Медицина заграницей очень дорогая, поэтому спасает страховка. Из опыта, хорошие страховки у Polis812: у них скидка и оплата рф картой.
Подороже лучше взять страховку от Tripinsurance: оплата рф картой.
Страховки со скидкой →Мало убрать последствия, нужно понять причины возникновения. Я уже писал, что нас взломали и, мол, мы все решили. Однако, через неделю история повторилась, был изменен другой jquery скрипт, а также файлы .htaccess. Причем в .htaccess стояли редиректы на какой-то левый сайт только для мобильных устройств и планшетов, а потому заметил я это не сразу.
За пару дней удалось найти все файлы измененные злоумышленником, а также созданные им специально для проникновения (shell). И опять спасибо хостингу за помощь. После чего я решил принять все меры, о которых рассказано в интернете.
- Все части моего небольшого FAQ для блоггеров:
- Советы по защите блога на WordPress
- Обновить коды счетчиков и виджетов
- Обновить все плагины и WordPress до последних версий и удалить неиспользуемое
- Обновить timthumb.php
- Проверить права на папки и файлы
- Изменить логин пользователя admin
- Сменить все пароли на более сложные
- Защитить файлы .htaccess и wp-config.php от доступа для всех
- Защитить папку wp-includes с помощью .htaccess
- Защитить папку wp-admin с помощью .htaccess и .htpasswd
- Изменить префикс базы данных
- Установить плагин Belavir
- Установить плагин WP Security Scan
- Установить плагин Better WP Security
- Мониторинг изменений на вашем ftp
- Бекапы баз данных и файлов раз в несколько дней
Все части моего небольшого FAQ для блоггеров:
Я написал ряд статей, связанных с блоггингом. Они не претендуют на полноценный мануал, но начинающим могут оказаться полезными. Можете ознакомится, если интересно.
0. Рекомендую курс «Как стать блогером тысячником и зарабатывать»
1. Как начать вести блог
2. Как раскрутить блог — список моих действий
3. Как зарабатывать на блоге и в путешествиях
4. Пример заработка на нашем блоге — Финстрип 2013, финстрип 2012, Финстрип 2011
5. Читательский и поисковой трафик, а также почему читатели не возвращаются
6. Немного правды о тревел-блогинге
7. Советы по защите блога на WordPress
Советы по защите блога на WordPress
Список вряд ли будет полным, да и, как говорится, кому надо, все равно сломают. Но по крайней мере эти действия может сделать практически любой блоггер, дабы хоть немного защититься.
Обновить коды счетчиков и виджетов
Проверить коды всех счетчиков и социальных виджетов у себя на блоге и на сайте, откуда вы их взяли.
Возможно они обновились.
Обновить все плагины и WordPress до последних версий и удалить неиспользуемое
Тут комментарии излишни, все умеют это делать. Уязвимости обычно содержатся в плагинах и темах, поэтому, как минимум, все неиспользуемое лучше удалить.
Обновить timthumb.php
Если в вашей теме используется ресайз миниатюр посредством timthumb.php, то обязательно нужно обновить этот файл на самую последнюю версию, так как старые версии известную уязвимость.
Проверить права на папки и файлы
У всех файлов права должны быть 644, у папок 755, кроме .htaccess — права 444 и папки uploads — права 777.
Изменить логин пользователя admin
Самый быстрый вариант — это зайти в phpadmin и там в вашей базе данных выполнить вот этот запрос:
UPDATE wp_users SET user_login = ‘Ваш новый логин’ WHERE user_login = ‘admin’;
Или можно просто через админку блога создать нового пользователя, переназначить ему все статьи, а старого пользователя admin, удалить.
Сменить все пароли на более сложные
Банальный совет, но пароли должны быть сложными, состоящими из цифр и букв разного регистра. Также не стоит забывать, что после борьбы с вирусами нужно по-любому поменять все пароли (админка блога, админка хостинга, ftp, sql-базы), а также имеет смысл изменить секретные ключи в файле wp-config.php.
Защитить файлы .htaccess и wp-config.php от доступа для всех
Добавляем в ваш .htaccess в корне блога, вот этот код:
Этот сайт с самой большой базой отелей, особенно зарубежных. Сервис принимает российские карты, аналог Booking.
