Встречайте: вот несколько необходимых настроек сайта, которые помогут значительно обезопасить свою кровиночку сайт от взлома мошенниками))
…перечислю некоторые возможности, которые ну просто дозарезу необходимо знать и использовать в качестве превентивных мер, создавая сайт…
А вообще, в интернете запросто отыскать много полезного из того, что просто необходимо иметь в арсенале защиты своего сайта/блога…
Занавес открывается:
Конечно, стопроцентной защиты (как и ничего 100%, впрочем) не существует, но, однако, процентность взлома блога должна быть как можно ниже и к этому – нужно стремиться стремглав) А посему всякая информация безопасности интернет-ресурсов лишней не бывает.
некоторые правила безопасности блога на WordPress
Новичкам рекомендую перво-наперво, конечно же, установить плагин iThemes Security (Better WP Security) в интернет много информации относительно его настроек – впрочем, вот некоторые из них – взгляните Как изменить url страницы админпанели этим вы скроете адрес (ссылку) на страничку “входа”, о котором будете знать только вы!
И более общая информация Better WP Security
К стати же – плагин замечательным образом настраивается на сохранения копий Базы Данных: по дням и т. п.
Коли есть новички, то вам замечательным образом поможет избежать многих нелепых начальных ошибок да и сохранить массу полезнейшего времени вот этот пост необходимые настройки сайта
Продолжим…
Я сейчас не стану говорить о пользе/не пользе статических и динамических ip-адресов, с ними разберётесь постепенно, так сказать, в процессе личной практики… )
А пока, настоятельно предлагаю поближе познакомиться с вашим хостингом !! – рекомендую написать в поддержку, чтобы они разъяснили настоящие возможности вашего аккаунта, а в том числе и возможные вариации защиты.
Всякий приличный хостер (группа поддержки – Support)) обязательно предложат пояснительное письмо.
…стоит поинтересоваться у поддержки, есть ли возможность установить двухфакторную аутентификацию при заходе к себе во владения…
Подобный принцип работы наглядно демонстрируется, к примеру, в Google – когда добавляете аккаунт требуется подтверждение по SMS.
Что жж, пока ждёте ответ хосто-братьев, как правило, нерасторопной тех-поддержки… времени не теряйте:
попристальнее изучите регулировки панели управления хостом
Будет нелишним отключить доступ по FTP, ну или как-то это дело регулировать: когда хостомеханика сайта не требуется, вряд ли “включенный доступ” оправдан, – если у вас динамический ip и вы не можете запретить вход в аккаунт всем ип адресам, окромя вашего…
Ну и касаемо этой темы, вероятно, будет небесполезно отключить возможность редактирования файлов корня шаблона из админки.
Ведь как, когда уже сайт боле-менее настроен и работает, доступ к регулировкам файлов только в тягость личным нервам… К слову, на сайтах под моим управлением “редактирование из консоли” отключено всегда!
Открываете файл wp-config.php
что в корне сайта (не темы) и куда-то ближе книзу… рядышком со строкой “пожелания удачи” от разработчиков, дописываете строки данные ниже:
/**запрет редакции в админке*/
define('DISALLOW_FILE_EDIT', true);
Ну и кому нужно, там же можно запретить автоматическое обновление системных файлов WordPress. Это полезно !! – ко всем обновлениям нужно быть подготовленным.
Не подвергайте свой сайт тестированию cms разработчиков ! –
существуют так называемые “мажорные” и “минорные” обновления, попросту – важные и не очень важные, в которых осуществляется отлов и исправление ошибок обновлённого функционала текущей версии WordPress.
Посему логичнее обновить на уже “безошибочный” минорный вариант (хотя ошибки были и будут всегда) – однако, думаю, информация пригодится для личных практических знаний.
/**отключение автообновления вордпресс*/
define( 'WP_AUTO_UPDATE_CORE', false );
Итак, после использования файла wp-config.php
для нашей же защиты, научимся:
как обезопасить файлы wp-config.php и .htaccess
После наших редакций конфигурационного файла открываем не менее легендарный файл .htaccess
– в нём мы кстати защитим и сам файл конфигурации wp-config.php
…
1 – код: защищаем файл конфигурации.
# защита wp-config.php
<files wp-config.php>
order allow,deny
deny from all
</files>
2 – код: защитим сам файл .htaccess
– (один из вариантов) чтобы защитить от хакеров – их несанкционированного доступа – важнейший системный файл нашего сайта.
