Встречайте: вот несколько необходимых настроек сайта, которые помогут значительно обезопасить свою кровиночку сайт от взлома мошенниками))
…перечислю некоторые возможности, которые ну просто дозарезу необходимо знать и использовать в качестве превентивных мер, создавая сайт…
А вообще, в интернете запросто отыскать много полезного из того, что просто необходимо иметь в арсенале защиты своего сайта/блога…
Занавес открывается:
Конечно, стопроцентной защиты (как и ничего 100%, впрочем) не существует, но, однако, процентность взлома блога должна быть как можно ниже и к этому — нужно стремиться стремглав) А посему всякая информация безопасности интернет-ресурсов лишней не бывает.
некоторые правила безопасности блога на WordPress
Новичкам рекомендую перво-наперво, конечно же, установить плагин iThemes Security (Better WP Security) в интернет много информации относительно его настроек — впрочем, вот некоторые из них — взгляните Как изменить url страницы админпанели этим вы скроете адрес (ссылку) на страничку «входа», о котором будете знать только вы!
И более общая информация Better WP Security
К стати же — плагин замечательным образом настраивается на сохранения копий Базы Данных: по дням и т. п.
Коли есть новички, то вам замечательным образом поможет избежать многих нелепых начальных ошибок да и сохранить массу полезнейшего времени вот этот пост необходимые настройки сайта
Продолжим…
Я сейчас не стану говорить о пользе/не пользе статических и динамических ip-адресов, с ними разберётесь постепенно, так сказать, в процессе личной практики… )
А пока, настоятельно предлагаю поближе познакомиться с вашим хостингом !! — рекомендую написать в поддержку, чтобы они разъяснили настоящие возможности вашего аккаунта, а в том числе и возможные вариации защиты.
Всякий приличный хостер (группа поддержки — Support)) обязательно предложат пояснительное письмо.
…стоит поинтересоваться у поддержки, есть ли возможность установить двухфакторную аутентификацию при заходе к себе во владения…
Подобный принцип работы наглядно демонстрируется, к примеру, в Google — когда добавляете аккаунт требуется подтверждение по SMS.
Что жж, пока ждёте ответ хосто-братьев, как правило, нерасторопной тех-поддержки… времени не теряйте:
к оглавлению
попристальнее изучите регулировки панели управления хостом
Будет нелишним отключить доступ по FTP, ну или как-то это дело регулировать: когда хостомеханика сайта не требуется, вряд ли «включенный доступ» оправдан, — если у вас динамический ip и вы не можете запретить вход в аккаунт всем ип адресам, окромя вашего…
Ну и касаемо этой темы, вероятно, будет небесполезно отключить возможность редактирования файлов корня шаблона из админки.
Ведь как, когда уже сайт боле-менее настроен и работает, доступ к регулировкам файлов только в тягость личным нервам… К слову, на сайтах под моим управлением «редактирование из консоли» отключено всегда!
Открываете файл wp-config.php
что в корне сайта (не темы) и куда-то ближе книзу… рядышком со строкой «пожелания удачи» от разработчиков, дописываете строки данные ниже:
/**запрет редакции в админке*/
define('DISALLOW_FILE_EDIT', true);
Ну и кому нужно, там же можно запретить автоматическое обновление системных файлов WordPress. Это полезно !! — ко всем обновлениям нужно быть подготовленным.
Не подвергайте свой сайт тестированию cms разработчиков ! —
существуют так называемые «мажорные» и «минорные» обновления, попросту — важные и не очень важные, в которых осуществляется отлов и исправление ошибок обновлённого функционала текущей версии WordPress.
Посему логичнее обновить на уже «безошибочный» минорный вариант (хотя ошибки были и будут всегда) — однако, думаю, информация пригодится для личных практических знаний.
/**отключение автообновления вордпресс*/
define( 'WP_AUTO_UPDATE_CORE', false );
Итак, после использования файла wp-config.php
для нашей же защиты, научимся:
к оглавлению
как обезопасить файлы wp-config.php и .htaccess
После наших редакций конфигурационного файла открываем не менее легендарный файл .htaccess
— в нём мы кстати защитим и сам файл конфигурации wp-config.php
…
1 — код: защищаем файл конфигурации.