<files wp-config.php>
Order deny,allow
deny from all
</files>
<Files .htaccess>
order allow,deny
deny from all
</Files>
Защитить папку wp-includes с помощью .htaccess
Создаем файл обычный текстовый файл, называем его .htaccess и копируем в папку wp-includes, предварительно добавив в файл код:
Order Allow,Deny
Deny from all
<Files ~ «.(css|jpe?g|png|gif|js|swf)$»>
Allow from all
Защитить папку wp-admin с помощью .htaccess и .htpasswd
Создаем файл обычный текстовый файл, называем его .htaccess и копируем в папку wp-admin, предварительно добавив в файл код:
AuthUserFile /home/public/.htpasswd
AuthType Basic
AuthName “restricted”
Order Deny,Allow
Deny from all
Require valid-user
Satisfy any
Где, «/home/public/.htpasswd» — это полный путь к файлу .htpasswd. Желательно, чтобы этот файл располагался выше директории вашего блога.
В файле .htpasswd хранится пароль для доступа в зону wp-admin в зашифрованном виде. Создать этот файл проще всего в любом генераторе htpasswd, указав имя пользователя и пароль в обычном виде. Лучше всего не повторятся и указывать данные, отличающиеся от уже существующих учетных записей.
С этим способом есть только одно неудобство — он не применим, если у вас многопользовательский блог, так как пароль будет запрашиваться у всех пользователей.
Изменить префикс базы данных
Изменить префикс вашей sql базы данных со стандартного «wp_» на какой нибудь «wpsdjflk647_» можно было в самом начале создания блога. Но и сейчас это не проблема. Я сделал это плагином, о котором, речь пойдет ниже. Хотя можно было зайти в phpadmin, заменить там все названия таблиц, а потом изменить префикс и в файле wp-config.php
Установить плагин Belavir
Установите плагин Belavir, который будет отслеживать изменения во всех php файлах вашего блога. Плагин сам ничего не мониторит, а запускает проверку, когда вы заходите в админку блога на страницу Консоль, где собственно он и отображает изменения. Настроек у него никаких нет.
Установить плагин WP Security Scan
Установите плагин WP Security Scan, с помощью которого можно сделать некоторые вещи, в частности:
— изменить префикс базы данных
— проверить права на папки и файлы
— скрыть версию WordPress
— подключить антивирус для блога и проверить его
Установить плагин Better WP Security
Установите плагин Better WP Security, он даже больше нужен, чем предыдущие два. Список его возможностей очень большой, перечислю часть:
— позволяет изменить префикс базы данных
— убирает ненужную информацию из кода блога по типу версии вордпресс
— мониторит изменения во всех файлах
— банит айпи тех, кто вводит странные адреса в браузере после имени вашего блога, получая ошибку 404
— запрещает подбирать пароль к админке, банит айпи
— изменяет стандартные адреса входа в админку, отличная защита от brute-force атак
— и многое другое.
Мониторинг изменений на вашем ftp
Установите программу ftpinfo на свой компьютер, которая позволяет подсоединяться к вашему ftp-серверу и мониторить изменения всех файлов аккаунта на предмет их появления/удаления/изменения. Очень удобная штука во время вирусных атак. Можно мониторить не только все файлы, но и создавать маски для файлов и папок.
Бекапы баз данных и файлов раз в несколько дней
Очень полезная вещь, может пригодится и для борьбы с вирусами. Под рукой всегда будут оригиналы файлов и будет возможность откатится назад, если не получается вычистить сайт от вирусов. Я использую плагин BackWPup. У него много возможностей, в том числе и копирование данных в Dropbox — удобный сервис, предоставляющий синхронизацию с вашим компьютером.
Вот такие вот советы по защите блога на WordPress я применил у нас на блоге. Если, есть какие-то вопросы или дополнения (может еще что-то еще можно сделать), пишите в комментариях :)
Выбрать страховку очень сложно, поэтому вот выжимка с форумов и из опыта - ТОП страховок. Я часто путешествую с ребенком и сам пользуюсь страховками.
ТОП страховок →
Спасибо за советы!
У меня система по 5 раз в день блокирует ботов, которые подбирают пароль к админке
Привет!
По поводу вот этого: Защитить папку wp-includes с помощью .htaccess
После установки вышеуказанного файла отключился визуальный редактор.
WordPress 4.3
или надо что то дописывать в этом файле или как то иначе
Вот мы в своих блогах пишем о себе, о жизни — это понятно. А когда речь заходит о известных личностях, не могут ли они засудить раскрученного блогера за то, что он упоминает известные имена, а роялти со своей прибыли им не платит?
Сомневаюсь… Ну, или смотря, как упоминает.
Спасибо тебе огромное за эту статью! Столько всего оптимизировал и защитил теперь в блоге своем. Даже как-то спокойнее стало что ли. ))
Спасибо Олег,у меня тоже были проблемы со взломом нашего сайта и рассылкой спаса.Применяю ваши рекомендации.Спасибо за информацию.