# Защищаем собственно .htaccess файл
<Files ~ "^.*\.([Hh][Tt][Aa])">
order allow,deny
deny from all
satisfy all
</Files>
Далее…
У которых статический ip – будет полезно защитить файл wp-login.php
– страничку входа в админку.
<Files wp-login.php>
Order Deny,Allow
Deny from all
Allow from xxx.xx.xx.xx
</Files>
запрет доступа к странице всех ip-адресов, кроме вашего: где ххх.ххх. ваш личный IP.
Ну а для тех, которые статическим айпи адресом пока ещё не обзавелись, постулат:
Поймите ! если у вас отсутствует возможность запретить доступ к администрированию ресурса всем, кроме своего IP адреса – это не значит плюнуть на защиту!
как обезопасить от мошенников медиа-папку uploads
…папка с картинками одно из уязвимых и дырявых мест корня сайта.
Вот путь:
ВАШ_ДОМЕН/wp-content/uploads
Внутри папки uploads создаём новый независимый файл .htaccess
и прописываем в нём следующие кодированные строки (этими параметрами запретим выполнение сторонних скриптов и внешний доступ к папке uploads, а также исключим загрузку неизвестных файлов):
Позволим загрузку только лишь картинок определённого формата – пропишем следующие строки в созданный файл.
#Защищаем uploads папку - только загрузка картинок
<FilesMatch "\.(gif|jpg|png)$">
Allow from all
</FilesMatch>
Deny from all
#Защищаем uploads папку - только загрузка картинок
# END WordPress
Как это работает: просто и замечательно… посмотрите на вторую строку (выделена жёлтый), видите..? Это расширения файлов, которые разрешены к загрузке в папку (это коротко)…
Дополню, пожалуй, только тем, что вы можете на своё усмотрение добавить “разрешённое” расширение. Например, в этом случае будет целесообразно дописать и формат (или расширение, кому как удобнее) jpeg
– попробуйте отредактировать сами…
А я покажу ещё один, на мой взгляд, симпатичный способ – кстати, не так давно на одном из сайтов закрыл огромную лазейку – прямо дыру ко взлому (к великой неожиданности администратора) но обо всём по порядку:
как защитить важные файлы ядра вордпресс и корня шаблона…
Поместите вот этот лихой файлик .htaccess
в наиважнейшие папки своего сайта: это полезная заготовка и настраиваемый инструмент защиты в дальнейшем пути развития блога/сайта…
Права на запись можно задать и 444 – это в файловом менеджере… (Конечно же, не забывайте тестировать итог проделанных работ)
Итак – в папку темы поместите, скопировав, следующий чудо код… (замените .htaccess второй строки на имя другого защищаемого файла или оставьте как есть).
#Защищаем .htaccess файл
<files .htaccess>
order allow,deny
deny from all
</files>
# защита index.php
<files index.php>
order allow,deny
deny from all
</files>
# END WordPress
Выделенная строка 7 – как вы понимаете, обезопасит индексный файл (во многих темах он отвечает за формирование заглавной страницы сайта) – это очень важно!!
На одном из сайтов получилось так: подстроив кое-какие огрехи и убрав некоторые прорехи… Я решил для пущей строгости тестить далее…
…набираю в адресной строке браузера такой чудо-адресок:
https://mihalica.ru/wp-content/themes/имя_темы
Секунды соединения… ужас-интернет-коллапса… и – браузер преподнёс неожиданное окно, короче…
В самом верху красовалась строка гласившая о фатал еррор.
Fatal error: Uncaught Error: Call to undefined function ... и так далее...
Чем это плохо !? – если у вас получается то же самое, взгляните на сообщение в вашем окне внимательнее!!!!
Среди прочей тех-составляющей лабуды, более менее продвинутый пользователь, разглядит логин для входа в админку файлового менеджера – это очень и очень!!.
Взломщику останется только подобрать пароль – и ваш акк на хостинге открыт. О какой защите сайта или аккаунта файлового менеджера здесь можно толковать?
Не знаю, за все хостинги утверждать не берусь, но во многих – описанная выше строка имеет опасную информацию. Имейте ввиду это други.