# защита wp-config.php
<files wp-config.php>
order allow,deny
deny from all
</files>
2 — код: защитим сам файл .htaccess
— (один из вариантов) чтобы защитить от хакеров — их несанкционированного доступа — важнейший системный файл нашего сайта.
# Защищаем собственно .htaccess файл
<Files ~ "^.*\.([Hh][Tt][Aa])">
order allow,deny
deny from all
satisfy all
</Files>
Далее…
У которых статический ip — будет полезно защитить файл wp-login.php
— страничку входа в админку.
<Files wp-login.php>
Order Deny,Allow
Deny from all
Allow from xxx.xx.xx.xx
</Files>
запрет доступа к странице всех ip-адресов, кроме вашего: где ххх.ххх. ваш личный IP.
Ну а для тех, которые статическим айпи адресом пока ещё не обзавелись, постулат:
Поймите ! если у вас отсутствует возможность запретить доступ к администрированию ресурса всем, кроме своего IP адреса — это не значит плюнуть на защиту!
к оглавлению
как обезопасить от мошенников медиа-папку uploads
…папка с картинками одно из уязвимых и дырявых мест корня сайта.
Вот путь:
ВАШ_ДОМЕН/wp-content/uploads
Внутри папки uploads создаём новый независимый файл .htaccess
и прописываем в нём следующие кодированные строки (этими параметрами запретим выполнение сторонних скриптов и внешний доступ к папке uploads, а также исключим загрузку неизвестных файлов):
Позволим загрузку только лишь картинок определённого формата — пропишем следующие строки в созданный файл.
#Защищаем uploads папку - только загрузка картинок
<FilesMatch "\.(gif|jpg|png)$">
Allow from all
</FilesMatch>
Deny from all
#Защищаем uploads папку - только загрузка картинок
# END WordPress
Как это работает: просто и замечательно… посмотрите на вторую строку (выделена жёлтый), видите..? Это расширения файлов, которые разрешены к загрузке в папку (это коротко)…
Дополню, пожалуй, только тем, что вы можете на своё усмотрение добавить «разрешённое» расширение. Например, в этом случае будет целесообразно дописать и формат (или расширение, кому как удобнее) jpeg
— попробуйте отредактировать сами…
А я покажу ещё один, на мой взгляд, симпатичный способ — кстати, не так давно на одном из сайтов закрыл огромную лазейку — прямо дыру ко взлому (к великой неожиданности администратора) но обо всём по порядку:
к оглавлению
как защитить важные файлы ядра вордпресс и корня шаблона…
Поместите вот этот лихой файлик .htaccess
в наиважнейшие папки своего сайта: это полезная заготовка и настраиваемый инструмент защиты в дальнейшем пути развития блога/сайта…
Права на запись можно задать и 444 — это в файловом менеджере… (Конечно же, не забывайте тестировать итог проделанных работ)
Итак — в папку темы поместите, скопировав, следующий чудо код… (замените .htaccess второй строки на имя другого защищаемого файла или оставьте как есть).
#Защищаем .htaccess файл
<files .htaccess>
order allow,deny
deny from all
</files>
# защита index.php
<files index.php>
order allow,deny
deny from all
</files>
# END WordPress
Выделенная строка 7 — как вы понимаете, обезопасит индексный файл (во многих темах он отвечает за формирование заглавной страницы сайта) — это очень важно!!
На одном из сайтов получилось так: подстроив кое-какие огрехи и убрав некоторые прорехи… Я решил для пущей строгости тестить далее…
…набираю в адресной строке браузера такой чудо-адресок:
https://mihalica.ru/wp-content/themes/имя_темы
Секунды соединения… ужас-интернет-коллапса… и — браузер преподнёс неожиданное окно, короче…
В самом верху красовалась строка гласившая о фатал еррор.
Fatal error: Uncaught Error: Call to undefined function ... и так далее...
Чем это плохо !? — если у вас получается то же самое, взгляните на сообщение в вашем окне внимательнее!!!!
Среди прочей тех-составляющей лабуды, более менее продвинутый пользователь, разглядит логин для входа в админку файлового менеджера — это очень и очень!!.
Взломщику останется только подобрать пароль — и ваш акк на хостинге открыт. О какой защите сайта или аккаунта файлового менеджера здесь можно толковать?
