Встречайте: вот несколько необходимых настроек сайта, которые помогут значительно обезопасить свою кровиночку сайт от взлома мошенниками)) …перечислю некоторые возможности, которые ну просто дозарезу необходимо знать и использовать в качестве превентивных мер, создавая сайт… А вообще, в интернете запросто отыскать много полезного из того, что просто необходимо иметь в арсенале защиты своего сайта/блога… Занавес открывается:…
заказать: помощь по сайту на WordPress
Как защитить от взлома файлы сайта на WordPress – важные правила…
Михаил ATs - владелец блога запросто с Вордпресс - в сети нтернет давным-давно...
...веб разработчик студии ATs media: помогу в создании, раскрутке, развитии и целенаправленном сопровождении твоего ресурса в сети... - заказы, вопросы... разработка...
Нажатия на кнопочки определяют Ваше высокое гражданское сознание
А разве нет компаний, которые бы предлагали отдельно систему защиты? Я как-то на umi.ru брал конструктор и там же, помню, можно было что-то и для защиты прикупить.
Здравствуйте Роман!
umi.ru
насколько я понимаю, бесплатная площадка-конструктор. А на бесплатной площадке сама мысль покупки ПЛАТНОЙ защиты звучит кощунственно по отношению к здравому смыслу!Я лично услугами таких площадок не пользовался (это, мягко говоря, дет-сад): судить не берусь…
Касаемо же платного хоста – да, он в общем-то заинтересован в защищённости сайта клиента, но внутреннюю файловую структуру сайта обязан блюсть владелец. …и правильнее, если админ это будет делать средствами своих знаний и… ручками, де-факто))
Здравствуйте.
Чудо-адресок точно http://mihalica.ru/wp-content/имя_темы а не http://mihalica.ru/wp-content/themes/имя_темы ?
А ещё хорошо было бы дополнить повествование использованием советов с серча (там закрепленная тема в разделе безопасность) – тоже про файлик хтексесс, который запрещает использование php, как думаете?
…весьма и весьма – спасибо за указку на опечатку, Робинзон!!
Поправил…
А что!? дополним повествование, коли дельные фичи имеются… Надо бы взглянуть: Вы ссылочку на страничку тут (прямо в коммах) киньте – думается, полезен будет “переход” читателям.
Ещё раз спасибо за поправку и, конечно же, комментарии!!
Ссылочка – форум СЕРЧ прямо первый пост. Что там по настройкам папок и файликов хтаксесс. И – хорошо бы написать в виде “инструкции для чайников”. Какие папки ридонли (и что это означает в переводе на права доступа), какие папки с правом записи и что за файлик туда совать=)
…ну, в общем, там много что есть и вполне понятно изложено.
Поправлю вас и я: не для чайников, но – новичков.
А чайник это (хобби) и тот, которому не обязательно тонко учиться в какой-то теме (например, я чайник в картинных галереях))…
А новичок – желает учиться, – вот для новичков что-то придумаем и дополним статейку.
Спасибо ещё раз за участие! …заходите на сайт и впредь…
Спасибо! просто – спасибо…
Нашёл всё что нужно.
Пожалуйста, коли так!!
Хотя – по защите сайта можно писать бесконечно…
Привет ребята.
Не могу найти папку uploads, по указанному пути её нет. Подскажите как найти.
Здравствуте Дмитрий!
Этого просто быть не может ни в коем разе!!
ДОМЕН/wp-content/uploads
…ищите, если не удалили случаем!
Михаил, спасибо за оперативный ответ.
Вот смотрите
//была ссылка на скрин - не важно
папку я 100% не удалял.У Вас что за сборка ядра?? ))
Однако можно просто-напросто эту папку uploads создать!! И всего делоф!
Ничего страшного в этом нет!!
Только не забудьте настроить в админке раздел “Медиафайлы” – почитайте ЭТО и т.п. чтобы уж в этой папке другие (автоматически) создавались.
У меня WordPress 4.7.1 Не буду создавать её, нет папки – нет проблем :-)
В этом случае великое сталинское (а точнее рыбаковское) высказывание не подходит!
А куда станете загружать картинки?
ЭТА ПАПКА НЕОБХОДИМА !!
Попробуйте архив ядра WP переустановить полностью.
Переустановка помогла, папка появилась. Спасибо.
Ну и здОрово..!
Спрашивайте, коли появятся вопросы…
Привет Михаил ATs!!
Скажите мне: я вот сколько читаю-читаю… и так в толк не возьму – ест ли предел в работе по защите??