А вообще – напоминаю, проконсультируйтесь в поддержке, имеет ли возможность ваш хостер предоставить вам двухфакторную авторизацию. На приличных хостах, этого дела хоть отбавляй)
Кстати, это одна из проверочек компетентности качества площадки хостинга, ибо как ни крути, а и хостер должен быть заинтересован в вашей защищённости. Реноме, знаете ли…
Вот ещё экзерсис:
…ради эксперимента уж коли коснулись защиты сайта, попробуйте прописать в адресной строке браузера, например так:
…жмите Enter…
https://mihalica.ru/wp-content/plugins/
ИЛИ
https://mihalica.ru/wp-content/
!! После прогрузки окно браузера должно быть пустым !! …и если у вас не так… …исправьте это!
В этих случаях, при адресном запросе файла, должна открываться пустая страничка! …ну, на худой конец, сообщение о том, что “…доступ к файлу ограничен администратором…”
Никакой технической “белиберды” понятной взломщику быть не должно! Это и будет одним из многих способов защиты сайта от взлома.
Добавьте в папки plugins (плагинов) и основную пользовательскую wp-content такой файлик:
Это почти пустой индексный файл – с расширением.php
– имея его в нужных директориях, доступ к просмотру файлов будет запрещён – пустая беленькая страничка.
Не правда ли, очень философично и многозначительно – как картина белый квадрат.
Пусть взломщик наслаждается искусством… и парится.
Запись в фале лаконичная:
<?php
// Silence is golden.
Не забудьте при тестировании директорий своего сайта поменять имя моего домена на свой)
А напоследок я спою вот о чём:
Важное!
Внимательнее относитесь к скриптам из сети, коих сейчас достаточное разнообразие и, расширяя всевозможные сайтовые улучшали, избегайте необдуманной прописки кода в файлы своего сайта. Скрипт может содержать, мягко скажем, нежелательные “программки сканирования” и т. п. Бывает так, что автор, переопубликовавший какое-то полезное решение, ничего о вредоносном коде в скрипте и не подозревает!
!! потратьте несколько времени на проверку кодо-решения…
2: backup сайта и Базы Данных !! – и если мне нынче удастся кого-то заставить запомнить это важнейшее правило, уже будет здорово.
Вы должны довести свои действа до автоматической отработки: как только собираетесь вносить изменения в файлах системы – всегда перед этим делайте полный бекап сайта.
А сэкономленное время на всякие восстановления блогоресурса, целесообразнее потратить на полезные дела.
Материальный импульс этому напоминанию исключительно личный опыт…
Для тех, которые желают создать серьёзную веб площадку, приносящую автору не только удовольствие, но и заработок ! советую выкинуть из головы идею “бесплатного” – бесплатное, это проигрыш! А исключение, подтверждающее это правило, только одно: максимально бесплатно удастся создать площадку только в одном случае, если вы готовы к самоотверженному труду и стойкости во времени… работе…
Осторожнее относитесь к плагинам ! не устанавливайте непроверенные архивы…
Не пользуйтесь бесплатными темами (шаблонами) у которых нет явного авторства! но в избытке положительные отзывы: вся эта благодать, как правило, купленная декорация!!
не покупайтесь же, как индейцы, на бусы.
!! Поймите !! все перечисленные требования, есть средства защиты вашего сознания от обработки сетевых мошенников) и это ни чуть не менее важно самой защиты сайта.
Присматривайтесь к сайтам, на которых черпаете информацию: сайт должен быть живой, с ведущим автором или сетевым администратором, который охотно предоставляет информацию о себе и команде в сторонних социальных сетях.
Такие авторы всегда будут рады вам помочь как при знакомстве, так и в дальнейшем, ибо живой диалог обеим сторонам только на пользу!
И ещё: усвойте правило минусов “платного” – покупая какой-то плагин, шаблон… вы становитесь на вечный путь покупателя, ибо сиюминутные удобства крадут ваши личные знания!
А ведь только на личные же знания и до́лжно полагаться в сайтостроении, до и не только в веб индустрии..!
Плюс платного в том, что, изучение материальной части по правилам создания сайтов, начинается от более верной стартовой точки профессионала, но не хаотично и разрозненно, а, зачастую, основываясь на ошибочной идее бесплатных проб и ошибок разработчиков…
Итог: главное без фанатизЬма защищайтесь…
Желаю вам удачного ведения дел в вашем бизнесе… )
А теперь самое время защититься и от себя! …чтобы при оказии самим-с не взламывать сайт свой… полезный менеджер для “незабывчивости” паролей. Рекомендую.!.
На этом у меня на сегодня решительно всё!..
…а в комментариях давайте поделимся личными способами защиты… Всем будет полезно!!
