студия занимательная МИХАЛИКА
! Михалика - запросто с WordPress:
доступная ручная работа по правилам оптимального интернет(а)
Здравствуйте !

издатель:   в теме: Техническое SEO
студия занимательная МИХАЛИКА

Как защитить от взлома файлы сайта на WordPress — важные правила…

Встречайте: вот несколько необходимых настроек сайта, которые помогут значительно обезопасить свою кровиночку сайт от взлома мошенниками))

…перечислю некоторые возможности, которые ну просто дозарезу необходимо знать и использовать в качестве превентивных мер, создавая сайт…

А вообще, в интернете запросто отыскать много полезного из того, что просто необходимо иметь в арсенале защиты своего сайта/блога…

 

Занавес открывается:


Конечно, стопроцентной защиты (как и ничего 100%, впрочем) не существует, но, однако, процентность взлома блога должна быть как можно ниже и к этому — нужно стремиться стремглав) А посему всякая информация безопасности интернет-ресурсов лишней не бывает.

 

 

 

 

некоторые правила безопасности блога на WordPress

 

 

 

Новичкам рекомендую перво-наперво, конечно же, установить плагин iThemes Security (Better WP Security) в интернет много информации относительно его настроек — впрочем, вот некоторые из них — взгляните Как изменить url страницы админпанели этим вы скроете адрес (ссылку) на страничку «входа», о котором будете знать только вы!

И более общая информация Better WP Security

К стати же — плагин замечательным образом настраивается на сохранения копий Базы Данных: по дням и т. п.

 

Коли есть новички, то вам замечательным образом поможет избежать многих нелепых начальных ошибок да и сохранить массу полезнейшего времени вот этот пост необходимые настройки сайта

 

 

Продолжим…

 

Я сейчас не стану говорить о пользе/не пользе статических и динамических ip-адресов, с ними разберётесь постепенно, так сказать, в процессе личной практики… )

 

А пока, настоятельно предлагаю поближе познакомиться с вашим хостингом !! — рекомендую написать в поддержку, чтобы они разъяснили настоящие возможности вашего аккаунта, а в том числе и возможные вариации защиты.

Всякий приличный хостер (группа поддержки — Support)) обязательно предложат пояснительное письмо.

 

…стоит поинтересоваться у поддержки, есть ли возможность установить двухфакторную аутентификацию при заходе к себе во владения…

Подобный принцип работы наглядно демонстрируется, к примеру, в Google — когда добавляете аккаунт требуется подтверждение по SMS.

 

 

Что жж, пока ждёте ответ хосто-братьев, как правило, нерасторопной тех-поддержки… времени не теряйте:

 

 

 

 

попристальнее изучите регулировки панели управления хостом

 

 

 

 

Будет нелишним отключить доступ по FTP, ну или как-то это дело регулировать: когда хостомеханика сайта не требуется, вряд ли «включенный доступ» оправдан, — если у вас динамический ip и вы не можете запретить вход в аккаунт всем ип адресам, окромя вашего…

 

Ну и касаемо этой темы, вероятно, будет небесполезно отключить возможность редактирования файлов корня шаблона из админки.

Ведь как, когда уже сайт боле-менее настроен и работает, доступ к регулировкам файлов только в тягость личным нервам… К слову, на сайтах под моим управлением «редактирование из консоли» отключено всегда!

 

 

Открываете файл wp-config.php что в корне сайта (не темы) и куда-то ближе книзу… рядышком со строкой «пожелания удачи» от разработчиков, дописываете строки данные ниже:

 

 

/**запрет редакции в админке*/
define('DISALLOW_FILE_EDIT', true);

 

 

Ну и кому нужно, там же можно запретить автоматическое обновление системных файлов WordPress. Это полезно !! — ко всем обновлениям нужно быть подготовленным.

Не подвергайте свой сайт тестированию cms разработчиков ! —

существуют так называемые «мажорные» и «минорные» обновления, попросту — важные и не очень важные, в которых осуществляется отлов и исправление ошибок обновлённого функционала текущей версии WordPress.

