Советы по защите блога на WordPress

Скидка 25% на мед страховку!

Медицина заграницей очень дорогая, поэтому спасает страховка. Из опыта, хорошие страховки у Polis812: у них скидка и оплата рф картой.

Подороже лучше взять страховку от Tripinsurance: оплата рф картой.

Страховки со скидкой →

Мало убрать последствия, нужно понять причины возникновения. Я уже писал, что нас взломали и, мол, мы все решили. Однако, через неделю история повторилась, был изменен другой jquery скрипт, а также файлы .htaccess. Причем в .htaccess стояли редиректы на какой-то левый сайт только для мобильных устройств и планшетов, а потому заметил я это не сразу.

За пару дней удалось найти все файлы измененные злоумышленником, а также созданные им специально для проникновения (shell). И опять спасибо хостингу за помощь. После чего я решил принять все меры, о которых рассказано в интернете.

Все части моего небольшого FAQ для блоггеров:

Я написал ряд статей, связанных с блоггингом. Они не претендуют на полноценный мануал, но начинающим могут оказаться полезными. Можете ознакомится, если интересно.

0. Рекомендую курс «Как стать блогером тысячником и зарабатывать»
1. Как начать вести блог
2. Как раскрутить блог — список моих действий
3. Как зарабатывать на блоге и в путешествиях
4. Пример заработка на нашем блоге — Финстрип 2013, финстрип 2012, Финстрип 2011
5. Читательский и поисковой трафик, а также почему читатели не возвращаются
6. Немного правды о тревел-блогинге
7. Советы по защите блога на WordPress

Советы по защите блога на WordPress
Советы по защите блога на WordPress

Советы по защите блога на WordPress

Список вряд ли будет полным, да и, как говорится, кому надо, все равно сломают. Но по крайней мере эти действия может сделать практически любой блоггер, дабы хоть немного защититься.

Обновить коды счетчиков и виджетов

Проверить коды всех счетчиков и социальных виджетов у себя на блоге и на сайте, откуда вы их взяли.
Возможно они обновились.

Обновить все плагины и WordPress до последних версий и удалить неиспользуемое

Тут комментарии излишни, все умеют это делать. Уязвимости обычно содержатся в плагинах и темах, поэтому, как минимум, все неиспользуемое лучше удалить.

Обновить timthumb.php

Если в вашей теме используется ресайз миниатюр посредством timthumb.php, то обязательно нужно обновить этот файл на самую последнюю версию, так как старые версии известную уязвимость.

Проверить права на папки и файлы

У всех файлов права должны быть 644, у папок 755, кроме .htaccess — права 444 и папки uploads — права 777.

Изменить логин пользователя admin

Самый быстрый вариант — это зайти в phpadmin и там в вашей базе данных выполнить вот этот запрос:

UPDATE wp_users SET user_login = ‘Ваш новый логин’ WHERE user_login = ‘admin’;

Или можно просто через админку блога создать нового пользователя, переназначить ему все статьи, а старого пользователя admin, удалить.

Сменить все пароли на более сложные

Банальный совет, но пароли должны быть сложными, состоящими из цифр и букв разного регистра. Также не стоит забывать, что после борьбы с вирусами нужно по-любому поменять все пароли (админка блога, админка хостинга, ftp, sql-базы), а также имеет смысл изменить секретные ключи в файле wp-config.php.

Защитить файлы .htaccess и wp-config.php от доступа для всех

Добавляем в ваш .htaccess в корне блога, вот этот код:

Бронь отелей на российских сайтах:

Этот сайт с самой большой базой отелей, особенно зарубежных. Сервис принимает российские карты, аналог Booking.

