Как защитить блог на WordPress?

Всем доброго времени суток!

Пришло время рассказать о том, как защитить блог на WordPress.

Сейчас вечер, за окном темно, сыро и неприятно, под покровом ночи могут происходить всякие нечистые дела. Примерно такая последовательность мыслей в моей голове сподвигла меня прервать свое расслабленное времяпрепровождение и написать данную статью как раз таки на тему противодействия нечистым делам в сфере взлома блогов, атак на блоги, рассылки спама, воровства информации и прочего.

По мере того, как вы продвигаетесь все дальше и дальше на пути ведения своего блога, развиваетесь в этой сфере и ваш ресурс приобретает все более внятные очертания, прямо пропорционально увеличивается риск взлома вашего творения, ведь оно может представлять уже определенную ценность. Представьте на миг, в один прекрасный момент, вы как обычно пытаетесь войти на ваш блог, но вдруг понимаете, что сделать это не получается, и дело тут абсолютно не в том, что у вас возникли проблемы с доступом к интернету, и не с профилактическими работами вашего хостинг-провайдера, а дело в том, что какой-то нехороший человек, из каких-то непонятных вам побуждений, взял и взломал ваше творение. Я такое представить-то боюсь, не то что пережить. Конечно, с определенной долей вероятности что-то предпринять и исправить получится, но зачем эта пустая трата времени и нервов.

Чтобы спать спокойно и не переживать за сохранность вашего ресурса необходимо провести определенный комплекс мероприятий по усилению степени защищенности блога. Разумеется сделать блог абсолютно неуязвимым не удастся, учитывая уровень развития технологий в современном мире, при желании взломать можно что угодно. Другое дело, что после проведения комплекса мероприятий по защите блога, взломать его будет в разы сложнее, потребуется, так сказать, другой уровень квалификации хакера.

Думаю, на данный момент лирики достаточно, можно переходить к делу, к технической стороне вопроса, то есть к реализации поставленной цели — защитить блог.

Как защитить WordPress?

Защищать блог будем с использованием плагина WordPress под названием Better WP Security (в настоящее время плагин носит название iThemes Security). У меня он уже установлен:

Как защитить блог на WordPress?

После установки и активации плагина у вас в меню админ-панели появится пункт Безопасность:

Как защитить блог на WordPress?

Щелкаем по нему, в результате чего появляется окно, в котором предлагается создать резервную копию базы данных:

Как защитить блог на WordPress?

Жмем на соответствующую кнопку, предварительно убедившись, что указан верный email, на который будет выслана база. Проверяем — у меня все получилось, копия базы данных успешно пришла на мой почтовый ящик.

Идем дальше, в появившемся окне находим кнопку Защитить мой сайт от базовых атак:

Как защитить блог на WordPress?

Нажимаем ее, тем самым мы переходим к основным действиям по защите блога. Появится следующее окно:

Как защитить блог на WordPress?

Логичным выглядит вопрос, почему текст разноцветный? Все просто, каждый цвет несет определенный смысл, а именно:

  • зеленый — полная защита;
  • желтый — частичная защита, для полной защиты необходимо проделать определенные действия;
  • синий — защита не в полной мере по причине несовместимости с темой или каким-либо плагином;
  • красный — защита отсутствует.

Таким образом можно оценить, по каким пунктам блог требует проведения дополнительных мероприятий по его защите. В моем случае, как видно из рисунка выше, концентрация зеленых пунктов невелика, следовательно нужно будет немало потрудиться над приведением в порядок защиты моего блога.

Не будем терять ни минуты, ведь блог судя по всему находится под угрозой. Приступаем к настройке плагина Better WP Security. Наша цель — максимально снизить количество красных пунктов и увеличить количество зеленых.

Пойдем по порядку. Заходим во вкладку Пользователь:

Как защитить блог на WordPress?

По умолчанию WordPress создает пользователя с именем admin, и все прекрасно это знают. Так что если вы не поменяете имя пользователя на другое, то потенциальный взломщик может воспользоваться этим для упрощения своей жизни, то есть имя пользователя ему угадывать уже не нужно, остается только подобрать пароль. Так вот, чтобы усложнить жизнь подобного рода вредителям нужно чтобы у вас не было пользователя с именем admin. Вводим новое имя администратора. Также на данной вкладке нужно изменить идентификатор ID администратора (по умолчанию ему присвоено значение 1), для этого жмем на соответствующую кнопку. В результате картина будет следующая:

Как защитить блог на WordPress?