Не знаю, за все хостинги утверждать не берусь, но во многих — описанная выше строка имеет опасную информацию. Имейте ввиду это други.
А вообще — напоминаю, проконсультируйтесь в поддержке, имеет ли возможность ваш хостер предоставить вам двухфакторную авторизацию. На приличных хостах, этого дела хоть отбавляй)
Кстати, это одна из проверочек компетентности качества площадки хостинга, ибо как ни крути, а и хостер должен быть заинтересован в вашей защищённости. Реноме, знаете ли…
Вот ещё экзерсис:
…ради эксперимента уж коли коснулись защиты сайта, попробуйте прописать в адресной строке браузера, например так:
…жмите Enter…
https://mihalica.ru/wp-content/plugins/
ИЛИ
https://mihalica.ru/wp-content/
!! После прогрузки окно браузера должно быть пустым !! …и если у вас не так… …исправьте это!
В этих случаях, при адресном запросе файла, должна открываться пустая страничка! …ну, на худой конец, сообщение о том, что «…доступ к файлу ограничен администратором…»
Никакой технической «белиберды» понятной взломщику быть не должно! Это и будет одним из многих способов защиты сайта от взлома.
Добавьте в папки plugins (плагинов) и основную пользовательскую wp-content такой файлик:
Это почти пустой индексный файл — с расширением.php
— имея его в нужных директориях, доступ к просмотру файлов будет запрещён — пустая беленькая страничка.
Не правда ли, очень философично и многозначительно — как картина белый квадрат.
Пусть взломщик наслаждается искусством… и парится.
Запись в фале лаконичная:
<?php
// Silence is golden.
Не забудьте при тестировании директорий своего сайта поменять имя моего домена на свой)
А напоследок я спою вот о чём:
Важное!
Внимательнее относитесь к скриптам из сети, коих сейчас достаточное разнообразие и, расширяя всевозможные сайтовые улучшали, избегайте необдуманной прописки кода в файлы своего сайта. Скрипт может содержать, мягко скажем, нежелательные «программки сканирования» и т. п. Бывает так, что автор, переопубликовавший какое-то полезное решение, ничего о вредоносном коде в скрипте и не подозревает!
!! потратьте несколько времени на проверку кодо-решения…
2: backup сайта и Базы Данных !! — и если мне нынче удастся кого-то заставить запомнить это важнейшее правило, уже будет здорово.
Вы должны довести свои действа до автоматической отработки: как только собираетесь вносить изменения в файлах системы — всегда перед этим делайте полный бекап сайта.
А сэкономленное время на всякие восстановления блогоресурса, целесообразнее потратить на полезные дела.
Материальный импульс этому напоминанию исключительно личный опыт…
Для тех, которые желают создать серьёзную веб площадку, приносящую автору не только удовольствие, но и заработок ! советую выкинуть из головы идею «бесплатного» — бесплатное, это проигрыш! А исключение, подтверждающее это правило, только одно: максимально бесплатно удастся создать площадку только в одном случае, если вы готовы к самоотверженному труду и стойкости во времени… работе…
Осторожнее относитесь к плагинам ! не устанавливайте непроверенные архивы…
Не пользуйтесь бесплатными темами (шаблонами) у которых нет явного авторства! но в избытке положительные отзывы: вся эта благодать, как правило, купленная декорация!!
не покупайтесь же, как индейцы, на бусы.
!! Поймите !! все перечисленные требования, есть средства защиты вашего сознания от обработки сетевых мошенников) и это ни чуть не менее важно самой защиты сайта.
Присматривайтесь к сайтам, на которых черпаете информацию: сайт должен быть живой, с ведущим автором или сетевым администратором, который охотно предоставляет информацию о себе и команде в сторонних социальных сетях.
Такие авторы всегда будут рады вам помочь как при знакомстве, так и в дальнейшем, ибо живой диалог обеим сторонам только на пользу!
И ещё: усвойте правило минусов «платного» — покупая какой-то плагин, шаблон… вы становитесь на вечный путь покупателя, ибо сиюминутные удобства крадут ваши личные знания!
А ведь только на личные же знания и до́лжно полагаться в сайтостроении, до и не только в веб индустрии..!
