24 совета — как уберечься от взлома сайта на WordPress

21 совет - как уберечься от взлома сайта на Wordpress

В последнее время мне очень часто приходят письма на тему: «Как защитить сайт на WordPress от взлома»? Кто-то спрашивает в качестве превентивных мер, кто-то уже постфактум — после того, как взлом произошел. Поскольку в процессе переписки у меня сложился определенный набор советов, я решил опубликовать его в качестве статьи.

Для начала, любой владелец сайта, блога или магазина на WordPress, должен понимать 4 простые вещи:

1. Не бывает 100% защищенного сайта или хостинга — любую систему можно взломать, пусть даже она прошла сотни аудитов. А значит к взлому всегда нужно быть готовым и не терять бдительности;

2. Безопасность Вашего проекта во многом зависит от Ваших же действий — начиная от паролей уровня «1234» до раздачи неизвестно кому прав доступа и установки неизвестных скриптов;

3. Качественный хостер должен прилагать усилия для защиты своих серверов от взлома, но ни один хостер не занимается непосредственно безопасностью Ваших проектов;

4. «Дыра» в безопасности может образоваться не только от WordPress и его плагинов, но также от любого стороннего скрипта, который Вы установите на тот же хостинг-аккаунт, где расположен сайт.

Итак, вот те общие советы по безопасности, которые я могу дать каждому владельцу сайта на WordPress.

  1. Установите двухфакторную аутентификацию (получение дополнительного OTP-пароля по SMS или в Google Authenticator) при входе в хостинг-аккаунт — качественный хостинг должен позволять это сделать.
  2. Установите запрет входа по FTP для всех IP, кроме своего. Качественный хостинг должен иметь такую опцию в панели управления.
  3. Установите запрет доступа к странице wp-login.php (страница входа) для всех IP, кроме своего. Если у Вас динамический IP-адрес, по мере необходимости будете изменять его через FTP. Сделать это можно с помощью размещения следующего кода в файле .htaccess в корне сайта (xxx.xxx.xx.xx замените на свой IP-адрес, узнать его можно, к примеру, тут):
    <Files wp-login.php>
    Order Deny,Allow
    Deny from all
    Allow from xxx.xx.xx.xx
    </Files>
    
  4. Установите запрет входа в административную часть WordPress (папка wp-admin) для всех IP, кроме своего. Создайте в папке uploads свой файл .htaccess и поместите в него следующие строки (xxx.xxx.xx.xx замените на свой IP-адрес, узнать его можно, к примеру, тут):
    order deny,allow
    allow from xxx.xxx.xx.xx
    deny from all
    
  5. Установите запрет доступа к файлу wp-config.php (конфигурационный файл WordPress) — для всех. Поместите в файл .htaccess, расположенный в корне сайта, следующие строки:
    <Files wp-config.php>
    order deny,allow
    deny from all
    </Files>
    
  6. Установите запрет на выполнение скриптов и внешний доступ к папке uploads  - разрешите только загрузку картинок. Создайте в папке uploads свой файл .htaccess и поместите в него следующие строки:
    <FilesMatch "\.(gif|jpg|png)$">
    Allow from all
    </FilesMatch>
    Deny from all
    
  7. Поменяйте логин администратора. И хотя в последних версиях WordPress можно сразу задавать отличный от «admin» логин для пользователя с правами администратора, многие по привычке все равно вводят именно это слово.
  8. Если Вам не нужна регистрация на сайте, зайдите в раздел «Параметры» -> «Общие» и снимите чекбокс «Любой может зарегистрироваться».
  9. Запретите редактирование файлов тем и плагинов из админ-панели — по-умолчанию, в WordPress встроен редактор файлов тем и плагинов для администратора. С одной стороны это удобно, с другой — небезопасно, поскольку если злоумышленник получит доступ к Вашему админ-аккаунту, он сможет редактировать весь сайт. Для того, чтобы запретить эту возможность, добавьте в wp-config.php следующую строку:
    define('DISALLOW_FILE_EDIT', true);
    