Пожалуйста, если можно, укажите мне несколько основных “ДЕЙСТВИЙ” достаточных для относительной защиты сайта.
Здравствуйте Элана!
Да, тема весьма обширна…
Для начала заставьте себя создавать более сложные (от нынешних ваших) пароли! менять их время от вр. Установите плагин Better WP Security: настройте! (понимаете, важна не ПРОСТО установка – НО НАСТРОЙКА!!)) И…
…бекапы-бекапы…
В общем, этого достаточно, чтобы работать не боясь! (и в сл. чего быстренько 99.99% восстановиться))
Подписывайтесь на эту статью… скоро суда выложу видео, рассказывающее о многих нюансах защиты, плюсах и минусах…
“выложу видео, рассказывающее о многих нюансах” ..Вспомнилось. “Ну, выкладывай, как сказал отец сыну, проглотившему доллар”.)
Выложу… выложу…
Равно так же как другой отец сказал (другому сыну):
— Строй банок, сынок! — молвил батюшка, — ибо не все навро́де Мавроди…
Шо-нить построим
))
здравствуйте Михаил. снова – я. правильно ли я понимаю, что если я устанавливаю плагин “беттер секьюре”, то мне вот эти вот строкивставлять в коды необязательно?
или все-таки, надо и плагин поставить и потом еще в код лезть-редактировать?
Извините, не понял – какие строки?
строки кода которые у вас в статье. их нужно вставлять если стоит плагин? или этот вариант для тех кто плагин не ставит себе?
…все показанные строки добавлять, если не использовать плагин. Однако – многие подобные коду варианты “защиты” есть и в настройках плагина… но некоторого функционала “кода” нет в плагине.
спасибо Михаил
не за что! ) Елена!
и еще забыла спросить: если я установила этот защитный плагин и он сам создает копии баз данных, то плагин баз данных мне уже не надо устанавливать? не могу вспомнить что за плагин себе ставила, кажется “гиперкэш”… он тоже создает базы данных. но если я удалю его, то как кэш сохранять мне?
Здравствуйте вновь, Елена!
1 – коли поставите плагин Better WP Security – он легко настраивается на автоматические режимы создания БД (также можно вручную создавать) – больше никаких плагинов касаемо создания БД устанавливать не нужно. Этот плагин к тому же располагает и ещё многими средствами защиты…
2 –
Есть хороший плагин кэширования – WP Super Cache: поставьте его себе. Настраивается просто!
Таким образом, у Вас на данный момент будет 2 важных плагина.
И ещё – не забудьте о каком-нить плаге типа Cyr-To-Lat (или лучше wp-translitera) – транслитерация URLов…
С таким набором… уже можно смело приступать к работе наполнения блога/сайта…
P\S
А вообще почитайте ЭТУНеобходимые настройки новенького сайта на WordPress: важные плагины, которые нужно устанавливать со стартом проекта; настройки консоли и пр. пр. статью о полезных стартовых настройках сайта.
Спасибо! это полезно все описано!
Защиты много не бывает. Но и усложнять не стоит.
о, вот спасибо большущее Михаил. плагин “транслитерация” и впрямь – классный. я себе его уже установила (случайно нашла). и за ссылку – спасибо. почитаю обязательно
Михаил, снова – здравствуйте! Как вы относитесь к плагину капчи и к присутствию капчи на сайте вообще (при добавлении комментариев). Есть ли в ней смысл и от чего она защищает? Не знаю, устанавливать ее или нет. Вроде как новичкам рекомендуют, но я вот у вас не вижу капчи и начала сомневаться. А еще, меня саму раздражает на сайтах ее вводить (там где есть она). Наверное всех пользователей она раздражает?
Даздравствуйте Едена!
Без капчи – спамботы замучают!
Однако я все эти капчи не жалую… У меня нет капчи, да. Для этого нужно немного поработать.
Я Вам очень советую установить плагин моего коллеги в миру Тимура Камаева (wp_kama) – его почти одноимённый плагин Kama SpamBlock (через репозитарий) – и забудете о спам-атаках (и настраивать ничего не нужно)!
Спсибо Михаил. Поставлю. Только боюсь с плагинами теперь перебор получится))) сколько допустимо всего их ставить, чтобы работу сайта не слишком критично замедляли? (имею ввиду количество плагинов всего на 1 сайт)
Вопрос о числе плагинов неправильный! Критично не число плагинов на сайте, но качество кода того или иного плагина… а также мощность самого функционала: но это уже вопрос целесообразности для конкретной площадки.