 

Посему логичнее обновить на уже «безошибочный» минорный вариант (хотя ошибки были и будут всегда) — однако, думаю, информация пригодится для личных практических знаний.

 

 

/**отключение автообновления вордпресс*/
define( 'WP_AUTO_UPDATE_CORE', false );

 

 

 

Итак, после использования файла wp-config.php для нашей же защиты, научимся:

 

 

 

 

как обезопасить файлы wp-config.php и .htaccess

 

 

 

 

После наших редакций конфигурационного файла открываем не менее легендарный файл .htaccess — в нём мы кстати защитим и сам файл конфигурации wp-config.php

 

 

1 — код: защищаем файл конфигурации.

 

 

# защита wp-config.php
<files wp-config.php>
order allow,deny
deny from all
</files>

 

 

 

2 — код: защищаем файл .htaccess

 

#Защищаем .htaccess файл
<Files ~ "^.*\.([Hh][Tt][Aa])">
order allow,deny
deny from all
satisfy all
</Files>

 

 

Далее…

 

У которых статический ip — будет полезно защитить файл wp-login.php — страничку входа в админку.

 

 

<Files wp-login.php>
Order Deny,Allow
Deny from all
Allow from xxx.xx.xx.xx
</Files>

 

 

запрет доступа к странице всех ip-адресов, кроме вашего: где ххх.ххх. ваш личный IP.

 

 

Ну а для тех, которые статическим айпи адресом пока ещё не обзавелись, постулат:

Поймите ! если у вас отсутствует возможность запретить доступ к администрированию ресурса всем, кроме своего IP адреса — это не значит плюнуть на защиту!

 

 

 

 

 

как обезопасить от мошенников медиа-папку uploads

 

 

 

 

…папка с картинками одно из уязвимых и дырявых мест корня сайта.

 

 

Вот путь:

 

ВАШ_ДОМЕН/wp-content/uploads

 

 

Внутри папки uploads создаём новый независимый файл .htaccess и прописываем в нём следующие кодированные строки (этими параметрами запретим выполнение сторонних скриптов и внешний доступ к папке uploads, а также исключим загрузку неизвестных файлов):

 

 

Позволим загрузку только лишь картинок определённого формата — пропишем следующие строки в созданный файл.

 

 

#Защищаем .htaccess файл - только загрузка картинок
<FilesMatch "\.(gif|jpg|png)$">
Allow from all
</FilesMatch>
Deny from all
#Защищаем .htaccess файл - только загрузка картинок
# END WordPress

 

 

Как это работает: просто и замечательно… посмотрите на вторую строку (выделена жёлтый), видите..? Это расширения файлов, которые разрешены к загрузке в папку (это коротко)…

 

Дополню, пожалуй, только тем, что вы можете на своё усмотрение добавить «разрешённое» расширение. Например, в этом случае будет целесообразно дописать и формат (или расширение, кому как удобнее) jpeg — попробуйте отредактировать сами…

 

 

А я покажу ещё один, на мой взгляд, симпатичный способ — кстати, не так давно на одном из сайтов закрыл огромную лазейку — прямо дыру ко взлому (к великой неожиданности администратора) но обо всём по порядку:

 

 

 

 

как защитить важные файлы ядра вордпресс и корня шаблона…

 

 

 

 

Поместите вот этот лихой файлик .htaccess в наиважнейшие папки своего сайта: это полезная заготовка и настраиваемый инструмент защиты в дальнейшем пути развития блога/сайта…

 

Права на запись можно задать и 444 — это в файловом менеджере… (Конечно же, не забывайте тестировать итог проделанных работ)

 

 

Итак — в папку темы поместите, скопировав, следующий чудо код… (замените .htaccess второй строки на имя другого защищаемого файла или оставьте как есть).

 

 

#Защищаем .htaccess файл
<files .htaccess>
order allow,deny
deny from all
</files>
# защита index.php
<files index.php>
order allow,deny
deny from all
</files>
# END WordPress

 

 

Выделенная строка 7  — как вы понимаете, обезопасит индексный файл (во многих темах он отвечает за формирование заглавной страницы сайта) — это очень важно!!