  10. Не используйте бесплатные темы, если Вы не обладаете хотя бы минимальными навыками в языках программирования. Поймите простую вещь — если тема бесплатная и ее исходный код открыт, значит ее можно напичкать любым вредоносным кодом.
  11. Если навыки у Вас есть, перед заливкой темы на сервер, обязательно вручную проверьте все файлы темы на предмет вкрапления неизвестного кода, в особенности шифрованного (base64 и т.д.).
  12. Никогда не устанавливайте плагины с неизвестных сайтов, форумов или блогов. Никто не знает, что скрывается за красивой страницей с описанием. Если Вы берете плагин с сайта разработчика, то во-первых, убедитесь в том, что этот разработчик действительно профессионал, во-вторых — убедитесь, что это его официальный сайт.
  13. Устанавливайте плагины разумно — во-первых, учитывайте, что плагины, даже взятые из официального репозитория WordPress не являются безопасными, поскольку команда разработки WP не проводит аудит сторонних плагинов, и во-вторых — чем меньше плагинов, тем меньше памяти потребляет WP и, следовательно, тем быстрее загружается сайт.
  14. Не устанавливайте непопулярные плагины — ставьте только те, на которые есть большое количество отзывов пользователей — это дает хотя бы минимальную гарантию, что плагин потенциально безопасен;
  15. Не храните неиспользуемые и не обновляемые плагины — даже деактивированный плагин с «дыркой» все равно позволит злоумышленнику добраться до Вашего сайта.
  16. Делайте ежедневные резервные копии — для этих целей я использую плагин  BackWPup. Кстати, обратите внимание на количество скачиваний плагина на момент написания этой статьи – более миллиона пользователей. Это и есть так называемый «пользовательский аудит».
  17. Обязательно настройте выгрузку файлов резервных копий в Dropbox (BackWPup это позволяет), а также установите приложение Dropbox на Ваш компьютер. Таким образом Вы будете иметь 3 независимых копии резервного архива — в на сервере сайта, в облаке Dropbox и на вашем личном компьютере.
  18. Обязательно периодически проверяйте целостность архивов — иногда, при создании архива, могут возникать сбои. В этом случае файл резервной копии будет поврежден, а Вы будете продолжать считать, что все в порядке.
  19. Количество хранимых архивов должно быть от 10 штук — дело в том, что иногда дата взлома и дата обнаружения взлома не совпадают. Учитывайте, что к понятию «взлом» относится не только deface сайта (изменение внешнего вида), но куда чаще Ваш сайт могут сделать частью сети для спам-рассылки, а узнаете Вы об этом только из письма хостера  об аномальной почтовой активности. При этом целостность самого сайта нарушена не будет — все будет работать как и раньше. Поэтому важно иметь не только вчерашнюю версию резервной копии, но и за более ранний период.
    Чтобы сократить количество используемого под резервные копии места, достаточно не включать в  архив папку с картинками (/upload) — храните их на локальном компьютере. А файлы и база весят очень немного.
  20. Поставьте плагин для обсчета контрольных сумм файлов. Я уже много лет использую belavir. Этот плагин позволяет в наглядной форме следить за изменениями в текущих файлах и добавлением новых, непосредственно в консоли WordPress. Понятно, что отображаться будут и Ваши собственные изменения, но тут уже нужно помнить/записывать — что и где Вы меняли. Не забывайте сбрасывать хэш после внесения своих изменений.
    Плагин Belavir - файлы без изменений
    Плагин Belavir — файлы без изменений

    Плагин Belavir - файлы были изменены
    Плагин Belavir — файлы были изменены
  21. Установите плагин Antivirus — довольно простой плагин, который умеет в автоматическом режиме сканировать файлы Вашей темы на наличие подозрительных вкраплений и уведомлять о них владельца сайта по e-mail. Также, на базовом уровне, он использует Google Safe Browsing. Не панацея, но явно вмешательство он определять умеет.
  22. Купите нормальный антивирус для компьютера — необходимо понимать, что часть червей или троянов под Windows умеют не только заражать локальный компьютер, но также и воровать пароли доступа к сайтам, «размножаться» через доступ к Вашему ftp — заливая туда свои копии, расширять спам-бот сеть за счет заражения сайтов, к которым есть административный доступ и т.д. Да, я понимаю, что хороший антивирус стоит определенную сумму в год, но, поверьте, тот же ESET Smart Security за ~$60 / год на 4 компьютера, не покажется Вам таким дорогим, когда придется восстанавливать весь сайт.
  23. Периодически проверяйте логи сервера на предмет посторонних входов в не публичную часть сайта.
  24. Регулярно обновляйте WordPress и плагины — учитывайте, что какие бы исправления безопасности не проводила команда WordPress, если Вы не обновляете движок, то все это бессмысленно.
    Но обновляться нужно разумно — при мажорных изменениях (1-2 цифра версии), сразу обновляться не стоит — лучше подождать до выхода следующей версии, в которой ошибки нового функционала (а такие есть всегда) будут выловлены и исправлены. При минорных измениях (3+ цифра версии) — можно обновляться сразу, поскольку чаще всего это не изменения, а исправления безопасности и функционала.

А что посоветуете Вы?

127 комментариев к “24 совета — как уберечься от взлома сайта на WordPress”

  1. Спасибо, за полезную информацию! Один вопрос — можно поставить плагины belavir и BackWpup если сайт на Drupal?

    ОтветитьОтветить
  2. + Поставить блокировщик многократного введения неправильного логина или пароля при авторизации

    ОтветитьОтветить
  3. Сам делаю сайты на ВордПресс очень нужная статья для начинающих и средних сайтостроителей. Но все я думаю понимают что если сайт заказан то его уже ничто не спасет))

    ОтветитьОтветить
  4. О спасибо большое, завел себе блог пока я думаю он никому не нужен, а потом все возможно)) Защита по IP должно быть самая надежная...

    ОтветитьОтветить
  5. Реально хорошо работает запрет по IP, есть только лишний геморрой у тех, кто имеет динамичный IP. Можно тут два варианта использовать — узнать у хостера свой диапазон IP или каждый раз его менять при входе в админку. Ещё я заметил, что чаще ломают сайт не через панель напрямую, а через встроенные левые компоненты, поэтому обновляйте их не качайте отовсюду подряд.