У меня, например (на этом сайте) окромя магазина стоит всего три-пять сторонних плагина. Остальные несколько – мои (студии): совершенно лёгкие в планах к скоростям…
Сколько допустимо ставить? – это, как и говорилось выше… Можно поставить один, и – обвалить сайт. Вот в чём дело.
На сайте должно быть (из функционала) только то, что конкретному сайту потребу!
А в неких плагинах много лишнего: в том плане, что кому-то то или иное нужно, а кому-то нет…
Плагин Тимура – хороший плагин!
спасибо Михаил)
Михаил! снова здравствуйте! у меня катастрофа. я установила плагин этот “беттер секьюре”, сменила вход в админку. настроила плагин. еще сменила логин для входа в админку (был, как обычно, “админ”) на свой. потом пару раз вышла и успешно вошла. а спустя час попыталась зайти, мне выдает по всем адресам ошибку 404. ЧТо делать? и почему так? не могу зайти в админку.
кэш браузера уже успела очистить за это время и там тоже нет входа.
что мне делать теперь?
Здравствуйте Елена!!
В “Основных настройках” что-то недонастроили, вероятно… Или как – Вы только под Администратором не можете войти? или 404 ошибка для ВСЕХ пользователей на всех фронтенд страницах?
Мне так сложно помочь, не видя лично закавыку…
Адрес в смысле?..
…
Проще всего – аннулировать настройки плагина и… перенастроить… уже более внимательно (где-то здесь в коммах по этому поводу уже говорилось).
На хосте переименовывайте плагин, чтобы отключить его… (и коли – если – Ваш ip заблокирован), нужно БД почистить: таблицу wp_itsec_lockouts…
Плагин кэширования установлен (активен)?
да нет же… только что созданный сайт. старый-то я бросила. нет у него еще базы данных. и нет никаких плагинов. я установила вордпресс, натянула тему и сразу установила “беттер секьюре” чтобы сразу изменить адрес входа в админку.
ну и настроила плагин, разумеется. несколько раз зашла-вышла, все было нормально.
отключила плагин на хосте, зашла в админку. включила плагин. смотрю на измененный адрес страницы, а плагин обещает сделать один адрес, а делает – другой.
плагин обещал, что добавив любое слово, из адреса пропадут wp-admin, wp-login и т.д. но они не пропадают…. просто к ним добавляются куча каких-то знаков и цифр + имя сайта + то слово, которое я придумлала для нового входа в админку.
вот если набрать этот длинный кривой-косой адрес в котором присутствуют (все-равно не удалились) слова wp-admin, то войти в админку не проблема…
скажите, у вас тоже так? у меня на старом сайте тоже адрес входа поменялся на такой вот кривой. проблем с входом не было только потому, что в кэше браузера адрес сохранился и я заходила туда пока его не бросила
Я решительно ничего не понимаю! как это так нет Базы Данных..? (без БД сайт работать не будет)
так Вы и в этом случае, как полагаю, заходили по какому-то странному кэшу. Вероятно!.. На время настройк плагина отключите формирования КЭШ вообще (в браузере)!
…Когда Вы уже в админке, адрес в строке браузера будет, естественно –
wp_admin
– это в закладках на сайт адрес входа нужно указывать НОВЫЙ, он и будет переводить “налету” наwp_admin
т.е в консоль. Не зная его (новый), невозможно будет посетить страничку входа…У меня всё как и нужно! адрес админки заданный в плагине…
.htaccess
смотрите, там также формируется НОВЫЙ адрес. Целесообразно все прежние данные плагина из него удалить вручную! Права доступа к файлу.htaccess
644.Если плагин настроен правильно: прежний адрес
wp_admin
отведёт на страницу ошибки 404. В этом вся соль!спасибо Михаил! конечно ранее я заходила по кэшу в браузере)))) а потом его почистила, после того как все сделала и настроила. вот и не смогла зайти.
когда я в консоли и адрес wp-admin вижу – меня это не смущает. меня смущает что страницу для входа он переименовал странно: сделал длинную строку в которую напихано и wp-admin и имя сайта и куча левых цифр-букв и знаков и на конце стоит тот кусок, который лично придумала я как имя входа в админку. вот что удивительно.
ладно, пойду на хостинг посмотю файл
Да, кое что в адресе формируется: wp-login.php, и, например ТОКЕН (token) !! и среди прочего Ваш = заданный = адрес!