А я ещё что-то найду для новичков: в общем у меня есть кое-что новенькое, но несколько сложновато… да и пока что тестирую лично-с. Так что нелишне будет подписаться))
Замечание:
…в обновлённом вордпресс 4.6… и т.д. стало крайне неудобно редактировать записи сайта – пропадают наработки, правки статей затираются…
Советую прочитать текстовый редактор работает неправильно — кэшируется
Online консультация по настройкам и созданию сайтов на WordPress
mihalica.ru !
А разве нет компаний, которые бы предлагали отдельно систему защиты? Я как-то на umi.ru брал конструктор и там же, помню, можно было что-то и для защиты прикупить.
Здравствуйте Роман!
umi.ru
насколько я понимаю, бесплатная площадка-конструктор. А на бесплатной площадке сама мысль покупки ПЛАТНОЙ защиты звучит кощунственно по отношению к здравому смыслу!Я лично услугами таких площадок не пользовался (это, мягко говоря, дет-сад): судить не берусь…
Касаемо же платного хоста – да, он в общем-то заинтересован в защищённости сайта клиента, но внутреннюю файловую структуру сайта обязан блюсть владелец. …и правильнее, если админ это будет делать средствами своих знаний и… ручками, де-факто))
Здравствуйте.
Чудо-адресок точно https://mihalica.ru/wp-content/имя_темы а не https://mihalica.ru/wp-content/themes/имя_темы ?
А ещё хорошо было бы дополнить повествование использованием советов с серча (там закрепленная тема в разделе безопасность) – тоже про файлик хтексесс, который запрещает использование php, как думаете?
…весьма и весьма – спасибо за указку на опечатку, Робинзон!!
Поправил…
А что!? дополним повествование, коли дельные фичи имеются… Надо бы взглянуть: Вы ссылочку на страничку тут (прямо в коммах) киньте – думается, полезен будет “переход” читателям.
Ещё раз спасибо за поправку и, конечно же, комментарии!!
Ссылочка – форум СЕРЧ прямо первый пост. Что там по настройкам папок и файликов хтаксесс. И – хорошо бы написать в виде “инструкции для чайников”. Какие папки ридонли (и что это означает в переводе на права доступа), какие папки с правом записи и что за файлик туда совать=)
…ну, в общем, там много что есть и вполне понятно изложено.
Поправлю вас и я: не для чайников, но – новичков.
А чайник это (хобби) и тот, которому не обязательно тонко учиться в какой-то теме (например, я чайник в картинных галереях))…
А новичок – желает учиться, – вот для новичков что-то придумаем и дополним статейку.
Спасибо ещё раз за участие! …заходите на сайт и впредь…
Спасибо! просто – спасибо…
Нашёл всё что нужно.
Пожалуйста, коли так!!
Хотя – по защите сайта можно писать бесконечно…
Привет ребята.
Не могу найти папку uploads, по указанному пути её нет. Подскажите как найти.
Здравствуте Дмитрий!
Этого просто быть не может ни в коем разе!!
ДОМЕН/wp-content/uploads
…ищите, если не удалили случаем!
Михаил, спасибо за оперативный ответ.
Вот смотрите
//была ссылка на скрин - не важно
папку я 100% не удалял.У Вас что за сборка ядра?? ))
Однако можно просто-напросто эту папку uploads создать!! И всего делоф!
Ничего страшного в этом нет!!
Только не забудьте настроить в админке раздел “Медиафайлы” – почитайте ЭТО и т.п. чтобы уж в этой папке другие (автоматически) создавались.
У меня WordPress 4.7.1 Не буду создавать её, нет папки – нет проблем :-)
В этом случае великое сталинское (а точнее рыбаковское) высказывание не подходит!
А куда станете загружать картинки?
ЭТА ПАПКА НЕОБХОДИМА !!
Попробуйте архив ядра WP переустановить полностью.
Переустановка помогла, папка появилась. Спасибо.
Ну и здОрово..!
Спрашивайте, коли появятся вопросы…
Привет Михаил ATs!!
Скажите мне: я вот сколько читаю-читаю… и так в толк не возьму – ест ли предел в работе по защите??
Пожалуйста, если можно, укажите мне несколько основных “ДЕЙСТВИЙ” достаточных для относительной защиты сайта.
Здравствуйте Элана!