    ОтветитьОтветить
  6. Исходя из того, что недавно wordpress сайты участвовали в массированных ddos атаках, благодаря уязвимости функции pingback, то можно еще порекомендовать блокировать доступ к файлу xmlrpc.php или к функционалу пингбеков.

    ОтветитьОтветить
  7. очень очень интересно и познавательно. Многое применяю.

    ОтветитьОтветить
  8. Давно искал полезную статью на эту тему! Спасибо.

    ОтветитьОтветить
  9. Большая просьба — напишите пожалуйста еще статью, как защитить сайт на Joomla от взлома...

    ОтветитьОтветить
  10. @Юрий: честно говоря, я плотно не имею дела с Joomla уже года три. Поэтому писать предметную статью на тему обеспечения ее защиты просто не готов. Но, в целом, советы верны для любого движка, просто способы реализации зависят уже от выбранной CMS. К примеру, если в WordPress административная часть находится в папке wp-admin, то в Joomla, если я правильно помню, эта папка называется administrator. И так далее. А все, что касается хостинга — вообще универсально.

    ОтветитьОтветить
  11. Интересная статья, я много узнал нового. К примеру, я не знал, что нужно более 10 копий архива. У меня их никогда не было больше 5. Хотя хостинг постоянно делает копии, в течении месяца или более. И антивирус на сайте у меня не стоял. Теперь поставлю, и установлю запрет на вход в админ панель с любых IP, кроме своего. Ваш текст придется несколько раз перечитать, что бы выполнить основные действия.

    ОтветитьОтветить
  12. Очень информативно и объемно, многие пункты проделал у себя, все сайты у меня на Вордпресе, спасибо вам большое.

    ОтветитьОтветить
  13. Очень поучительная статья. Я — новичок в Сети, недавно создала свой блог, поэтому для меня информация была практически бесценна. Потихоньку попробую внедрить все, что говорит автор. Не думала, что кому-то надо взламывать сайты. Для чего? Это ведь не банковская ячейка!

    ОтветитьОтветить
  14. @Елена:

    Не думала, что кому-то надо взламывать сайты. Для чего? Это ведь не банковская ячейка!

    Одна из самых частых причин — это использование Вашего хостинга в качестве элемента бот-сети, рассылающей спам.

    ОтветитьОтветить
  15. Статья действительно очень интересная, отметил для себя, что я применяю только несколько из этих пунктов. А вот интересно насчет обновления Вордпресс: насколько безопасно его обновлять вообще для человека, слабо разбирающегося в сайтостроении? Потому как опытные блогеры пугали, что при обновлениях движка может вообще все сбиться, и как восстанавливать потом — непонятно.

    ОтветитьОтветить
  16. Целых 23 совета — это мощно. Не задумывался о бесплатных темах, раньше часто использовал их при создании сайтов, не проверяя код. Теперь использую платные темы, но их тоже надо проверять.

    ОтветитьОтветить
  17. Вот так вот через бесплатные темы мне сайт и взломали — все в итоге обошлось, но было пар неприятных моментов.

    ОтветитьОтветить
  18. Защищать блоги на WordPress очень важно ввиду то, что существует огромное количество плагинов для этого движка. Часто плагины скачиваются не с сайта разработчика, а с постороннего ресурса.

    Материал статьи бесценен! Добавил ее в закладки в рекомендую всем!

    ОтветитьОтветить
  19. Если всё это применить, то действительно крепость получается!

    ОтветитьОтветить
  20. Время от времени пытаются что-то сломать. Однажды мне взломали сервер и заразили все сайты, а там были не только мои. Создали мне кучу проблем, рыться и искать где и что испортили.

    да еще и хостер за вируса отключал все сайты, это был реальный кошмар.

    ОтветитьОтветить
  21. @Финансовый гений: в принципе, еще одним советом можно добавить — сделать копию блога на поддомене (с отдельной копией базы) и сначала обкатывать обновления там.

    ОтветитьОтветить
  22. @Ag_mk: В каком смысле «инкубационный период»? В данном случае ждать особо нечего. Вы обновляете систему или плагин на тестовом зеркале, проводите полное тестирование, в случае нахождения проблем — исправляете их, проводите повторное регрессивное тестирование и если все ок — проводите обновление на «живой» системе.

    ОтветитьОтветить
  23. Кажется это самая полная статья по защите от взлома сайта на WordPress. Добавил пост в закладки =)

    ОтветитьОтветить
  24. Сколько много советов по защите WordPress! Начну потихоньку применять для своего сайта.

    ОтветитьОтветить
  25. Спасибо, информация полезная.

    Сам на взломы еще не натыкался, но у знакомых бывало.

    Возможно, кстати, в дополнении к вашей подборке можно написать и о еще одном плагине – HideMyWp (как-то так). С его помощью скрывается факт использования WordPress'а, что усложняет задачу взломщикам. Правда, он, вроде, платный.

    ОтветитьОтветить
  26. В прошлом году мой сайт взламывали три раза и устанавливали код перенаправления на другой сайт. Я долго не мог понять, как же они взламывают мой сайт.