 

 

На одном из сайтов получилось так: подстроив кое-какие огрехи и убрав некоторые прорехи… Я решил для пущей строгости тестить далее…

…набираю в адресной строке браузера такой чудо-адресок:

 

 

http://mihalica.ru/wp-content/имя_темы

 

 

Секунды соединения… ужас-интернет-коллапса… и — браузер преподнёс неожиданное окно, короче…

 

В самом верху красовалась строка гласившая о фатал еррор.

 

 

Fatal error: Uncaught Error: Call to undefined function ... и так далее...

 

 

Чем это плохо !? — если у вас получается то же самое, взгляните на сообщение в вашем окне внимательнее!!!!

 

 

Среди прочей тех-составляющей лабуды, более менее продвинутый пользователь, разглядит логин для входа в админку файлового менеджера — это очень и очень!!.

Взломщику останется только подобрать пароль — и ваш акк на хостинге открыт. О какой защите сайта или аккаунта файлового менеджера здесь можно толковать?

 

Не знаю, за все хостинги утверждать не берусь, но во многих — описанная выше строка имеет опасную информацию. Имейте ввиду это други.

 

 

А вообще — напоминаю, проконсультируйтесь в поддержке, имеет ли возможность ваш хостер предоставить вам двухфакторную авторизацию. На приличных хостах, этого дела хоть отбавляй)

Кстати, это одна из проверочек компетентности качества площадки хостинга, ибо как ни крути, а и хостер должен быть заинтересован в вашей защищённости. Реноме, знаете ли…

 

 

Вот ещё экзерсис:

 

…ради эксперимента уж коли коснулись защиты сайта, попробуйте прописать в адресной строке браузера, например так:

…жмите Enter…

 

http://mihalica.ru/wp-content/plugins/

 

ИЛИ

 

http://mihalica.ru/wp-content/

 

 

!! После прогрузки окно браузера должно быть пустым !!  …и если у вас не так… …исправьте это!

 

 

 

В этих случаях, при адресном запросе файла, должна открываться пустая страничка! …ну, на худой конец, сообщение о том, что «…доступ к файлу ограничен администратором…»

Никакой технической «белиберды» понятной взломщику быть не должно! Это и будет одним из многих способов защиты сайта от взлома.

 

 

 

Добавьте в папки plugins (плагинов) и основную пользовательскую wp-content такой файлик:

Это почти пустой индексный файл — с расширением.php — имея его в нужных директориях, доступ к просмотру файлов будет запрещён — пустая беленькая страничка.

Не правда ли, очень философично и многозначительно — как картина белый квадрат.

Пусть взломщик наслаждается искусством… и парится.

 

 

Запись в фале лаконичная:

 

 

<?php
// Silence is golden.

 

 

Не забудьте при тестировании директорий своего сайта поменять имя моего домена на свой)

 

 

 

А напоследок я спою вот о чём:

 

 

Важное!

Внимательнее относитесь к скриптам из сети, коих сейчас достаточное разнообразие и, расширяя всевозможные сайтовые улучшали, избегайте необдуманной прописки кода в файлы своего сайта. Скрипт может содержать, мягко скажем, нежелательные «программки сканирования» и т. п. Бывает так, что автор, переопубликовавший какое-то полезное решение, ничего о вредоносном коде в скрипте и не подозревает!

!! потратьте несколько времени на проверку кодо-решения…

 

2: backup сайта и Базы Данных !! — и если мне нынче удастся кого-то заставить запомнить это важнейшее правило, уже будет здорово.

Вы должны довести свои действа до автоматической отработки: как только собираетесь вносить изменения в файлах системы — всегда перед этим делайте полный бекап сайта.

А сэкономленное время на всякие восстановления блогоресурса, целесообразнее потратить на полезные дела.