Да, тема весьма обширна…
Для начала заставьте себя создавать более сложные (от нынешних ваших) пароли! менять их время от вр. Установите плагин Better WP Security: настройте! (понимаете, важна не ПРОСТО установка – НО НАСТРОЙКА!!)) И…
…бекапы-бекапы…
В общем, этого достаточно, чтобы работать не боясь! (и в сл. чего быстренько 99.99% восстановиться))
Подписывайтесь на эту статью… скоро суда выложу видео, рассказывающее о многих нюансах защиты, плюсах и минусах…
“выложу видео, рассказывающее о многих нюансах” ..Вспомнилось. “Ну, выкладывай, как сказал отец сыну, проглотившему доллар”.)
Выложу… выложу…
Равно так же как другой отец сказал (другому сыну):
— Строй банок, сынок! — молвил батюшка, — ибо не все навро́де Мавроди…
Шо-нить построим
))
здравствуйте Михаил. снова – я. правильно ли я понимаю, что если я устанавливаю плагин “беттер секьюре”, то мне вот эти вот строкивставлять в коды необязательно?
или все-таки, надо и плагин поставить и потом еще в код лезть-редактировать?
Извините, не понял – какие строки?
строки кода которые у вас в статье. их нужно вставлять если стоит плагин? или этот вариант для тех кто плагин не ставит себе?
…все показанные строки добавлять, если не использовать плагин. Однако – многие подобные коду варианты “защиты” есть и в настройках плагина… но некоторого функционала “кода” нет в плагине.
спасибо Михаил
не за что! ) Елена!
и еще забыла спросить: если я установила этот защитный плагин и он сам создает копии баз данных, то плагин баз данных мне уже не надо устанавливать? не могу вспомнить что за плагин себе ставила, кажется “гиперкэш”… он тоже создает базы данных. но если я удалю его, то как кэш сохранять мне?
Здравствуйте вновь, Елена!
1 – коли поставите плагин Better WP Security – он легко настраивается на автоматические режимы создания БД (также можно вручную создавать) – больше никаких плагинов касаемо создания БД устанавливать не нужно. Этот плагин к тому же располагает и ещё многими средствами защиты…
2 –
Есть хороший плагин кэширования – WP Super Cache: поставьте его себе. Настраивается просто!
Таким образом, у Вас на данный момент будет 2 важных плагина.
И ещё – не забудьте о каком-нить плаге типа Cyr-To-Lat (или лучше wp-translitera) – транслитерация URLов…
С таким набором… уже можно смело приступать к работе наполнения блога/сайта…
P\S
А вообще почитайте ЭТУНеобходимые настройки новенького сайта на WordPress: важные плагины, которые нужно устанавливать со стартом проекта; настройки консоли и пр. пр. статью о полезных стартовых настройках сайта.
Спасибо! это полезно все описано!
Защиты много не бывает. Но и усложнять не стоит.
о, вот спасибо большущее Михаил. плагин “транслитерация” и впрямь – классный. я себе его уже установила (случайно нашла). и за ссылку – спасибо. почитаю обязательно
Михаил, снова – здравствуйте! Как вы относитесь к плагину капчи и к присутствию капчи на сайте вообще (при добавлении комментариев). Есть ли в ней смысл и от чего она защищает? Не знаю, устанавливать ее или нет. Вроде как новичкам рекомендуют, но я вот у вас не вижу капчи и начала сомневаться. А еще, меня саму раздражает на сайтах ее вводить (там где есть она). Наверное всех пользователей она раздражает?
Даздравствуйте Едена!
Без капчи – спамботы замучают!
Однако я все эти капчи не жалую… У меня нет капчи, да. Для этого нужно немного поработать.
Я Вам очень советую установить плагин моего коллеги в миру Тимура Камаева (wp_kama) – его почти одноимённый плагин Kama SpamBlock (через репозитарий) – и забудете о спам-атаках (и настраивать ничего не нужно)!
Спсибо Михаил. Поставлю. Только боюсь с плагинами теперь перебор получится))) сколько допустимо всего их ставить, чтобы работу сайта не слишком критично замедляли? (имею ввиду количество плагинов всего на 1 сайт)
Вопрос о числе плагинов неправильный! Критично не число плагинов на сайте, но качество кода того или иного плагина… а также мощность самого функционала: но это уже вопрос целесообразности для конкретной площадки.
У меня, например (на этом сайте) окромя магазина стоит всего три-пять сторонних плагина. Остальные несколько – мои (студии): совершенно лёгкие в планах к скоростям…
Сколько допустимо ставить? – это, как и говорилось выше… Можно поставить один, и – обвалить сайт. Вот в чём дело.