    Причина оказалась в старой версии вордпресс. После обновления вордпресс мой сайт больше не взламывали. Так что не верьте тем, кто говорит, что лучше оставить струю версию вордпрес, потому-что он меньше загружает хостинг. Может оно и так, но струю версию легче взламать

    ОтветитьОтветить
  27. Сложно даже что-то ещё посоветовать. :) Только, на мой взгляд, вообще не стоит использовать ограничение по IP, если у вас динамический IP (либо нужно прикупить VPN). И не стоит ограничивать доступ к wp-login и wp-admin, если на сайте предполагается регистрация участников

    ОтветитьОтветить
  28. Интересно, что в некоторых темах WordPress для своего сайта иногда может встречаться вредоносный код, поэтому нужно тщательно проверять код скачанной темы перед установкой.

    ОтветитьОтветить
  29. Сам полгода назад натолкнулся на такую проблему. Кроме того, что везде были натыканы ссылки про электронные сигареты, оказались битыми последние сохранения sql. Пришлось массу времени повозиться руками, а потом выполнять многие из этих предложений по защите. Потерял трафик и время.

    ОтветитьОтветить
  30. Очень познавательно, однако хотелось бы получить больше дельных советов, по поводу конкретных мер защиты. На свой сайт, я устанавливаю и плагины рекламы, и социальные кнопки. Пользуюсь только качественными источниками, но как поняла опасность может быть от куда угодно (( А я новичок в этих вопросах, в кодах разных полный профан. Может кто-нибудь видел подробные инструкции по защите сайта?

    На счет подробных инструкций, я имела ввиду пошаговое выполнение каждого совета из этой статьи. Не хотела никак задеть автора, статья действительно очень познавательна, но трудновата к выполнению для «чайников» =)))

    ОтветитьОтветить
  31. Полезная информация, обидно, когда ты стараешься, а кто-то потом сайт взламывает, стоит побеспокоиться об этом заранее.

    ОтветитьОтветить
  32. Ярослав, спасибо большое за такую полезную и подробную статью. Как раз интересовался защитой своего блога, а тут все на блюдечке. Однозначно Ваш блог — в закладки!

    ОтветитьОтветить
  33. Спасибо большое, очень помогли. Как раз искал что то от взлома, а то уже два сайта взломали.

    ОтветитьОтветить
  34. Этот пункт не реалезуем:

    Установите запрет входа по FTP для всех IP, кроме своего.

    Сама суть интернета в том что я могу попасть на свой сайт откуда угодно, хоть с Таиланда.

    Да и дома у многих динамический IPадрес.

    ОтветитьОтветить
  35. @Ольга: Вы перепутали HTTP и FTP-протоколы :) От блокировки доступа по FTP, никаких изменений во внешнем доступе к сайту, не произойдет :)

    ОтветитьОтветить
  36. Практически ничего из написанного не использую, делаю регулярно только копии. Хотя наверное нужно пересмотреть свое отношение к этому вопросу.

    ОтветитьОтветить
  37. Мой сайт на WordPress вскрыли, как консервную банку. Еле-еле все восстановил. Я к тому, что ваша информация весьма и весьма актуальна, всем советую и огромное спасибо

    ОтветитьОтветить
  38. Предупрежден — значит вооружен! Большое спасибо за полезную инфу!

    ОтветитьОтветить
  39. Сам делаю сайты на ВордПресс очень нужная статья для начинающих!

    ОтветитьОтветить
  40. Вордпресс классный движок, все нравится в нем, но вот эти скрытые моменты в бесплатных темах раздражают. Тем, кто неплохо разбирается в технических моментах, жить можно, а я пока плаваю. Поэтому отправляю все ,что нахожу полезное мужу и он уже разбирается

    ОтветитьОтветить
  41. Мне очень нравится смена ссылки входа в админку. У моего хостинга это обязательное условие регистрации. Реально, помогает от взлома.

    ОтветитьОтветить
  42. Спасибо большое за информацию, особенно о плагине для бэкапов.

    ОтветитьОтветить
  43. Хорошие советы для защиты сайта на WP, много для себя нового нашел. Да плагины нужно обновлять постоянно, но и смотреть на новые версии перед тем как обновлять тоже нужно! бывает такое обновляешь плагин и что то перестает работать из за новой версии или же конфликтовать начинает. Кстати вы точно подметили, что не надо хранить плагины если им не пользуешься, так как у меня были случаи через дыру в плагине на сервер начали всякую хрень загружать, хорошо вовремя заметил не нужные файлы, похоже на спамерскую учесть, через мой сервер пытались спамить (((

    ОтветитьОтветить
  44. Защитить wordpress от взлома достаточно непросто. Можно сгенерировать какой угодно сложный пароль для админки, но если квалифицированному специалисту очень уж нужно поломать ваш сайт, то он воспользуется стандартными приёмами, которые уже опробованы им же в получении доступа к сайту, а также из-за открытости движка самой системы поискать уязвимости в нём и обойти вход в админку минуя даже форму ввода логина и пароля. Лучший способ защиты для wordpress... пожалуй, его нет...

    ОтветитьОтветить
  45. Ого!! Ничего себе!!! Даже не думала, что столько есть возможностей и все равно нет 100% гарантии.((( Спасибо!!! Обязательно воспользуюсь!