Материальный импульс этому напоминанию исключительно личный опыт…

 

 

Для тех, которые желают создать серьёзную веб площадку, приносящую автору не только удовольствие, но и заработок ! советую выкинуть из головы идею «бесплатного» — бесплатное, это проигрыш! А исключение, подтверждающее это правило, только одно: максимально бесплатно удастся создать площадку только в одном случае, если вы готовы к самоотверженному труду и стойкости во времени… работе…

 

Осторожнее относитесь к плагинам ! не устанавливайте непроверенные архивы…

Не пользуйтесь бесплатными темами (шаблонами) у которых нет явного авторства! но в избытке положительные отзывы: вся эта благодать, как правило, купленная декорация!!

 

не покупайтесь же, как индейцы, на бусы.

 

!! Поймите !! все перечисленные требования, есть средства защиты вашего сознания от обработки сетевых мошенников) и это ни чуть не менее важно самой защиты сайта.

 

Присматривайтесь к сайтам, на которых черпаете информацию: сайт должен быть живой, с ведущим автором или сетевым администратором, который охотно предоставляет информацию о себе и команде в сторонних социальных сетях.

Такие авторы всегда будут рады вам помочь как при знакомстве, так и в дальнейшем, ибо живой диалог обеим сторонам только на пользу!

 

И ещё: усвойте правило минусов «платного» — покупая какой-то плагин, шаблон… вы становитесь на вечный путь покупателя, ибо сиюминутные удобства крадут ваши личные знания!

А ведь только на личные же знания и до́лжно полагаться в сайтостроении, до и не только в веб индустрии..!

 

Плюс платного в том, что, изучение материальной части по правилам создания сайтов, начинается от более верной стартовой точки профессионала, но не хаотично и разрозненно, а, зачастую, основываясь на ошибочной идее бесплатных проб и ошибок разработчиков…

 

 

Итог: главное без фанатизЬма защищайтесь…

 

 

 

Желаю вам удачного ведения дел в вашем бизнесе… )

 

 

 

А теперь самое время защититься и от себя! …чтобы при оказии самим-с не взламывать сайт свой… полезный менеджер для «незабывчивости» паролей. Рекомендую.!.

 

Как закрыть nofollow ссылки тегов - меток

 

На этом у меня на сегодня решительно всё!..

 

 

…а в комментариях давайте поделимся личными способами защиты… Всем будет полезно!!

А я ещё что-то найду для новичков: в общем у меня есть кое-что новенькое, но несколько сложновато… да и пока что тестирую лично-с. Так что нелишне будет подписаться))

 

 

Замечание:

…в обновлённом вордпресс 4.6… и т.д. стало крайне неудобно редактировать записи сайта — пропадают наработки, правки статей затираются…

Советую прочитать текстовой редактор работает неправильно — кэшируется

 

 


подписка feedburner МИГ подписки - ВРЕМЯ знаний!!

 


Если что-то не ясно, спрашивайте. Помогу… в чём дюжу.
Вместе мы многое сможем! Берегите себя и свой век - mihalica.ru


Нажатия на кнопочки определяют Ваше высокое гражданское сознание
Удачи в работе и творчестве..!


меточная навигация:


Комментарии © 2 к статье: Как защитить от взлома файлы сайта на WordPress — важные правила…

  1. А разве нет компаний, которые бы предлагали отдельно систему защиты? Я как-то на umi.ru брал конструктор и там же, помню, можно было что-то и для защиты прикупить.

    Ответить - Роман

    • Здравствуйте Роман!
      umi.ru насколько я понимаю, бесплатная площадка-конструктор. А на бесплатной площадке сама мысль покупки ПЛАТНОЙ защиты звучит кощунственно по отношению к здравому смыслу!
      Я лично услугами таких площадок не пользовался (это, мягко говоря, дет-сад): судить не берусь…
      Касаемо же платного хоста — да, он в общем-то заинтересован в защищённости сайта клиента, но внутреннюю файловую структуру сайта обязан блюсть владелец. …и правильнее, если админ это будет делать средствами своих знаний и… ручками, де-факто))

      Ответить - Михаил

Поделитесь соображениями: Ваши мысли очень важны! $ правила комментирования ©

Ваш e-mail не будет опубликован. Обязательные поля помечены *