<files wp-config.php>
Order deny,allow
deny from all
</files>
<Files .htaccess>
order allow,deny
deny from all
</Files>

Защитить папку wp-includes с помощью .htaccess

Создаем файл обычный текстовый файл, называем его .htaccess и копируем в папку wp-includes, предварительно добавив в файл код:

Order Allow,Deny
Deny from all
<Files ~ «.(css|jpe?g|png|gif|js|swf)$»>
Allow from all

Защитить папку wp-admin с помощью .htaccess и .htpasswd

Создаем файл обычный текстовый файл, называем его .htaccess и копируем в папку wp-admin, предварительно добавив в файл код:

AuthUserFile /home/public/.htpasswd
AuthType Basic
AuthName “restricted”
Order Deny,Allow
Deny from all
Require valid-user
Satisfy any

Где, «/home/public/.htpasswd» — это полный путь к файлу .htpasswd. Желательно, чтобы этот файл располагался выше директории вашего блога.

В файле .htpasswd хранится пароль для доступа в зону wp-admin в зашифрованном виде. Создать этот файл проще всего в любом генераторе htpasswd, указав имя пользователя и пароль в обычном виде. Лучше всего не повторятся и указывать данные, отличающиеся от уже существующих учетных записей.

С этим способом есть только одно неудобство — он не применим, если у вас многопользовательский блог, так как пароль будет запрашиваться у всех пользователей.

Изменить префикс базы данных

Изменить префикс вашей sql базы данных со стандартного «wp_» на какой нибудь «wpsdjflk647_» можно было в самом начале создания блога. Но и сейчас это не проблема. Я сделал это плагином, о котором, речь пойдет ниже. Хотя можно было зайти в phpadmin, заменить там все названия таблиц, а потом изменить префикс и в файле wp-config.php

Установить плагин Belavir

Установите плагин Belavir, который будет отслеживать изменения во всех php файлах вашего блога. Плагин сам ничего не мониторит, а запускает проверку, когда вы заходите в админку блога на страницу Консоль, где собственно он и отображает изменения. Настроек у него никаких нет.

Установить плагин WP Security Scan

Установите плагин WP Security Scan, с помощью которого можно сделать некоторые вещи, в частности:
— изменить префикс базы данных
— проверить права на папки и файлы
— скрыть версию WordPress
— подключить антивирус для блога и проверить его

Установить плагин Better WP Security

Установите плагин Better WP Security, он даже больше нужен, чем предыдущие два. Список его возможностей очень большой, перечислю часть:
— позволяет изменить префикс базы данных
— убирает ненужную информацию из кода блога по типу версии вордпресс
— мониторит изменения во всех файлах
— банит айпи тех, кто вводит странные адреса в браузере после имени вашего блога, получая ошибку 404
— запрещает подбирать пароль к админке, банит айпи
— изменяет стандартные адреса входа в админку, отличная защита от brute-force атак
— и многое другое.

Мониторинг изменений на вашем ftp

Установите программу ftpinfo на свой компьютер, которая позволяет подсоединяться к вашему ftp-серверу и мониторить изменения всех файлов аккаунта на предмет их появления/удаления/изменения. Очень удобная штука во время вирусных атак. Можно мониторить не только все файлы, но и создавать маски для файлов и папок.

Бекапы баз данных и файлов раз в несколько дней

Очень полезная вещь, может пригодится и для борьбы с вирусами. Под рукой всегда будут оригиналы файлов и будет возможность откатится назад, если не получается вычистить сайт от вирусов. Я использую плагин BackWPup. У него много возможностей, в том числе и копирование данных в Dropbox — удобный сервис, предоставляющий синхронизацию с вашим компьютером.

Вот такие вот советы по защите блога на WordPress я применил у нас на блоге. Если, есть какие-то вопросы или дополнения (может еще что-то еще можно сделать), пишите в комментариях :)

Рейтинг мед страховок!

Выбрать страховку очень сложно, поэтому вот выжимка с форумов и из опыта - ТОП страховок. Я часто путешествую с ребенком и сам пользуюсь страховками.

ТОП страховок →
Отдых в Таиланде и Сочи
Добавить комментарий

  1. Alexey

    Спасибо за советы!

