип 2013, финстрип 2012, Финстрип 2011
5. Читательский и поисковой трафик, а также почему читатели не возвращаются
6. Немного правды о тревел-блогинге
7. Советы по защите блога на WordPress

Советы по защите блога на WordPress

Советы по защите блога на WordPress

Советы по защите блога на WordPress

Список вряд ли будет полным, да и, как говорится, кому надо, все равно сломают. Но по крайней мере эти действия может сделать практически любой блоггер, дабы хоть немного защититься.

Обновить коды счетчиков и виджетов

Проверить коды всех счетчиков и социальных виджетов у себя на блоге и на сайте, откуда вы их взяли.
Возможно они обновились. Заметил, что у Facebook часто меняется код для виджетов, усиляют безопасность видимо.

Обновить все плагины и WordPress до последних версий и удалить неиспользуемое

Тут комментарии излишни, все умеют это делать. Уязвимости обычно содержатся в плагинах и темах, поэтому, как минимум, все неиспользуемое лучше удалить.

Обновить timthumb.php

Если в вашей теме используется ресайз миниатюр посредством timthumb.php, то обязательно нужно обновить этот файл на самую последнюю версию, так как старые версии известную уязвимость.

Проверить права на папки и файлы

У всех файлов права должны быть 644, у папок 755, кроме .htaccess — права 444 и папки uploads — права 777.

Изменить логин пользователя admin

Самый быстрый вариант — это зайти в phpadmin и там в вашей базе данных выполнить вот этот запрос:

UPDATE wp_users SET user_login = ‘Ваш новый логин’ WHERE user_login = ‘admin’;

Или можно просто через админку блога создать нового пользователя, переназначить ему все статьи, а старого пользователя admin, удалить.

Сменить все пароли на более сложные

Банальный совет, но пароли должны быть сложными, состоящими из цифр и букв разного регистра. Также не стоит забывать, что после борьбы с вирусами нужно по-любому поменять все пароли (админка блога, админка хостинга, ftp, sql-базы), а также имеет смысл изменить секретные ключи в файле wp-config.php.

Защитить файлы .htaccess и wp-config.php от доступа для всех

Добавляем в ваш .htaccess в корне блога, вот этот код:

<files wp-config.php>
Order deny,allow
deny from all
</files>
<Files .htaccess>
order allow,deny
deny from all
</Files>

Защитить папку wp-includes с помощью .htaccess

Создаем файл обычный текстовый файл, называем его .htaccess и копируем в папку wp-includes, предварительно добавив в файл код:

Order Allow,Deny
Deny from all
<Files ~ «.(css|jpe?g|png|gif|js|swf)$»>
Allow from all

Защитить папку wp-admin с помощью .htaccess и .htpasswd

Создаем файл обычный текстовый файл, называем его .htaccess и копируем в папку wp-admin, предварительно добавив в файл код:

AuthUserFile /home/public/.htpasswd
AuthType Basic
AuthName “restricted”
Order Deny,Allow
Deny from all
Require valid-user
Satisfy any

Где, «/home/public/.htpasswd» — это полный путь к файлу .htpasswd. Желательно, чтобы этот файл располагался выше директории вашего блога.

В файле .htpasswd хранится пароль для доступа в зону wp-admin в зашифрованном виде. Создать этот файл проще всего здесь, указав имя пользователя и пароль в обычном виде. Лучше всего не повторятся и указывать данные, отличающиеся от уже существующих учетных записей.

С этим способом есть только одно неудобство — он не применим, если у вас многопользовательский блог, так как пароль будет запрашиваться у всех пользователей.

Изменить префикс базы данных

Изменить префикс вашей sql базы данных со стандартного «wp_» на какой нибудь «wpsdjflk647_» можно было в самом начале создания блога. Но и сейчас это не проблема. Я сделал это плагином, о котором, речь пойдет ниже. Хотя можно было зайти в phpadmin, заменить там все названия таблиц, а потом изменить префикс и в файле wp-config.php

Установить плагин Belavir

Установите плагин Belavir, который будет отслеживать изменения во всех php файлах вашего блога. Плагин сам ничего не мониторит, а запускает проверку, когда вы заходите в админку блога на страницу Консоль, где собственно он и отображает изменения. Настроек у него никаких нет.

Установить плагин WP Security Scan

Установите плагин WP Security Scan, с помощью которого можно сделать некоторые вещи, в частности:
— изменить префикс базы данных
— проверить права на папки и файлы
— скрыть версию WordPress
— подключить антивирус для блога и проверить его

Установить плагин Better WP Security

Установите плагин Better WP Security, он даже больше нужен, чем предыдущие два. Список его возможностей очень большой, перечислю часть:
— позволяет изменить префикс базы данных
— убирает ненужную информацию из кода блога по типу версии вордпресс
— мониторит изменения во всех файлах
— банит айпи тех, кто вводит странные адреса в браузере после имени вашего блога, получая ошибку 404
— запрещает подбирать пароль к админке, банит айпи
— изменяет стандартные адреса входа в админку, отличная защита от brute-force атак
— и многое другое.