Плюс платного в том, что, изучение материальной части по правилам создания сайтов, начинается от более верной стартовой точки профессионала, но не хаотично и разрозненно, а, зачастую, основываясь на ошибочной идее бесплатных проб и ошибок разработчиков…
Итог: главное без фанатизЬма защищайтесь…
Желаю вам удачного ведения дел в вашем бизнесе… )
А теперь самое время защититься и от себя! …чтобы при оказии самим-с не взламывать сайт свой… полезный менеджер для «незабывчивости» паролей. Рекомендую.!.
На этом у меня на сегодня решительно всё!..
…а в комментариях давайте поделимся личными способами защиты… Всем будет полезно!!
А я ещё что-то найду для новичков: в общем у меня есть кое-что новенькое, но несколько сложновато… да и пока что тестирую лично-с. Так что нелишне будет подписаться))
Замечание:
…в обновлённом вордпресс 4.6… и т.д. стало крайне неудобно редактировать записи сайта — пропадают наработки, правки статей затираются…
Советую прочитать текстовый редактор работает неправильно — кэшируется
Online консультация по настройкам и созданию сайтов на WordPress
mihalica.ru !
спасибо Михаил
и тут не за что)
У меня к Вам такой вопрос: как у Вас грузится мой сайт, главная стр. скажем (в плане визуальной скорости)? …и каким браузером работаете…
(я тут кое-что переделывал…) вот и интересно!..
хорошо грузится. вроде бы даже немного лучше чем ранее. пользуюсь Гугл Хром. во всяком случае раньше переходя из письма немного дольше ждала. а переходя из браузера вроде — так же.
А вот Вам теперь обоснованное — спасибо!))
Михаил, здравствуйте снова! Скажите пожалуйста, может у вас есть опыт и вы знаете чего ожидать в следующей ситуации:
я немного переработала название своего нового сайта. суть его осталась прежней, но выглядит по другому. если я проверяю изменения, то вижу новый заголовок сайта. Но яндекс и гугл уже его проиндексировали (уже неделю-две назад) и даже после изменений они мне демонстрируют старый вариант сайта (описание тоже чуток поменяла, хотя смысл почти такой же… но описание стало более корректным и мусор убрала из описания).
Я так понимаю, что это кэш браузера? И когда-нибудь изменения на моем сайте наконец будут в индексе отображаться? И если да, то как Яндекс к таким вещам относится (что вот я меняю название-описание уже после индексации)?
Спасибо.
Кэш браузера тут ни при чём… Это такая скорость обновления переиндексированных данных Поисковыми системами (может, это и нормально). Через какое-то время в выдаче появятся новые значения сайта.
В идеале, конечно, хорошо бы запускать чётко продуманную «форму» сайта… но этакий «идеал» случается редко.
А посему то, что изменяются информационные значения, думается, ничего страшного (ведь статьи мы тоже нет-нет да и поправляем).
Главное, чтоб улучшения были в качественную строну… Однако всякие title сайта кажный день менять не стоит…
везет вам))) я уже пожалела 100 раз что полезла во всё это)))
Михаил, я там выше спрашивала (а потом забыла), вот файл
.htaccess
имеет какое-то маленькое наполнение, это нормально? там только 3 строки, которые мне сказал ввести хостер (для переезда на https) и потом небольшой текст самого вордпресс (какие-то обычные команды для начала работы вордпресс), которые устанавливаются автоматически при установке вордпресса.и более там ничего нет. никаких признаков плагина. это нормально?
Да уж везёт… я и сил-то к телеге не прикладываю вовсе… лежу себе на сене к верху…
…
Это потом, когда более или менее настроите защиту, перекопируете из подсказок плагина в конфиг и
.htaccess
… в предыдущих коммах я говорил об этом…А вообще много что нужно бы установить в
.htaccess
для всяких там скоростей загрузок… сжатие настроить и пр… у меня тут на сайте есть статьи. Да и Конфиг тоже нужно подредактировать от стартового… и об этом есть посты…да. я помню что вы говорили. я сразу и пошла в эти подсказки. но там — чистый лист. нет никаких подсказок. поначалу был какой-то короткий текст на 2 строки в подсказках, но он почти сразу пропал.
теперь нет подсказок. ладно, статьи почитаю
ой, сейчас посмотрела, для «конфиг» есть какое-то одно правило, там 3 строки примерно.
что с ним делать?
вот они и нужны…