Да вроде отображается уже))
Вот почему-то аватар не отобразился(( Не подскажешь, в чем проблема может быть?
Хм…если в сервисе граватар зарешистрированы и почта указана оттуда, то должен отображатся.
Олег, спасибо большое — даже скопировал и сохранил у себя в блокноте (если ты не против). Отличная статья, как, впрочем. и весь остальной контент на блоге. Через неделю тоже едем в Тай на зимовку, всей семьей. Спасибо за толковые статьи. Успехов тебе!
P.S. Мы вегетарианцы — Москва замучила))
Спасибо, все получилось, помогло!
Да уж. Насчет авось это точно. Мне из за этого авось однажды пришлось другой движек ставить и все по новой начинать.
Безответственность, по другому не могу назвать своё отношение к безопасности блога. Почти ничего из перечисленного у меня не сделано. Разве обязательно нужно дождаться, чтобы чего-нибудь произошло, и потом принимать меры по спасению?
Благодарю за объёмный список советов по защите блога. Начинаю.
С вирусами и шпионами не сталкивался, но теперь задумался. Пожалуй не стоит ждать беды, а предупредить ее. Хотя очень тяжело победить русский «авось».
Огромное спасибо. сразу пошел менять admin. И все же для меня лично остается не понятным — ну кому нужно тратить свое время, ресурсы, нарушать закон в конце концов, чтобы сломать этот блог? или это болезнь?
Ради развлечения, например. Надо же на чем-то тренироваться и изучать как это делается. И тут еще где-то писали, что потом могут постучаться в аську и сказать, у вас уязвимость, с вас 200 баксов и я скажу где она…
Олег, спасибо за полезнейшую информацию :) Кое-что уже есть из перечисленного для защиты на сайте, а некоторые вещи оказались крайне полезными.
Как раз хотел перейти на движок вордпресс, искал информацию по его защите! Спасибо за подробную информацию, буду пользоваться …
Запутали меня еще больше. Ладно, постараюсь сделать как вы говорите, только мне это пока сложновато. Рыться во всех этих директориях и пр. Начну с плагинов. Спасибо.
А что это за файлы? «Защитить файлы .htaccess и wp-config.php» Для чего они. Если можно в двух словах.
А какая разница для чего они? :) Поверьте они очень важны, в двух словах сложно рассказать… Файл .htaccess управляет всеми редиректами ,структурой ссылок на сайте, найстроками сервера. А wp-config.php конфигурационный файл WordPress.
Можно и в двух словах.
Эти слова.
«читайте руководство!»
Спасибо за советы, очень полезно, но надеюсь, что мне не пригодится. Но очень страшно за свой сайт становится, особенно когда не знаешь, что делать с этим.
Эти советы не после того, как что-то случится, а до. Если вы не сделаете основного, то вам точно это пригодится, сразу после того, как вирусы вычистите…
Приветствую
Я видимо что-то недогоняю, всё делал как описано в «Защитить папку wp-admin с помощью .htaccess и .htpasswd», затем почти тоже самое нашел как делать через Cpanel в Security/Password Protect Directories
При попытке залогиниться как обычно в админку выкидывает просто на сайт и выводит такой текст: Not Found
Apologies, but the page you requested could not be found. Perhaps searching will help.
Как и где этот новый пароль доступа к директории вводится?
Спасибо
Привет!
Неправильно что-то значит сделали. Пароль будет запрашиваться при входе в админку, помимо обычного пароля.
А путь к файлу .htpasswd правильно указан? Просто кроме этого больше не знаю, где можно было ошибиться.
.htpasswd пробовал в разные папки кидать, путь узнавал при помощи скрипта fullpath.php
Пароль значит должен спрашиваться сразу после ввода обычного? У меня этого не происходит.
Через Cpanel тоже самое, хотя там автоматически создает все нужные файлы и пути к ним прописывает.
Да, сразу после обычного. Хм, если через Cpanel такая же фигня, то может быть дело в настройках хостинга. Попробуйте написать в техподдержку, по идее они должны помочь.
На счет скрипта fullpath не скажу, я путь просто сам знаю. Может быть скрипт неправильно работает?
Я и вручную пробовал до этого. Ладно, не судьба, потом разберусь.
Спасибо за полезную информацию. Взял на вооружение!!!