На сайте должно быть (из функционала) только то, что конкретному сайту потребу!
А в неких плагинах много лишнего: в том плане, что кому-то то или иное нужно, а кому-то нет…
Плагин Тимура – хороший плагин!
спасибо Михаил)
Михаил! снова здравствуйте! у меня катастрофа. я установила плагин этот “беттер секьюре”, сменила вход в админку. настроила плагин. еще сменила логин для входа в админку (был, как обычно, “админ”) на свой. потом пару раз вышла и успешно вошла. а спустя час попыталась зайти, мне выдает по всем адресам ошибку 404. ЧТо делать? и почему так? не могу зайти в админку.
кэш браузера уже успела очистить за это время и там тоже нет входа.
что мне делать теперь?
Здравствуйте Елена!!
В “Основных настройках” что-то недонастроили, вероятно… Или как – Вы только под Администратором не можете войти? или 404 ошибка для ВСЕХ пользователей на всех фронтенд страницах?
Мне так сложно помочь, не видя лично закавыку…
Адрес в смысле?..
…
Проще всего – аннулировать настройки плагина и… перенастроить… уже более внимательно (где-то здесь в коммах по этому поводу уже говорилось).
На хосте переименовывайте плагин, чтобы отключить его… (и коли – если – Ваш ip заблокирован), нужно БД почистить: таблицу wp_itsec_lockouts…
Плагин кэширования установлен (активен)?
да нет же… только что созданный сайт. старый-то я бросила. нет у него еще базы данных. и нет никаких плагинов. я установила вордпресс, натянула тему и сразу установила “беттер секьюре” чтобы сразу изменить адрес входа в админку.
ну и настроила плагин, разумеется. несколько раз зашла-вышла, все было нормально.
отключила плагин на хосте, зашла в админку. включила плагин. смотрю на измененный адрес страницы, а плагин обещает сделать один адрес, а делает – другой.
плагин обещал, что добавив любое слово, из адреса пропадут wp-admin, wp-login и т.д. но они не пропадают…. просто к ним добавляются куча каких-то знаков и цифр + имя сайта + то слово, которое я придумлала для нового входа в админку.
вот если набрать этот длинный кривой-косой адрес в котором присутствуют (все-равно не удалились) слова wp-admin, то войти в админку не проблема…
скажите, у вас тоже так? у меня на старом сайте тоже адрес входа поменялся на такой вот кривой. проблем с входом не было только потому, что в кэше браузера адрес сохранился и я заходила туда пока его не бросила
Я решительно ничего не понимаю! как это так нет Базы Данных..? (без БД сайт работать не будет)
так Вы и в этом случае, как полагаю, заходили по какому-то странному кэшу. Вероятно!.. На время настройк плагина отключите формирования КЭШ вообще (в браузере)!
…Когда Вы уже в админке, адрес в строке браузера будет, естественно –
wp_admin
– это в закладках на сайт адрес входа нужно указывать НОВЫЙ, он и будет переводить “налету” наwp_admin
т.е в консоль. Не зная его (новый), невозможно будет посетить страничку входа…У меня всё как и нужно! адрес админки заданный в плагине…
.htaccess
смотрите, там также формируется НОВЫЙ адрес. Целесообразно все прежние данные плагина из него удалить вручную! Права доступа к файлу.htaccess
644.Если плагин настроен правильно: прежний адрес
wp_admin
отведёт на страницу ошибки 404. В этом вся соль!спасибо Михаил! конечно ранее я заходила по кэшу в браузере)))) а потом его почистила, после того как все сделала и настроила. вот и не смогла зайти.
когда я в консоли и адрес wp-admin вижу – меня это не смущает. меня смущает что страницу для входа он переименовал странно: сделал длинную строку в которую напихано и wp-admin и имя сайта и куча левых цифр-букв и знаков и на конце стоит тот кусок, который лично придумала я как имя входа в админку. вот что удивительно.
ладно, пойду на хостинг посмотю файл
Да, кое что в адресе формируется: wp-login.php, и, например ТОКЕН (token) !! и среди прочего Ваш = заданный = адрес!
Скопируйте куда-то данные плагина, и после того удалите всё касаемое его… В плаге, после обновы, кое-что поменялось относительно формирования секретного входа.
не поняла) куда что скопировать? удалить что ли плагин и удалить из папок на хостинге данные о нем?