    У меня система по 5 раз в день блокирует ботов, которые подбирают пароль к админке

    Ответить
  2. Виктор

    Привет!
    По поводу вот этого: Защитить папку wp-includes с помощью .htaccess
    После установки вышеуказанного файла отключился визуальный редактор.
    WordPress 4.3
    или надо что то дописывать в этом файле или как то иначе

    Ответить
  3. Жопорук

    Вот мы в своих блогах пишем о себе, о жизни — это понятно. А когда речь заходит о известных личностях, не могут ли они засудить раскрученного блогера за то, что он упоминает известные имена, а роялти со своей прибыли им не платит?

    Ответить
    1. Олег Лажечников автор

      Сомневаюсь… Ну, или смотря, как упоминает.

      Ответить
  4. Алексей

    Спасибо тебе огромное за эту статью! Столько всего оптимизировал и защитил теперь в блоге своем. Даже как-то спокойнее стало что ли. ))

    Ответить
  5. dulib

    Спасибо Олег,у меня тоже были проблемы со взломом нашего сайта и рассылкой спаса.Применяю ваши рекомендации.Спасибо за информацию.

    Ответить
  6. Александр

    Да вроде отображается уже))

    Ответить
  7. Александр

    Вот почему-то аватар не отобразился(( Не подскажешь, в чем проблема может быть?

    Ответить
    1. Олег Лажечников автор

      Хм…если в сервисе граватар зарешистрированы и почта указана оттуда, то должен отображатся.

      Ответить
  8. Александр

    Олег, спасибо большое — даже скопировал и сохранил у себя в блокноте (если ты не против). Отличная статья, как, впрочем. и весь остальной контент на блоге. Через неделю тоже едем в Тай на зимовку, всей семьей. Спасибо за толковые статьи. Успехов тебе!
    P.S. Мы вегетарианцы — Москва замучила))

    Ответить
  9. фото

    Спасибо, все получилось, помогло!

    Ответить
  10. mmpan

    Да уж. Насчет авось это точно. Мне из за этого авось однажды пришлось другой движек ставить и все по новой начинать.

    Ответить
  11. Anderstender

    Безответственность, по другому не могу назвать своё отношение к безопасности блога. Почти ничего из перечисленного у меня не сделано. Разве обязательно нужно дождаться, чтобы чего-нибудь произошло, и потом принимать меры по спасению?
    Благодарю за объёмный список советов по защите блога. Начинаю.

    Ответить
  12. Денис

    С вирусами и шпионами не сталкивался, но теперь задумался. Пожалуй не стоит ждать беды, а предупредить ее. Хотя очень тяжело победить русский «авось».

    Ответить
  13. cvetkoff

    Огромное спасибо. сразу пошел менять admin. И все же для меня лично остается не понятным — ну кому нужно тратить свое время, ресурсы, нарушать закон в конце концов, чтобы сломать этот блог? или это болезнь?

    Ответить
    1. Олег Лажечников автор

      Ради развлечения, например. Надо же на чем-то тренироваться и изучать как это делается. И тут еще где-то писали, что потом могут постучаться в аську и сказать, у вас уязвимость, с вас 200 баксов и я скажу где она…

      Ответить
  14. Рита

    Олег, спасибо за полезнейшую информацию :) Кое-что уже есть из перечисленного для защиты на сайте, а некоторые вещи оказались крайне полезными.

    Ответить
  15. Александр

    Как раз хотел перейти на движок вордпресс, искал информацию по его защите! Спасибо за подробную информацию, буду пользоваться …

    Ответить
  16. Татьяна

    Запутали меня еще больше. Ладно, постараюсь сделать как вы говорите, только мне это пока сложновато. Рыться во всех этих директориях и пр. Начну с плагинов. Спасибо.

    Ответить
  17. ТАТЬЯНА

    А что это за файлы? «Защитить файлы .htaccess и wp-config.php» Для чего они. Если можно в двух словах.