    ОтветитьОтветить
  46. Защита никогда не будет лишней. Поэтому лучше себя обезопасить сейчас, чем ковырятся потом. Хороший пост автору спасибо!

    ОтветитьОтветить
  47. огромное спасибо!! Я в прошлом году 2 раза из осколков сайт восстанавливала из за юзеров, которым делать нечего, кроме как чужие сайты гробить!

    ОтветитьОтветить
  48. Суперские советы. давно хотел почитать что нибудь интересное по защите блога от взлома.

    ОтветитьОтветить
  49. Моему сайту уже больше года, но о безопасности раньше как то не думала. Спасибо, что поделились советами как это сделать, теперь буду трудиться над безопасностью.

    ОтветитьОтветить
  50. Спасибо за интересную и полезную статью. У меня блог молодой и над вопросами безопасности я не задумывался до тех пор, пока какие-то хулиганы, скорее всего, от нечего делать не взломали его и не натворили мне бед. Тогда я ограничился тем, что поставил пароль из 18 символов. Но блог развивается и начинает конкурировать с другими и вопросы безопасности становятся ой как актуальны.

    ОтветитьОтветить
  51. Ребята, я пользуюсь ЦМС ucoz как его обезопасить?

    или это не возможно?

    ОтветитьОтветить
  52. Хм... Даже не задумывалась об этом. Впредь буду аккуратнее!

    ОтветитьОтветить
  53. У меня сайт относительно молодой и вопросам безопасности я не предавал особого значения до тех пор, пока какие-то добры молодцы, может быть от нечего делать, не натворили мне бед. После этого я усложнил пароль, да и другие меры безопасности лишними не будут.

    ОтветитьОтветить
  54. На своем блоге для защиты я использую плагины, но после этой статьи подумаю, чтобы перевести защиту на коды. Так будет легче на вес блога. Меня уже однажды взламывали, пришлось обращаться к хостеру за помощью в восстановлении ресурса. Поэтому защита должна быть каменной. Спасибо за советы.

    ОтветитьОтветить
  55. Очень полезная информация! Спасибо очень помогла.

    ОтветитьОтветить
  56. Спасибо огромное за столь подробную, полезную и актуальную статью. О защите сайта на WordPress должен позаботиться каждый блоггер.

    ОтветитьОтветить
  57. Спасибо за инфу про Belavir. Давно искал что-то подобное — раньше пользовался DLE, где такая проверка уже встроена в систему

    ОтветитьОтветить
  58. Спасибо автору за столь подробный пост, много чего подчеркнул для себя, буду применять для своего сайта. Советую всем, как кто-то выше сказал: предупрежден, значит — вооружен!

    ОтветитьОтветить
  59. Спасибо за хорошую и полезную статью! Пару способов не знал! пригодилось

    ОтветитьОтветить
  60. Благодарю за полезную инструкцию! Недавно сайт взломали ((

    ОтветитьОтветить
  61. Огромнейшее спасибо за статью! Много полезной информации для себя взяла. Логин, к сожалению, у меня не меняется) Давно не обновляла Вордпресс, боюсь я как-то этих обновлений. После одного такого у меня все перекосило, пришлось делать откат...По поводу Dropbox ничего не слышала, интересно. На данный момент я два раза в месяц делаю вручную сохранение баз данных и файлов через хостинг (сохраняю на компьютере и флешке), также периодически делаю «экспорт» в вордпресс в панели управления.

    Также стоит плагин Database Backup, но хочу от него отказаться, дабф не перегружать сервер. Лучше делать все вручную периодически...

    А вот плагин Antivirus поставлю, на всякий случай, спасибо!

    ОтветитьОтветить
  62. В связи с последними событиями с файлом xmlrpc.php, следует:

    — либо обновиться до версии 3.9.2 (где закрыта уязвимость)

    — либо запретить к нему доступ:

    Files xmlrpc.php Order Deny,Allow Deny from all /Files

    и вообще лучше этот файл не использовать

    ОтветитьОтветить
  63. Меня в последнее время прям атакуют спам комментарии на английском языке, что только не делал ничего не помогает

    ОтветитьОтветить
  64. Как раз недавно ломали, ваша статья то что нужно)))))

    ОтветитьОтветить
  65. Большое спасибо, статейка хорошая можно что то выбрать, сей час буду пробовать, у меня не понятно по каким причинам пользователи постоянно регистрируются какая то подготовка к спаму на сколько мне объяснили

    ОтветитьОтветить
  66. На своем блоге для защиты я использую плагины, но после этой статьи подумаю, чтобы перевести защиту на коды. Так будет легче на вес блога. Меня уже однажды взламывали, пришлось обращаться к хостеру за помощью в восстановлении ресурса. Поэтому защита должна быть каменной. Спасибо за советы.

    ОтветитьОтветить
  67. Первое, что нужно сделать, это изменить стандартный вход в админку. Сейчас многие хостеры делают это автоматически.

    ОтветитьОтветить
  68. Хорошо написано, теперь надо попробовать что-нибудь применить из этого, т.к. не факт, что хостер защищает.