Мониторинг изменений на вашем ftp

Установите программу ftpinfo на свой компьютер, которая позволяет подсоединяться к вашему ftp-серверу и мониторить изменения всех файлов аккаунта на предмет их появления/удаления/изменения. Очень удобная штука во время вирусных атак. Можно мониторить не только все файлы, но и создавать маски для файлов и папок.

Бекапы баз данных и файлов раз в несколько дней

Очень полезная вещь, может пригодится и для борьбы с вирусами. Под рукой всегда будут оригиналы файлов и будет возможность откатится назад, если не получается вычистить сайт от вирусов. Я использую плагин BackWPup. У него много возможностей, в том числе и копирование данных на dropbox — удобный сервис, предоставляющий в интернете 2Гб свободного места и синхронизацию с вашим компьютером.

Вот такие вот советы по защите блога на WordPress я применил у нас на блоге. Если, есть какие-то вопросы или дополнения (может еще что-то еще можно сделать), пишите в комментариях :)

Поддержи в соцсетях!

Поблагодарить

Сказать спасибо

Комментарии приветствуются! (уже 47)

  • Avatar

    Мария Анашина

    |

    Видимо не до конца — хотела твитнуть запись, твиттер стал ругаться, что это адрес страницы, которая распространяет спам.

    Кстати, у меня еще стоит WordPress Firewall 2, тоже полезная штука.

    Reply

    • Avatar

      Мария Анашина

      |

      Забыла добавить: огромное спасибо за статью, она действительно очень нужная!!!

      Reply

    • Avatar

      Geleosan

      |

      Странно, я попробовал, у меня твится… Эх…но с вирусами это вряд ли связано.

      Reply

    • Avatar

      Geleosan

      |

      Хотя, да, тоже ругнулся твиттер. Интересно почему…

      Reply

  • Avatar

    СерыйШансон

    |

    В мемориз добавил.

    Reply

  • Avatar

    Photo-PF

    |

    Олег, спасибо.
    Взял на вооружение!

    Reply

    • Avatar

      Geleosan

      |

      Да не за что ))

      Reply

  • Avatar

    Николай

    |

    Интересный материал получился, некоторые вещи использовал. Также дополнительно пользуюсь плагинами AntiVirus и Secure WordPress

    Reply

    • Avatar

      Татьяна

      |

      Я вот недавно установила плагин Антивирус, но что-то в нем ничего не пойму, может, кините какую-нибудь статью в помощь, как им пользоваться, а то все красным-красно, все какие-то подозрения на вирус у него, но сколько читала, он и нужные файлы может вирусом признать…Вируса на сайте точно нет, недавно с со службой ТП своего хостинга эту тему обсуждала…. Как бы разобраться, а?

      Reply

  • Avatar

    Серфер

    |

    1. Почистить компьютер от вирусов, шпионов и прочей лабудени.
    2. Не лазить в И-нете под записью системного админа.
    3. Не ставить на машину ломаный или не проверенный софт.
    4. В идеале, следует использовать для работы в И-нете отдельную(чистую) операционную систему(можно через виртуалку) или даже отдельную машину.
    5. Использовать самый свежий и надежный антивирус и грамотно настроенный межсетевой экран. Это наверное аже первым пунктом нужно ставить.

    Ломают сайты тремя способами
    а. чаще всего через машину админа. Если админ пренебрегает безопасностью.
    б. реже через уязвимость движка. Если движок популярный и админ его не обновляет. + балуется левыми плагинами.
    б. еще через хостера. Но если хостер не профессиональный, то чаще. Обновления серверов тоже критичны.

    Reply

    • Avatar

      Geleosan

      |

      В моем случае был пункт б, так как комп чистый по-любому, а хостер достаточно проверенный. Ну и уязвимость у меня в шаблоне была.

      Я бы добавил на счет пункта б — чаще ломают через уязвимость плагинов и тем, а не движка. Плагины и темы никто не проверяет, так как они все не официальные, поэтому фактически все плагины и темы левые. Потому прежде всего стоит плагины и темы проверить, а точнее скрипты всякие в них.

      Reply

  • Avatar

    Vel

    |

    А я вот думал, почему это при заходе на твой сайт с телефона, меня пернаправляет куда-то))) оказывается вирус))
    У меня вот тоже троян завелся на сайте. Практически во все файлы с расширение js всавил свой код…благо мне помогли почиститься.
    Добавлю свой совет:
    Не сохраняйте пароли в браузерах при входе в админку или в фтп. Лучше вставляйте его из текстового файла. Так как вирусы запоминают, где лежат сохраненные пароли и безприпятственно влазят на сайт.
    PS Олег, вопрос. 1)После лечения как долго трафик твой восстанавливался?
    2) Вот яндекс писал тебе что вирусы на сайте, а гугл метит как-то сайты инфицированные?