    Ответить
    1. Олег Лажечников автор

      А какая разница для чего они? :) Поверьте они очень важны, в двух словах сложно рассказать… Файл .htaccess управляет всеми редиректами ,структурой ссылок на сайте, найстроками сервера. А wp-config.php конфигурационный файл WordPress.

      Ответить
    2. Серфер

      Можно и в двух словах.
      Эти слова.
      «читайте руководство!»

      Ответить
  18. Татьяна

    Спасибо за советы, очень полезно, но надеюсь, что мне не пригодится. Но очень страшно за свой сайт становится, особенно когда не знаешь, что делать с этим.

    Ответить
    1. Олег Лажечников автор

      Эти советы не после того, как что-то случится, а до. Если вы не сделаете основного, то вам точно это пригодится, сразу после того, как вирусы вычистите…

      Ответить
  19. sashnet

    Приветствую

    Я видимо что-то недогоняю, всё делал как описано в «Защитить папку wp-admin с помощью .htaccess и .htpasswd», затем почти тоже самое нашел как делать через Cpanel в Security/Password Protect Directories

    При попытке залогиниться как обычно в админку выкидывает просто на сайт и выводит такой текст: Not Found

    Apologies, but the page you requested could not be found. Perhaps searching will help.

    Как и где этот новый пароль доступа к директории вводится?

    Спасибо

    Ответить
    1. Олег Лажечников автор

      Привет!
      Неправильно что-то значит сделали. Пароль будет запрашиваться при входе в админку, помимо обычного пароля.
      А путь к файлу .htpasswd правильно указан? Просто кроме этого больше не знаю, где можно было ошибиться.

      Ответить
      1. sashnet

        .htpasswd пробовал в разные папки кидать, путь узнавал при помощи скрипта fullpath.php

        Пароль значит должен спрашиваться сразу после ввода обычного? У меня этого не происходит.

        Через Cpanel тоже самое, хотя там автоматически создает все нужные файлы и пути к ним прописывает.

        Ответить
        1. Олег Лажечников автор

          Да, сразу после обычного. Хм, если через Cpanel такая же фигня, то может быть дело в настройках хостинга. Попробуйте написать в техподдержку, по идее они должны помочь.
          На счет скрипта fullpath не скажу, я путь просто сам знаю. Может быть скрипт неправильно работает?

          Ответить
          1. sashnet

            Я и вручную пробовал до этого. Ладно, не судьба, потом разберусь.

  20. Алексей

    Спасибо за полезную информацию. Взял на вооружение!!!

    Ответить
  21. Самостоятельный путешественник

    Очистка заражённых файлов сайта от вредоносного кода http://habrahabr.ru/post/141710/

    Ответить
  22. Макс

    Олег, я бы ещё добавил в статью пункт о том, что необходимо раз в несколько дней делать бекап сайта и БД. Это очень важно, мой опыт показывает, что большинство начинающих блогеров ленятся настроить систему резервного копирования, а потом получают за это по полной.

    Ответить
    1. Олег Лажечников автор

      Точно, Макс, это обязательная штука! Хоть она напрямую и не имеет отношения к защите. Я сам помню первый год ленился, но потом начал делать бекапы. Собственно, они и помогли мне обнаружить измененные файлы.

      Ответить
  23. Дмитрий

    Большое спасибо за подробный обзор. Чем больше сайт набирает обороты, тем больше задумываешься над его безопасностью. Статья очень ко времени пришлась.

    Ответить
    1. Олег Лажечников автор

      Да, сам раньше тоже об этом не задумывался, а вот пришлось. Сделал бы раньше, возможно не сидел бы не разбирался с этими вредоносными кодами. Так что лучше заранее все по-максимуму сделать :)

      Ответить
  24. Vel

    А я вот думал, почему это при заходе на твой сайт с телефона, меня пернаправляет куда-то))) оказывается вирус))
    У меня вот тоже троян завелся на сайте. Практически во все файлы с расширение js всавил свой код…благо мне помогли почиститься.
    Добавлю свой совет:
    Не сохраняйте пароли в браузерах при входе в админку или в фтп. Лучше вставляйте его из текстового файла. Так как вирусы запоминают, где лежат сохраненные пароли и безприпятственно влазят на сайт.
    PS Олег, вопрос. 1)После лечения как долго трафик твой восстанавливался?
    2) Вот яндекс писал тебе что вирусы на сайте, а гугл метит как-то сайты инфицированные?