    ОтветитьОтветить
  69. Да тут по мощнее материал, чем у многих блогеров, которые пишут как все, у вас намного понятнее и намного больше способов защиты. Спасибо.

    ОтветитьОтветить
  70. Именно как в методе 6 меня когда то взломали, мне залили шел и на протяжении года у моего сайта было пара админов и много непонятных ссылок в футере.

    ОтветитьОтветить
  71. Толковые рекомендации. Конечно, не особо приятно обнаружить что твой сайт взломан, так что беречься от этого всеми доступными методами не помешает.

    ОтветитьОтветить
  72. Спасибо конечно,статья интерессная но мой сайтик, кому он нужен?

    Но так как информация полезная.Сохранил в закладки ваш блог!

    ОтветитьОтветить
  73. @Дмитрий: зачастую, сам сайт взломщику действительно не нужен. Но Ваш домен и хостинг отлично пригодятся как часть бот-сети для рассылки спама, например. Или как площадка для размещения своих «левых» ссылок. Или как площадка для распространения червей, троянов и прочего. Вариантов использования довольно много :)

    ОтветитьОтветить
  74. Полезная статья! Один раз взломали мои сайты... потом пол года разгребал санкции и закрывал дырки...

    ОтветитьОтветить
  75. @Сергей: Я пользуюсь таким средством, от Тимура Камаева, в нем можно вставлять количество попыток и на какой срок блокируется IP. Был у меня случай, только блоггинг начал осваивать, заказал свой первый блог на WordPress (2012 год — реально был ноль в этом) решил посвятить его компьютерному железу, начал осваивать (интересно всегда познавать, а особенно новое), изучать и вести понемногу. Самое удивительное, что пароль был 666666 и логин admin (такие исполнитель сделал и даже не упредил, что менять надо для безопасности), так вот его подобрали только спустя 5 месяцев, удивительно даже как кто. Итог: вредоносный код + черный список от Касперского, пришлось решать вопрос. Благо помогли на хостинге восстановить еще чистую версию сайта с БЗ, после списывался с антивирусными ребятами, дабы убрали из ЧС, все прошло гладко. Ребята безопасность это то, от чего нужно в первую очередь отталкиваться в при ведении сайта или блога и она обязательно должна быть комплексная.

    ОтветитьОтветить
  76. Самая главная защита от от взлома, это не устанавливать на сайт разные плагины, особенно от неизвестных авторов. А второе, как и говорил автор это установление закрытого доступа, ко всем важным разделам. Так же я думаю, стоит почаще менять пароли.

    ОтветитьОтветить
  77. КОнечно главная проблема это бесплатные шаблоны. Натыкают туда всего, потом останетесь без сайта

    ОтветитьОтветить
  78. Мне понравилась статья. У самого продающий сайт на вордпрессе. И первое что я сделал, чтобы обезопасить свой сайт по вашим советам — ЭТО убрал и заменил логин admin в админке. Плюс добавил длину своего пароля и так же добавил в нём символы, для сложности взлома. И вот про FTP не знал. Использую. Спасибо

    ОтветитьОтветить
  79. Спасибо большое! Добавила статью в избранное — как раз то, что искала, кратко и по существу!

    ОтветитьОтветить
  80. @Андрей: У меня сайт из-за этого под АГС попал. Заспамленность исходящими ссылками. А ссылки эти генерит где-то спрятанный в шаблоне код. Плагин TAC этот код не находит. Если я поменяю шаблон проблема отпадёт?

    ОтветитьОтветить
  81. Здравствуйте! До Вашей статьи я был уверен, что сделал всё возможное по защите своего блога. Что делаю я: использую WordPress Database Backup (архив приходит на почту), имею платный шаблон Гудвина, придумал сложный логин и пароль. Как теперь понял, что это не всё. Что сделаю ещё. Уберу в настройках «Любой может зарегистрироваться», поставлю запрет входа по FTP для всех IP, кроме своего, поставлю плагин для обсчета контрольных сумм файлов, ну и обновления движка и плагинов.

    Лучше заранее перестраховаться, чем потерять блог.

    Автору большое спасибо! Заставили задуматься и действовать!!!

    ОтветитьОтветить
  82. Ого сколько советов. Мне казалось, что достаточно сделать нестандартный адрес входа в админпанель, установить плагин защиты от спама и изменить логин.

    ОтветитьОтветить
  83. Насчет неизвестных плагинов 100% правда. 70% взломов сms благодаря дырам в плагинах и непонятных темах. Так что, перед тем как ставить плагин, тщательно проследите источник и погуглите.

    ОтветитьОтветить
  84. Обновляться почаще и не использовать откровенно левых и написанных пальцем правой ноги плагинов. У меня на блоге за 6 лет — ни одного взлома, и спаммеры режутся на ура.

    ОтветитьОтветить
  85. Большое вам человеческое спасибо, все очень четко и понятно изложено. С точки зрения превентивных мер для меня такая информация очень важна!

    ОтветитьОтветить
  86. Очень полезная статья. Сам делаю сайты на вордпресс тепреь буду стремится к безопасности своего ресурса

    ОтветитьОтветить
  87. Спасибо, хотелось бы более развернутый пост о плагинах безопасности и конечно поста о том, как проверить фри тему на всякого роду опасные скрипты.