    Reply

    • Avatar

      Geleosan

      |

      Ну это не вирус был, а просто редирект. Перебрасывало на сайт, мол у вас опера устарела, скачайте новую версию. И вот, если скачиваешь, и устанавливаешь, вот тогда и вирус появляется. Недавно купил планшет, и теперь постоянно на такие сайты натыкаюсь, ну в смысле с редиректами. Так что будьте все осторожнее!

      1. У меня ушло 4-5 дней, собственно именно это время яндекс делал перепроверку сайта и убирал пометку, что наш сайт опасен. Я тут писал об этом — http://life-trip.ru/virus-na-sajte-chto-delat-i-nasha-istoriya/
      2. Гугл тоже может пометить, а также другие поисковики и системы. Но нас не метил.

      Reply

  • Avatar

    Дмитрий

    |

    Большое спасибо за подробный обзор. Чем больше сайт набирает обороты, тем больше задумываешься над его безопасностью. Статья очень ко времени пришлась.

    Reply

    • Avatar

      Geleosan

      |

      Да, сам раньше тоже об этом не задумывался, а вот пришлось. Сделал бы раньше, возможно не сидел бы не разбирался с этими вредоносными кодами. Так что лучше заранее все по-максимуму сделать :)

      Reply

  • Avatar

    Макс

    |

    Олег, я бы ещё добавил в статью пункт о том, что необходимо раз в несколько дней делать бекап сайта и БД. Это очень важно, мой опыт показывает, что большинство начинающих блогеров ленятся настроить систему резервного копирования, а потом получают за это по полной.

    Reply

    • Avatar

      Geleosan

      |

      Точно, Макс, это обязательная штука! Хоть она напрямую и не имеет отношения к защите. Я сам помню первый год ленился, но потом начал делать бекапы. Собственно, они и помогли мне обнаружить измененные файлы.

      Reply

  • Avatar

    Самостоятельный путешественник

    |

    Очистка заражённых файлов сайта от вредоносного кода http://habrahabr.ru/post/141710/

    Reply

  • Avatar

    Алексей

    |

    Спасибо за полезную информацию. Взял на вооружение!!!

    Reply

  • Avatar

    sashnet

    |

    Приветствую

    Я видимо что-то недогоняю, всё делал как описано в «Защитить папку wp-admin с помощью .htaccess и .htpasswd», затем почти тоже самое нашел как делать через Cpanel в Security/Password Protect Directories

    При попытке залогиниться как обычно в админку выкидывает просто на сайт и выводит такой текст: Not Found

    Apologies, but the page you requested could not be found. Perhaps searching will help.

    Как и где этот новый пароль доступа к директории вводится?

    Спасибо

    Reply

    • Avatar

      Geleosan

      |

      Привет!
      Неправильно что-то значит сделали. Пароль будет запрашиваться при входе в админку, помимо обычного пароля.
      А путь к файлу .htpasswd правильно указан? Просто кроме этого больше не знаю, где можно было ошибиться.

      Reply

      • Avatar

        sashnet

        |

        .htpasswd пробовал в разные папки кидать, путь узнавал при помощи скрипта fullpath.php

        Пароль значит должен спрашиваться сразу после ввода обычного? У меня этого не происходит.

        Через Cpanel тоже самое, хотя там автоматически создает все нужные файлы и пути к ним прописывает.

        Reply

        • Avatar

          Geleosan

          |

          Да, сразу после обычного. Хм, если через Cpanel такая же фигня, то может быть дело в настройках хостинга. Попробуйте написать в техподдержку, по идее они должны помочь.
          На счет скрипта fullpath не скажу, я путь просто сам знаю. Может быть скрипт неправильно работает?

          Reply

          • Avatar

            sashnet

            |

            Я и вручную пробовал до этого. Ладно, не судьба, потом разберусь.

            Reply

  • Avatar

    Татьяна

    |

    Спасибо за советы, очень полезно, но надеюсь, что мне не пригодится. Но очень страшно за свой сайт становится, особенно когда не знаешь, что делать с этим.

    Reply

    • Avatar

      Geleosan

      |

      Эти советы не после того, как что-то случится, а до. Если вы не сделаете основного, то вам точно это пригодится, сразу после того, как вирусы вычистите…

      Reply

  • Avatar

    ТАТЬЯНА

    |

    А что это за файлы? «Защитить файлы .htaccess и wp-config.php» Для чего они. Если можно в двух словах.