    Ответить
    1. Олег Лажечников автор

      Ну это не вирус был, а просто редирект. Перебрасывало на сайт, мол у вас опера устарела, скачайте новую версию. И вот, если скачиваешь, и устанавливаешь, вот тогда и вирус появляется. Недавно купил планшет, и теперь постоянно на такие сайты натыкаюсь, ну в смысле с редиректами. Так что будьте все осторожнее!

      1. У меня ушло 4-5 дней, собственно именно это время яндекс делал перепроверку сайта и убирал пометку, что наш сайт опасен. Я тут писал об этом — https://life-trip.ru/virus-na-sajte-chto-delat-i-nasha-istoriya/
      2. Гугл тоже может пометить, а также другие поисковики и системы. Но нас не метил.

      Ответить
  25. Серфер

    1. Почистить компьютер от вирусов, шпионов и прочей лабудени.
    2. Не лазить в И-нете под записью системного админа.
    3. Не ставить на машину ломаный или не проверенный софт.
    4. В идеале, следует использовать для работы в И-нете отдельную(чистую) операционную систему(можно через виртуалку) или даже отдельную машину.
    5. Использовать самый свежий и надежный антивирус и грамотно настроенный межсетевой экран. Это наверное аже первым пунктом нужно ставить.

    Ломают сайты тремя способами
    а. чаще всего через машину админа. Если админ пренебрегает безопасностью.
    б. реже через уязвимость движка. Если движок популярный и админ его не обновляет. + балуется левыми плагинами.
    б. еще через хостера. Но если хостер не профессиональный, то чаще. Обновления серверов тоже критичны.

    Ответить
    1. Олег Лажечников автор

      В моем случае был пункт б, так как комп чистый по-любому, а хостер достаточно проверенный. Ну и уязвимость у меня в шаблоне была.

      Я бы добавил на счет пункта б — чаще ломают через уязвимость плагинов и тем, а не движка. Плагины и темы никто не проверяет, так как они все не официальные, поэтому фактически все плагины и темы левые. Потому прежде всего стоит плагины и темы проверить, а точнее скрипты всякие в них.

      Ответить
  26. Николай

    Интересный материал получился, некоторые вещи использовал. Также дополнительно пользуюсь плагинами AntiVirus и Secure WordPress

    Ответить
    1. Татьяна

      Я вот недавно установила плагин Антивирус, но что-то в нем ничего не пойму, может, кините какую-нибудь статью в помощь, как им пользоваться, а то все красным-красно, все какие-то подозрения на вирус у него, но сколько читала, он и нужные файлы может вирусом признать…Вируса на сайте точно нет, недавно с со службой ТП своего хостинга эту тему обсуждала…. Как бы разобраться, а?

      Ответить
  27. Photo-PF

    Олег, спасибо.
    Взял на вооружение!

    Ответить
    1. Олег Лажечников автор

      Да не за что ))

      Ответить
  28. СерыйШансон

    В мемориз добавил.

    Ответить
  29. Мария Анашина

    Видимо не до конца — хотела твитнуть запись, твиттер стал ругаться, что это адрес страницы, которая распространяет спам.

    Кстати, у меня еще стоит WordPress Firewall 2, тоже полезная штука.

    Ответить
    1. Мария Анашина

      Забыла добавить: огромное спасибо за статью, она действительно очень нужная!!!

      Ответить
    2. Олег Лажечников автор

      Странно, я попробовал, у меня твится… Эх…но с вирусами это вряд ли связано.

      Ответить
    3. Олег Лажечников автор

      Хотя, да, тоже ругнулся твиттер. Интересно почему…

      Ответить