Плагин “защиты” создаёт записи (обычно в самом верху файла)
.htaccess
– их скопировать (знаний и памяти для) а потом же их стереть, чтоб не путаться ни плагину, ни себе ! и всё перенастроить сызнова, запоминая……
то есть, мой плагин настроен правильно, раз я вижу ошибку по старому адресу?
и еще, я вижу эту ошибку и по новому, выбранному МНОЙ адресу (выбирала в ностройках плагины в разделе “сменить адрес входа в админку”). вон мне там показал, как будет выглядеть новый адрес. я его исправно записала. но после чистки кеша, зайти по этому адресу не смогла, там ошибка 404.
зато по кривому адресу – могу зайти. а кривой он формирует сам.
я Вам там ответил…
Да, как Вы выразились “кривой” он генерирует сам… но по заказанному Вами должен быть доступен вход в админку… Не знаю !!! Вы, что ли, НЕ записывайте адреса, НО копируйте… так надёжнее… где-то ошибка!
Михаил, я посмотрела файл .htaccess – в нем нет абсолютно ничего кроме 3 строчек, которые мне сказал внести хостер, когда он мне подключал на сайт SSL сертификат. и теперь в этом файле содержатся только эти строки. удалить их не могу, потому что они нужна для перенаправления с htpp на https
старый файл .htaccess был переименован и не работает. переименовала я его по указанию хостера, потому что там содержатся 5-7 строк обычных команд для вордпресс и папка была закачана вместе с вордпресс вчера. сегодня в нее заглянула, в ней нет никаких данный о плагине – все те же команды для вордпресс и ничего не поменялось.
как вы думаете, что с этим можно сделать?
Права на запись
.htaccess
поставьте 777 (чтоб он внёс правки в файл при настройках, затем поменяйте на 644 либо 444) – это плагин рекомендует при старте настроек…Я так понимаю, Вам – нужно удалять чистенько плагин и переустанавливать вновь по правилам..! иначе совсем запутаетесь…
перенаправления с htpp на https – удалять не нужно!
Удаляйте плагин и переустанавливайте, как и говорилось… я не волшебник: сквозь “междустрочья букв” не вижу закавыки, однако – где-то явная Ваша ошибка!! А П Р И О Р И ))
да как же я его удалю? без проблем я нажму кнопку “удалить”. но у вас вот вчера где-то в статье читала, что просто нажать “удалить” недостаточно с этим плагином… надо еще чего-то там вытворять с ним. усли я его сейчас удалю, он, наконец исчезнет из моей жизни или надо еще где-то искать его следы?
спасибо Михаил что отвечаете
Иногда он не подчищает (у некоторых все свои следы: от нашей невнимательности) – как раз о
.htaccess
подчистке и говорилось в той статье, и кое-чего из БД… но это не суть важно…Удаляйте так: сначала удалите этот…. потом установите, активируйте новый… и вновь (новый удалите, так он справится со своими прежним мусором) – а потом снова НАЧИСТО установите следующую копию плагина. И настраивайте постепенно, аккуратно и внимательно, и, главное – не спеша..!
права 777 на конфиг и
.htaccess
и папкуwp-content
……
ээээ.. что-то я уже тупить начинаю. поняла так:
1. удаляю сейчас этот плагин и ничего не чищу в папках на хостинге.
2. устанавливаю плагин снова и снова ничего не делаю (не натраиваю, не чищу, не трогаю вообще).
3. снова удаляю плагин.
4. снова устанавливаю и теперь уже начинаю настраивать.
правильно ли я все поняла или мой мозг закипел и аннулировался?
Всё правильно!
Только после активации плана и стартовой настройки (запуска) пройдите на сервер и посмотрите соответствуют ли записи в Конфиге и
.htaccess
– это для точности! а потом уж адрес меняйте… твёрдо зная о правильных предыдущих настройках!Правила для файлов (сравнивая с серверными) можно подсмотреть в разделе настроек плагина: “Правила wp-config.php” и “Server Config Rules” для
.htaccess
.спасибо большое Михаил за помощь. пойду мучить его дальше)
Михаил, я вроде плагин настроила. вход в админку пок ане меняла. пытаюсь проверить папки на хостинге. Зашла посмотреть .htaccess и у меня там – негусто. Например там есть 3 строки (в начале) которые мне сказал хостер прописать для перенаправления на https и после него сразу идет короткий текст команд для начала работы с вордпресс (который был вчера в отдельно файле, который я отключила). Этого достаточно для папки htaccess? или как-то вроде маловато? я не вижу там признаков плагина “секьюре”.