Скопируйте куда-то данные плагина, и после того удалите всё касаемое его… В плаге, после обновы, кое-что поменялось относительно формирования секретного входа.
не поняла) куда что скопировать? удалить что ли плагин и удалить из папок на хостинге данные о нем?
Плагин “защиты” создаёт записи (обычно в самом верху файла)
.htaccess
– их скопировать (знаний и памяти для) а потом же их стереть, чтоб не путаться ни плагину, ни себе ! и всё перенастроить сызнова, запоминая……
то есть, мой плагин настроен правильно, раз я вижу ошибку по старому адресу?
и еще, я вижу эту ошибку и по новому, выбранному МНОЙ адресу (выбирала в ностройках плагины в разделе “сменить адрес входа в админку”). вон мне там показал, как будет выглядеть новый адрес. я его исправно записала. но после чистки кеша, зайти по этому адресу не смогла, там ошибка 404.
зато по кривому адресу – могу зайти. а кривой он формирует сам.
я Вам там ответил…
Да, как Вы выразились “кривой” он генерирует сам… но по заказанному Вами должен быть доступен вход в админку… Не знаю !!! Вы, что ли, НЕ записывайте адреса, НО копируйте… так надёжнее… где-то ошибка!
Михаил, я посмотрела файл .htaccess – в нем нет абсолютно ничего кроме 3 строчек, которые мне сказал внести хостер, когда он мне подключал на сайт SSL сертификат. и теперь в этом файле содержатся только эти строки. удалить их не могу, потому что они нужна для перенаправления с htpp на https
старый файл .htaccess был переименован и не работает. переименовала я его по указанию хостера, потому что там содержатся 5-7 строк обычных команд для вордпресс и папка была закачана вместе с вордпресс вчера. сегодня в нее заглянула, в ней нет никаких данный о плагине – все те же команды для вордпресс и ничего не поменялось.
как вы думаете, что с этим можно сделать?
Права на запись
.htaccess
поставьте 777 (чтоб он внёс правки в файл при настройках, затем поменяйте на 644 либо 444) – это плагин рекомендует при старте настроек…Я так понимаю, Вам – нужно удалять чистенько плагин и переустанавливать вновь по правилам..! иначе совсем запутаетесь…
перенаправления с htpp на https – удалять не нужно!
Удаляйте плагин и переустанавливайте, как и говорилось… я не волшебник: сквозь “междустрочья букв” не вижу закавыки, однако – где-то явная Ваша ошибка!! А П Р И О Р И ))
да как же я его удалю? без проблем я нажму кнопку “удалить”. но у вас вот вчера где-то в статье читала, что просто нажать “удалить” недостаточно с этим плагином… надо еще чего-то там вытворять с ним. усли я его сейчас удалю, он, наконец исчезнет из моей жизни или надо еще где-то искать его следы?
спасибо Михаил что отвечаете
Иногда он не подчищает (у некоторых все свои следы: от нашей невнимательности) – как раз о
.htaccess
подчистке и говорилось в той статье, и кое-чего из БД… но это не суть важно…Удаляйте так: сначала удалите этот…. потом установите, активируйте новый… и вновь (новый удалите, так он справится со своими прежним мусором) – а потом снова НАЧИСТО установите следующую копию плагина. И настраивайте постепенно, аккуратно и внимательно, и, главное – не спеша..!
права 777 на конфиг и
.htaccess
и папкуwp-content
……
ээээ.. что-то я уже тупить начинаю. поняла так:
1. удаляю сейчас этот плагин и ничего не чищу в папках на хостинге.
2. устанавливаю плагин снова и снова ничего не делаю (не натраиваю, не чищу, не трогаю вообще).
3. снова удаляю плагин.
4. снова устанавливаю и теперь уже начинаю настраивать.
правильно ли я все поняла или мой мозг закипел и аннулировался?
Всё правильно!
Только после активации плана и стартовой настройки (запуска) пройдите на сервер и посмотрите соответствуют ли записи в Конфиге и
.htaccess
– это для точности! а потом уж адрес меняйте… твёрдо зная о правильных предыдущих настройках!Правила для файлов (сравнивая с серверными) можно подсмотреть в разделе настроек плагина: “Правила wp-config.php” и “Server Config Rules” для
.htaccess
.спасибо большое Михаил за помощь. пойду мучить его дальше)
Михаил, я вроде плагин настроила. вход в админку пок ане меняла. пытаюсь проверить папки на хостинге. Зашла посмотреть .htaccess и у меня там – негусто. Например там есть 3 строки (в начале) которые мне сказал хостер прописать для перенаправления на https и после него сразу идет короткий текст команд для начала работы с вордпресс (который был вчера в отдельно файле, который я отключила). Этого достаточно для папки htaccess? или как-то вроде маловато? я не вижу там признаков плагина “секьюре”.