Очистка заражённых файлов сайта от вредоносного кода http://habrahabr.ru/post/141710/
Олег, я бы ещё добавил в статью пункт о том, что необходимо раз в несколько дней делать бекап сайта и БД. Это очень важно, мой опыт показывает, что большинство начинающих блогеров ленятся настроить систему резервного копирования, а потом получают за это по полной.
Точно, Макс, это обязательная штука! Хоть она напрямую и не имеет отношения к защите. Я сам помню первый год ленился, но потом начал делать бекапы. Собственно, они и помогли мне обнаружить измененные файлы.
Большое спасибо за подробный обзор. Чем больше сайт набирает обороты, тем больше задумываешься над его безопасностью. Статья очень ко времени пришлась.
Да, сам раньше тоже об этом не задумывался, а вот пришлось. Сделал бы раньше, возможно не сидел бы не разбирался с этими вредоносными кодами. Так что лучше заранее все по-максимуму сделать :)
А я вот думал, почему это при заходе на твой сайт с телефона, меня пернаправляет куда-то))) оказывается вирус))
У меня вот тоже троян завелся на сайте. Практически во все файлы с расширение js всавил свой код…благо мне помогли почиститься.
Добавлю свой совет:
Не сохраняйте пароли в браузерах при входе в админку или в фтп. Лучше вставляйте его из текстового файла. Так как вирусы запоминают, где лежат сохраненные пароли и безприпятственно влазят на сайт.
PS Олег, вопрос. 1)После лечения как долго трафик твой восстанавливался?
2) Вот яндекс писал тебе что вирусы на сайте, а гугл метит как-то сайты инфицированные?
Ну это не вирус был, а просто редирект. Перебрасывало на сайт, мол у вас опера устарела, скачайте новую версию. И вот, если скачиваешь, и устанавливаешь, вот тогда и вирус появляется. Недавно купил планшет, и теперь постоянно на такие сайты натыкаюсь, ну в смысле с редиректами. Так что будьте все осторожнее!
1. У меня ушло 4-5 дней, собственно именно это время яндекс делал перепроверку сайта и убирал пометку, что наш сайт опасен. Я тут писал об этом — https://life-trip.ru/virus-na-sajte-chto-delat-i-nasha-istoriya/
2. Гугл тоже может пометить, а также другие поисковики и системы. Но нас не метил.
1. Почистить компьютер от вирусов, шпионов и прочей лабудени.
2. Не лазить в И-нете под записью системного админа.
3. Не ставить на машину ломаный или не проверенный софт.
4. В идеале, следует использовать для работы в И-нете отдельную(чистую) операционную систему(можно через виртуалку) или даже отдельную машину.
5. Использовать самый свежий и надежный антивирус и грамотно настроенный межсетевой экран. Это наверное аже первым пунктом нужно ставить.
Ломают сайты тремя способами
а. чаще всего через машину админа. Если админ пренебрегает безопасностью.
б. реже через уязвимость движка. Если движок популярный и админ его не обновляет. + балуется левыми плагинами.
б. еще через хостера. Но если хостер не профессиональный, то чаще. Обновления серверов тоже критичны.
В моем случае был пункт б, так как комп чистый по-любому, а хостер достаточно проверенный. Ну и уязвимость у меня в шаблоне была.
Я бы добавил на счет пункта б — чаще ломают через уязвимость плагинов и тем, а не движка. Плагины и темы никто не проверяет, так как они все не официальные, поэтому фактически все плагины и темы левые. Потому прежде всего стоит плагины и темы проверить, а точнее скрипты всякие в них.
Интересный материал получился, некоторые вещи использовал. Также дополнительно пользуюсь плагинами AntiVirus и Secure WordPress
Я вот недавно установила плагин Антивирус, но что-то в нем ничего не пойму, может, кините какую-нибудь статью в помощь, как им пользоваться, а то все красным-красно, все какие-то подозрения на вирус у него, но сколько читала, он и нужные файлы может вирусом признать…Вируса на сайте точно нет, недавно с со службой ТП своего хостинга эту тему обсуждала…. Как бы разобраться, а?
Олег, спасибо.
Взял на вооружение!
Да не за что ))
В мемориз добавил.
Видимо не до конца — хотела твитнуть запись, твиттер стал ругаться, что это адрес страницы, которая распространяет спам.
Кстати, у меня еще стоит WordPress Firewall 2, тоже полезная штука.
Забыла добавить: огромное спасибо за статью, она действительно очень нужная!!!
Странно, я попробовал, у меня твится… Эх…но с вирусами это вряд ли связано.
Хотя, да, тоже ругнулся твиттер. Интересно почему…