Активируйте основные настройки.
И пробуйте пока настроить новый адрес в админку… чтоб работало…
спасибо Михаил
вход в админку работает по новому адресу (который сама выбирала. только теперь, если набирать в браузерной строке wp-admin и wp-login, то вместо ошибки 404 (которая была ранее) мне показывают страницу моего сайта. это нормально или надо как-то переделать на “ошибка 404”? если переделать, то как?
Переделать на 404 можно, но не нужно!
Главную страницу выдаёт?! фронтенд – это нормально! С этим всё!
да, выдает главную страницу. спасибо вам огомнейшее Михаил, если бы без вашей поддержки делала, уже бы давно вскипела и самоуничтожилась… тяжко вообще новичку без знаний, с нуля.
очень рада что вы есть и благодарна!
Энто всё, как толкуют философы, проходящее… а знания остаются… ВечныЪ !
я тоже много шишек набивал, правда, давным-давно это было… Теперь шишки иные… красивше)) это и радует; этим и живу…
везет вам))) я уже пожалела 100 раз что полезла во всё это)))
Михаил, я там выше спрашивала (а потом забыла), вот файл
.htaccess
имеет какое-то маленькое наполнение, это нормально? там только 3 строки, которые мне сказал ввести хостер (для переезда на https) и потом небольшой текст самого вордпресс (какие-то обычные команды для начала работы вордпресс), которые устанавливаются автоматически при установке вордпресса.и более там ничего нет. никаких признаков плагина. это нормально?
Да уж везёт… я и сил-то к телеге не прикладываю вовсе… лежу себе на сене к верху…
…
Это потом, когда более или менее настроите защиту, перекопируете из подсказок плагина в конфиг и
.htaccess
… в предыдущих коммах я говорил об этом…А вообще много что нужно бы установить в
.htaccess
для всяких там скоростей загрузок… сжатие настроить и пр… у меня тут на сайте есть статьи. Да и Конфиг тоже нужно подредактировать от стартового… и об этом есть посты…да. я помню что вы говорили. я сразу и пошла в эти подсказки. но там – чистый лист. нет никаких подсказок. поначалу был какой-то короткий текст на 2 строки в подсказках, но он почти сразу пропал.
теперь нет подсказок. ладно, статьи почитаю
ой, сейчас посмотрела, для “конфиг” есть какое-то одно правило, там 3 строки примерно.
что с ним делать?
вот они и нужны…
Михаил, здравствуйте снова! Скажите пожалуйста, может у вас есть опыт и вы знаете чего ожидать в следующей ситуации:
я немного переработала название своего нового сайта. суть его осталась прежней, но выглядит по другому. если я проверяю изменения, то вижу новый заголовок сайта. Но яндекс и гугл уже его проиндексировали (уже неделю-две назад) и даже после изменений они мне демонстрируют старый вариант сайта (описание тоже чуток поменяла, хотя смысл почти такой же… но описание стало более корректным и мусор убрала из описания).
Я так понимаю, что это кэш браузера? И когда-нибудь изменения на моем сайте наконец будут в индексе отображаться? И если да, то как Яндекс к таким вещам относится (что вот я меняю название-описание уже после индексации)?
Спасибо.
Кэш браузера тут ни при чём… Это такая скорость обновления переиндексированных данных Поисковыми системами (может, это и нормально). Через какое-то время в выдаче появятся новые значения сайта.
В идеале, конечно, хорошо бы запускать чётко продуманную “форму” сайта… но этакий “идеал” случается редко.
А посему то, что изменяются информационные значения, думается, ничего страшного (ведь статьи мы тоже нет-нет да и поправляем).
Главное, чтоб улучшения были в качественную строну… Однако всякие title сайта кажный день менять не стоит…
спасибо Михаил
и тут не за что)
У меня к Вам такой вопрос: как у Вас грузится мой сайт, главная стр. скажем (в плане визуальной скорости)? …и каким браузером работаете…
(я тут кое-что переделывал…) вот и интересно!..
хорошо грузится. вроде бы даже немного лучше чем ранее. пользуюсь Гугл Хром. во всяком случае раньше переходя из письма немного дольше ждала. а переходя из браузера вроде – так же.
А вот Вам теперь обоснованное – спасибо!))