Активируйте основные настройки.
И пробуйте пока настроить новый адрес в админку… чтоб работало…
спасибо Михаил
вход в админку работает по новому адресу (который сама выбирала. только теперь, если набирать в браузерной строке wp-admin и wp-login, то вместо ошибки 404 (которая была ранее) мне показывают страницу моего сайта. это нормально или надо как-то переделать на “ошибка 404”? если переделать, то как?
Переделать на 404 можно, но не нужно!
Главную страницу выдаёт?! фронтенд – это нормально! С этим всё!
да, выдает главную страницу. спасибо вам огомнейшее Михаил, если бы без вашей поддержки делала, уже бы давно вскипела и самоуничтожилась… тяжко вообще новичку без знаний, с нуля.
очень рада что вы есть и благодарна!
Энто всё, как толкуют философы, проходящее… а знания остаются… ВечныЪ !
я тоже много шишек набивал, правда, давным-давно это было… Теперь шишки иные… красивше)) это и радует; этим и живу…
везет вам))) я уже пожалела 100 раз что полезла во всё это)))
Михаил, я там выше спрашивала (а потом забыла), вот файл
.htaccess
имеет какое-то маленькое наполнение, это нормально? там только 3 строки, которые мне сказал ввести хостер (для переезда на https) и потом небольшой текст самого вордпресс (какие-то обычные команды для начала работы вордпресс), которые устанавливаются автоматически при установке вордпресса.и более там ничего нет. никаких признаков плагина. это нормально?
Да уж везёт… я и сил-то к телеге не прикладываю вовсе… лежу себе на сене к верху…
…
Это потом, когда более или менее настроите защиту, перекопируете из подсказок плагина в конфиг и
.htaccess
… в предыдущих коммах я говорил об этом…А вообще много что нужно бы установить в
.htaccess
для всяких там скоростей загрузок… сжатие настроить и пр… у меня тут на сайте есть статьи. Да и Конфиг тоже нужно подредактировать от стартового… и об этом есть посты…да. я помню что вы говорили. я сразу и пошла в эти подсказки. но там – чистый лист. нет никаких подсказок. поначалу был какой-то короткий текст на 2 строки в подсказках, но он почти сразу пропал.
теперь нет подсказок. ладно, статьи почитаю
ой, сейчас посмотрела, для “конфиг” есть какое-то одно правило, там 3 строки примерно.
что с ним делать?
вот они и нужны…
Михаил, здравствуйте снова! Скажите пожалуйста, может у вас есть опыт и вы знаете чего ожидать в следующей ситуации:
я немного переработала название своего нового сайта. суть его осталась прежней, но выглядит по другому. если я проверяю изменения, то вижу новый заголовок сайта. Но яндекс и гугл уже его проиндексировали (уже неделю-две назад) и даже после изменений они мне демонстрируют старый вариант сайта (описание тоже чуток поменяла, хотя смысл почти такой же… но описание стало более корректным и мусор убрала из описания).
Я так понимаю, что это кэш браузера? И когда-нибудь изменения на моем сайте наконец будут в индексе отображаться? И если да, то как Яндекс к таким вещам относится (что вот я меняю название-описание уже после индексации)?
Спасибо.
Кэш браузера тут ни при чём… Это такая скорость обновления переиндексированных данных Поисковыми системами (может, это и нормально). Через какое-то время в выдаче появятся новые значения сайта.
В идеале, конечно, хорошо бы запускать чётко продуманную “форму” сайта… но этакий “идеал” случается редко.
А посему то, что изменяются информационные значения, думается, ничего страшного (ведь статьи мы тоже нет-нет да и поправляем).
Главное, чтоб улучшения были в качественную строну… Однако всякие title сайта кажный день менять не стоит…
спасибо Михаил
и тут не за что)
У меня к Вам такой вопрос: как у Вас грузится мой сайт, главная стр. скажем (в плане визуальной скорости)? …и каким браузером работаете…
(я тут кое-что переделывал…) вот и интересно!..
хорошо грузится. вроде бы даже немного лучше чем ранее. пользуюсь Гугл Хром. во всяком случае раньше переходя из письма немного дольше ждала. а переходя из браузера вроде – так же.
А вот Вам теперь обоснованное – спасибо!))