С этим разобрались. Идем далее, и на очереди вкладка Away:

Как защитить блог на WordPress?

Смысл здесь довольно прост — вам предоставляется возможность определить временные интервалы, в которые доступ к админ-панели будет разрешен. Во все остальное время войти туда будет невозможно. Данную функцию используйте по своему усмотрению, главное на попасться на свою же уловку.

Переходим на вкладку Ban. Что здесь представляет интерес? Вот этот пункт:

Как защитить блог на WordPress?

отвечает за включение «черного списка по умолчанию», то есть определенного списка бот-сетей, с которого часто осуществляются атаки на интернет-ресурсы. Здесь нужно быть осторожным, так как его активация может вызвать проблемы с индексацией вашего блога Яндексом, основной поисковый робот которого может находится в данном черном списке.

Ниже расположены поля для внесения IP адресов и клиентских приложений, с которых идут атаки на ваш блог, в черный список:

Как защитить блог на WordPress?

На очереди вкладка Dir:

Как защитить блог на WordPress?

Здесь предусмотрена одна функция, а именно вы можете изменить имя директории wp-content, в которой храниться содержимое вашего блога (установленные темы, плагины, загруженные файлы и т.д.). Я здесь ничего менять не буду, так как у меня в блоге уже все настроено и переименование данной директории повлечет необходимость переделывать все заново. Если бы я знал о данном плагине раньше, то установил бы его в первую очередь и смог бы воспользоваться данной функцией. Ничего не поделаешь, все приходит с опытом.

В следующей вкладке Backup:

Как защитить блог на WordPress?

можно задать параметры резервного копирования базы данных. Тут все понятно, подробнее рассказывать не буду.

Переходим на вкладку Prefix:

Как защитить блог на WordPress?

Для всех таблиц вашей базы данных по умолчанию назначен префикс wp_, что значительно облегчает процесс написания скриптов для получения доступа к вашей базе данных. Так вот, сменив префикс, вы создадите дополнительные трудности для взлома базы данных, что соответственно повысит защищенность вашего блога. Для смены префикса на данной вкладке достаточно щелкнуть по кнопке Изменение префикса таблицы базы данных. После этого будет сгенерирован новый префикс, его вы сможете увидеть здесь же:

Как защитить блог на WordPress?

Больше на этой странице ничего интересного нет, можно идти дальше.

На вкладке Hide вы можете изменить URL для доступа к вашей WordPress:

Как защитить блог на WordPress?

Здесь можно прописать любые комбинации латинских символов, главное запомнить, ведь именно по ним вы в дальнейшем и будете авторизовываться. Данное мероприятие дополнительно обезопасит ваш блог от взлома.

Идем далее, на очереди вкладка Detect. Если замечаете, что очень часто идут запросы на несуществующие страницы вашего блога (то есть запросы, получающие ошибку 404), то вероятнее всего это указывает на осуществление атаки на него. Для пресечения данных атак нужно провести определенные настройки на вкладке Detect, в итоге получиться должно следующее:

Как защитить блог на WordPress?

Если не хотите особо вникать, то можете просто взять мои значения. Адрес электронной почты укажите свой (скорее всего он будет прописан автоматически).

Теперь подробнее:

Check Period означает сколько времени (в минутах) будет в памяти зафиксирован факт возврата ошибки 404 на определенный IP адрес.

Порог ошибки — это количество возвратов ошибки 404 за Check Period на определенный IP адрес, по мере достижения которого данный IP будет заблокирован на Период блокировки.

Blacklist Repeat Offender — это функция поместит IP адрес в черный список по мере достижения количества блокировок, указанного в поле Blacklist Threshold.

В поле 404 White List внесите IP адреса, для которых данные правила действовать не будут (к примеру, свой).

Вкладка Detect довольно длинная, поэтому скриншот я разбил на две части, вот вторая часть:

Как защитить блог на WordPress?

После внесения данных изменений вам на электронную почту, указанную в поле Адрес электронной почты, будут высылаться уведомления о внесенных в файлы блога изменениях.

В поле File/Directory Check List укажите папки и типы файлов, изменения в которых будут/не будут фиксироваться (в зависимости от значения поля Include/Exclude List). Я исключил из перечня папку кэша. Не забывайте сохранить изменения.

Далее идем на вкладку Login. У меня данная вкладка выглядит следующим образом:

Как защитить блог на WordPress?