    Reply

    • Avatar

      Geleosan

      |

      А какая разница для чего они? :) Поверьте они очень важны, в двух словах сложно рассказать… Файл .htaccess управляет всеми редиректами ,структурой ссылок на сайте, найстроками сервера. А wp-config.php конфигурационный файл WordPress.

      Reply

    • Avatar

      Серфер

      |

      Можно и в двух словах.
      Эти слова.
      «читайте руководство!»

      Reply

  • Avatar

    Татьяна

    |

    Запутали меня еще больше. Ладно, постараюсь сделать как вы говорите, только мне это пока сложновато. Рыться во всех этих директориях и пр. Начну с плагинов. Спасибо.

    Reply

  • Avatar

    Александр

    |

    Как раз хотел перейти на движок вордпресс, искал информацию по его защите! Спасибо за подробную информацию, буду пользоваться …

    Reply

  • Avatar

    Рита

    |

    Олег, спасибо за полезнейшую информацию :) Кое-что уже есть из перечисленного для защиты на сайте, а некоторые вещи оказались крайне полезными.

    Reply

  • Avatar

    cvetkoff

    |

    Огромное спасибо. сразу пошел менять admin. И все же для меня лично остается не понятным — ну кому нужно тратить свое время, ресурсы, нарушать закон в конце концов, чтобы сломать этот блог? или это болезнь?

    Reply

    • Avatar

      Geleosan

      |

      Ради развлечения, например. Надо же на чем-то тренироваться и изучать как это делается. И тут еще где-то писали, что потом могут постучаться в аську и сказать, у вас уязвимость, с вас 200 баксов и я скажу где она…

      Reply

  • Avatar

    Денис

    |

    С вирусами и шпионами не сталкивался, но теперь задумался. Пожалуй не стоит ждать беды, а предупредить ее. Хотя очень тяжело победить русский «авось».

    Reply

  • Avatar

    Anderstender

    |

    Безответственность, по другому не могу назвать своё отношение к безопасности блога. Почти ничего из перечисленного у меня не сделано. Разве обязательно нужно дождаться, чтобы чего-нибудь произошло, и потом принимать меры по спасению?
    Благодарю за объёмный список советов по защите блога. Начинаю.

    Reply

  • Avatar

    mmpan

    |

    Да уж. Насчет авось это точно. Мне из за этого авось однажды пришлось другой движек ставить и все по новой начинать.

    Reply

  • Avatar

    фото

    |

    Спасибо, все получилось, помогло!

    Reply

  • Avatar

    Александр

    |

    Олег, спасибо большое — даже скопировал и сохранил у себя в блокноте (если ты не против). Отличная статья, как, впрочем. и весь остальной контент на блоге. Через неделю тоже едем в Тай на зимовку, всей семьей. Спасибо за толковые статьи. Успехов тебе!
    P.S. Мы вегетарианцы — Москва замучила))

    Reply

  • Avatar

    Александр

    |

    Вот почему-то аватар не отобразился(( Не подскажешь, в чем проблема может быть?

    Reply

    • Avatar

      Geleosan

      |

      Хм…если в сервисе граватар зарешистрированы и почта указана оттуда, то должен отображатся.

      Reply

  • Avatar

    Александр

    |

    Да вроде отображается уже))

    Reply

  • Avatar

    dulib

    |

    Спасибо Олег,у меня тоже были проблемы со взломом нашего сайта и рассылкой спаса.Применяю ваши рекомендации.Спасибо за информацию.

    Reply

  • Avatar

    Алексей

    |

    Спасибо тебе огромное за эту статью! Столько всего оптимизировал и защитил теперь в блоге своем. Даже как-то спокойнее стало что ли. ))

    Reply

  • Avatar

    Жопорук

    |

    Вот мы в своих блогах пишем о себе, о жизни — это понятно. А когда речь заходит о известных личностях, не могут ли они засудить раскрученного блогера за то, что он упоминает известные имена, а роялти со своей прибыли им не платит?

    Reply

    • Avatar

      Олег Лажечников

      |

      Сомневаюсь… Ну, или смотря, как упоминает.

      Reply

  • Avatar

    Виктор

    |

    Привет!
    По поводу вот этого: Защитить папку wp-includes с помощью .htaccess
    После установки вышеуказанного файла отключился визуальный редактор.
    WordPress 4.3
    или надо что то дописывать в этом файле или как то иначе

    Reply

Оставить комментарий

Кратко обо мне

Однажды я уволился и начал осуществлять свои мечты. Теперь работаю в интернете, путешествую, а также воспитываю сына.

Все реально! Несмотря ни на что...

Статистика

Вне офиса: 6 лет 9 месяцев

Статей в блоге: 1178
Фотографий: 17074
Комментариев: 49582

Яндекс.Метрика

Нашли ошибку?

Выделите ее мышкой и нажмите:

Система Orphus