    ОтветитьОтветить
  88. У меня сайт на WP, о некоторых вещах не знал, буду юзать теперь.

    ОтветитьОтветить
  89. Да кому нужно ломать мой сайт, это коммерческие тематики или очень популярные блоги достойны этого. Эх...дорасти б))

    Но с другой стороны перестраховаться лучше, чем потом бегать искать, что делать да как быть...

    ОтветитьОтветить
  90. Самое важное в защите от взлома Вордпресса — регулярно делать апдейты. и поставьте расширение akismet от спама в комментариях.

    ОтветитьОтветить
  91. Когда только начала углубляться в блоггинг и сайтостроение, то старалась скачать и установить как можно больше плагинов. Мне казалось, это красиво и удобно.

    В результате с каким-то плагином подцепила рекламу, причем обнаружила ее совершенно случайно, было всего одно слово (конечно же с ссылкой) возле счетчика посещаемости

    ОтветитьОтветить
  92. Статья очень полезная и похоже, что и добавить-то особо нечего. Но я бы посоветовал еще 2 вещи:

    1) Аккуратнее пользоваться FTP-клиентами, потому что из того же Total Commander достаточно легко увести сохраненные пароли;

    2) Почаще эти самые пароли менять.

    Большое спасибо, проверю свои сайты на соблюдение ваших рекомендаций.

    ОтветитьОтветить
  93. Нормальный хостинг — половина успеха. Остальное уже зависит от того, что устанавливает пользователь и обновляет ли он плагины/темы/wp.

    ОтветитьОтветить
  94. Если запретить доступ к wp-login.php, то не будет возможности авторизации другим, а у меня блог с авторизацией. Есть вариант авторизации НЕ через wp-login? А статья полезная, не мешало бы дополнить, что не только вам, а и вашим редакторам, модераторам и т.д.

    ОтветитьОтветить
  95. @Андрей:

    Есть вариант авторизации НЕ через wp-login?

    А какая разница? Смысл этого правила в том, чтобы запретить общий доступ к самой форме авторизации. Даже если переделать ее на любую другую страницу, смысл-то самой формы не изменится. Соответственно, если Вам нужна авторизация пользователей (не редакторов — в этом случае можно просто прописать несколько IP), то вариантов я не вижу.

    ОтветитьОтветить
  96. Как раз на ворд прес хочу сайт создать, слышал о легкости системы к взломам, ну попробуем по советам, увидим поможет ли =)) Спасибо за подробную роспись .

    ОтветитьОтветить
  97. Достаточно объемный материал, половину фишек не знал. Спасибо.

    ОтветитьОтветить
  98. Спасибо за статью, сайт на WP кишит вирусными червями, вешает хостинг, сейчас все будут сносить с нуля и переустанавливать. Приму меры.

    ОтветитьОтветить
  99. Действительно, здесь много того, чего не знал раньше в вордпрессе. Огромный респект автору. Только вот вопросик, подходят ли эти фишки ко всем версиям вордпресс?

    ОтветитьОтветить
  100. Действительно полезная статья, спасибо автору за плодотворный труд. Как сейчас обстоят дела с вордпресс? Сайты по-прежнему легко взломать?(((

    ОтветитьОтветить
  101. А вот за эту статью огромное спасибо!

    Был у меня печальный опыт, когда на моём стареньком блоге в шаблоне начали появляться ссылки на сторонние сайты сомнительного содержания, от чего меня яндекс забанил(

    ОтветитьОтветить
  102. Один из самых эффективных способов — голова на плечах. Только официальные сборки, плагины и темы либо от доверенных разработчиков, либо из официального репозитория.

    Блокировка по IP — отличная вещь, но иногда невозможно ей пользоваться, если то приезжаешь, то уезжаешь, да ещё и по той же причине иногда администрируешь сайт с мобильника.

    Есть плагины для защиты сайтов на WP, так вот, в одном из них есть есть полная блокировка админки от кого бы то ни было, допустим, с 12 ночи до 8 вечера. Ночью ты спишь, с утра и днём работаешь, тебе не до сайта, а вечером после ужина — пожалуйста. То есть админка доступна только 4 часа в сутки, и в другое время, а это 20 часов, в неё никак не попасть. Тоже вариант неплохой, мне кажется.

    ОтветитьОтветить
  103. Ярослав, а какой CMS более безопасен, jumla или WP. Извините, если задал глупый вопрос, просто только начинаю заниматься сайтостроительством.

    ОтветитьОтветить
  104. @Шнайдер Эдуард: в целом — обе системы равны по безопасности. Нужно понимать, что безопасность любой CMS — это не постоянная величина. Иногда находятся новые дырки даже в достаточно старом и уже не раз проверенном коде.

    ОтветитьОтветить
  105. На Nginx вместо httpacces, как вариант, можно просто переместить config.php из корневой директории сайта на уровень выше, WordPress автоматически найдет файл.

    ОтветитьОтветить
  106. Можно упомянуть ещё одну защиту.