Теперь поясню подробнее. Все действия подобны тем, что мы делали на вкладке Detect. Суть такова: мы предоставили 5 попыток (поля Max Login Attempts Per Host и Max Login Attempts Per User) в течение 10 минут (поле Login Time Period (minutes)) для авторизации на вашем блоге, если все они неудачны (неверные учетные данные), то пользователь блокируется на 20 минут (поле Lockout Time Period (minutes)). Если подобное повторяется суммарно 5 раз (поле Blacklist Threshold), то пользователь оказывается в черном списке. Можете просто повторить мои настройки, ну или придумайте свои, на ваше усмотрение.

Идем далее, на очереди вкладка SSL:

Как защитить блог на WordPress?

SSL представляет из себя протокол, обеспечивающий безопасность связи. Тут есть одна тонкость, для использования данной функции этот протокол должен поддерживаться вашим сервером. Если ваш сервер удовлетворяет данным требованиям, то можете выбрать использование данного протокола для шифрования передачи данных в отношении всего блога или его части (поле Enforce Front end SSL). В данной вкладке я ничего менять не буду.

На вкладке Tweaks содержится ряд настроек, которые могут существенно улучшить безопасность вашей системы. Желтым цветом подсвечены пункты, изменение которых несет риск нарушения правильного функционирования системы, поэтому, если вы все-таки решили здесь что-то поменять, то проверьте потом работоспособность системы. Тут рекомендовать ничего не буду, так как все индивидуально, и то, что помогло мне, у вас может вызвать негативный эффект.

Последняя вкладка — Log. Здесь аккумулируется статистика вторжений в вашу систему и некоторая другая информация. Периодически отслеживайте ее.

Мы рассмотрели все вкладки плагина Better WP Security. В начале статьи я приводил скриншот вкладки Dashboard, на которой отображалось состояние защиты моей системы по различным параметрами. После внесения всех изменений получилась следующая картина:

Как защитить блог на WordPress?

Как видно из рисунка, красных пунктов у меня не осталось, а количество зеленых пунктов увеличилось. На основании этого можно сделать вывод, что теперь моя система защищена и явных проблем в плане безопасности нет.

Таким образом, проведя комплекс мероприятий с использованием плагина Better WP Security, мы защитили WordPress.

Рекомендую и вам использовать описанный в данной статье метод защиты блога на WordPress от действий злоумышленников и прочих угроз, встречающихся сплошь и рядом на просторах интернета.

На этом все, не забывайте подписываться на обновления моего блога, чтобы не пропустить появление в нем новых статей!

P.S. На просторах интернета наткнулся на книгу Михаила Човбана о защите WordPress под названием «Защищенный WordPress на 100%». Отзывы просто супер! Обязательно куплю себе и вам советую! Защитите свой блог сегодня, чтобы спать спокойно!

До скорых встреч. С уважением, Владимир Денисов!

Также стоит прочитать:

Красивая форма подписки feedburner для WordPress... Всем привет! Сегодня поменял внешний вид формы подписки на обновления моего...блога, реализованной через такой сервис Google, как feedburner. Именно по этой...причине в данной статье я расскажу о создании красивой формы подписки feedburner...для WordPress.
Картинки в комментариях. Плагин Comment Images... Здравствуйте, читатели моего блога! Речь в данной статье пойдет о плагине для...WordPress, который позволяет вставлять изображения в комментарии. Разумеется,...это не единственный способ выполнения данной операции, ведь уже размещенное в...интернете изображение можно вставить в комментарий с использованием ссылки не...него. Однако, для этого изображение должно быть размещено в интернете, а...какое-либо стороннее изображение, к примеру, с жесткого диска вашего компьютера,...добавить не удастся. В этом случае на помощь приходит плагин.
Галерея изображений стандартными средствами WordPr... Всем привет! В сегодняшней статье я хочу затронуть вопрос создания простой...галереи изображений для WordPress стандартными средствами данной CMS.

Комментарии 3

  • Читал отзывы о ниге Михаила Човбана о защите WordPress «Защищенный WordPress на 100%». Мое мнение, что не существует 100% защиты. А если и существует то от кого, от юзера который вчера только приобрел ПК — с начальными и ограниченными знаниями

  • Владимир, особое внимание нужно уделять тому, чтобы не сломали. Вот к примеру я делаю во первых — сложный пароль, из сочетанием цифр и букв. Второе — меняю их с определенным периодом.

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

Этот сайт использует Akismet для борьбы со спамом. Узнайте как обрабатываются ваши данные комментариев.