    Установить логин и пароль на wp-admin, wp-login.php через .htaccess, .htgroup и .htpasswd

    Помимо перечисленного будет дополнительным барьером.

    ОтветитьОтветить
  107. «Купите нормальный антивирус для компьютера» — спасибо, посмеялся перед сном)) Да, и местоимение «вы» в русском языке пишется со строчной буквы.

    ОтветитьОтветить
  108. @Андрей: вы когда отсмеетесь, почитайте про кейлогеры и снифф траффика, а также про то, как это связано со взломом сайтов — уверен, вам станет куда менее смешно ;)

    Да, а насчет местоимения «вы» — меньше читайте Лебедева, а больше — про безопасность проектов ;)

    ОтветитьОтветить
  109. @Yaroslav.CH: Тем, кто все еще верит в антивирусы, рекомендую почитать альтернативные мнения о них. И перейти на UNIX-ось. Например, Ubuntu.

    Ярослав, а разве Л. не достоен чтения? Вы, я вижу, ведь тоже почитываете ;)

    ОтветитьОтветить
  110. @Андрей: это по поводу «вирусы пишут сами создатели антивирусов, чтобы было что ловить и оправдывать деньги»? Да, глубокое мнение, если не учитывать, к примеру, что одним из очень распространенных направлений хака сайтов является создание спам-сетей. И когда сайт взломают, а хостер забанит и в результате денежный проект станет колом — будет несколько поздновато рассказывать о том, какие плохие разработчики антивирусов. Надо жить в реальности, а не в придуманном мире :)

    Переход на никсы — это абсолютно отдельная тема и совет из категории: «если вы боитесь дождя — не берите зонт и не одевайтесь по погоде — просто откажитесь выходить на улицу вообще».

    То, что пишет Лебедев (равно как и любой другой человек) можно читать, но абсолютно не обязательно воспринимать как руководство к действию.

    ОтветитьОтветить
  111. @Yaroslav.CH: «вирусы пишут сами создатели антивирусов» — простите, но это замшелый баян, пускай даже и не лишенный логики. А что касается «вы», то Лебедев всего лишь повторил уже сказанное более авторитетным человеком ) Так что можете Лебедева ненавидеть, — правила правописания от этого не изменятся ;)

    ОтветитьОтветить
  112. @Андрей:

    это был вообще-то мой вопрос-предположение по поводу Вашего комментария.

    Тем, кто все еще верит в антивирусы, рекомендую почитать альтернативные мнения о них.

    Если Вы имели ввиду что-то другое, тогда Вам стоит уточнить свою мысль.

    А что касается «вы», то Лебедев всего лишь повторил уже сказанное более авторитетным человеком )

    Я рад, что в Вашей жизни присутствуют авторитеты, чьим руководствам Вы следуете — но я ведь не Вы, верно? ;)

    Так что можете Лебедева ненавидеть, — правила правописания от этого не изменятся ;)

    Хм, очень странный и абсолютно алогичный вывод. Почему я должен ненавидеть Лебедева? Мне лично он ничего ни хорошего, ни плохого не сделал. Поэтому Ваше предложение просто лишено смысла — Лебедев мне абсолютно индифферентен. И уж тем более, в вопросах написания «Вы» ;) И, кстати, это не «правила правописания», а правила стилистики. А они меняются со временем. Вчера было «правильно» писать так, сегодня уже не менее «правильно» писать иначе. Для меня «Вы» — это форма выражения уважения к читателю блога.

    ОтветитьОтветить
  113. Придерживаюсь почти половине списка. Хотя если за ресурс возьмутся профессионалы, то своего достигнут.

    ОтветитьОтветить
  114. Очень интересная статья. Можно использовать как мануал, а то сам только начал изучать Вордпресс, тож внес в закладки, буду постепенно улучшать свой блог)

    Спасибо автору!

    ОтветитьОтветить
  115. Отличные советы, интересная идея закрыть доступа к wp-login.php, антивирус ник поставить, подсчет файлов belavir.Прочитав статью удивляюсь как мой блог на вордпресе которому уже 5 лет до сих пор не взломали. Из защиты я только админку закрыла и бекап базы данных поставила!

    ОтветитьОтветить
  116. Как хорошо что нашла вашу статью, у меня совсем молодой блог. Сейчас начну внедрять ваши советы.

    ОтветитьОтветить
  117. В данном случаи я использую плагин WordPress Security

    ОтветитьОтветить
  118. Полезная статья, а главное комплексная. Безопасность сайта на первых шагах кажутся не столь важными. Но когда на сайте большое количество уникальных статей, много сил и средств потрачено для продвижения... тут уже даже при достаточной защите изначально, снова задумываешься о защите блога и его безопасности.

    Ведь приложив усилия по безопасности при создании сайта не стоит думать, что вы идете в ногу со временем. Особенно сайтам на СМС. Еще раз спасибо за расширенный список мер от взлома, очень удобно.

    ОтветитьОтветить
  119. Регулярный бэкап, своевременные обновления CMS и защита входа — это, как говориться, минимальный набор для защиты. Все остальное как дополнительная страховка.

    И читайте на ночь логи )))

    ОтветитьОтветить

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *