Защита сайта или блога от взлома, защита контента от копирования – все эти вопросы, рано или поздно, встают перед теми, кто активно, в той или иной мере, работает в интернет-бизнесе, ведет свой блог.
После создания своего блога, я как-то не задумывался о его защите. Сайт молодой – кому он нужен? А с недавних пор пришлось кардинально пересмотреть свое отношение к этой проблеме, непосредственно к защите своего блога на движке WordPress.
Защита сайта на WordPress.
Первое что вы делаете, когда входите в административную панель своего блога – это вводите логин и пароль. По умолчанию, на WordPress генерируется логин: admin. Пароль же вы имели право придумать сами, при установке CMS на хостинг.
Защита Админ-панели блога.
Ну так вот, чтобы предотвратить многократные попытки входить не прошенным гостям в «админку» или консоль своего блога, рекомендую поставить плагин — Limit Login Attempts.
Установка и активация плагина стандартные. Для более детальных настроек, заходите в «Консоль» — «Настройки» — «Limit Login Attempts», где количество попыток входа и время блокировки устанавливаете по своему усмотрению:
Но только не забывайте и сами – все настройки по защите сайта касаются и вас, непосредственно. Если превысите лимит попыток входа, будете заблокированы на время, которое вами же и выставлено. Храните надежно логин и пароль. Поверьте – это стоит того.
Данный плагин записывает IP-адрес, с которого были попытки входа в Админ-панель. И если вы указывали свой E-mail адрес в настройках своего блога, на него также поступят сообщения о попытке взлома реквизитов входа на сайт.
И вот, пожалуйста, первые результаты: попытки входа в админку моего блога. Желающих, как видите, хватает. Кто-то пытался, вместо логина, использовать доменное имя сайта:
Естественно тут же возникает вопрос – а как же изменить логин? Так как, по-умолчанию, логин у вас стоит: admin, а это не секрет для любителей покопаться в консоли – защита блога под большим вопросом.
Смена логина и пароля на WordPress.
Как изменить логин и пароль через Админ-панель своего блога, я уже писал в одном из предыдущих постов: «Как установить WordPress на хостинг«.
Но бывают моменты, что по какой-то причине вы этого сделать не можете – из-за слабых реквизитов, ваш сайт взломан.
Пока злоумышленник не успел натворить много бед, вернуть права доступа можно через свой хостинг.
Для этого существует еще один способ — заходите в панель управления вашего хостинга. Выбираете вкладку – «Базы данных MySQL»:
Во вкладке «Управление базами данных MySQL» – вводите, временно придуманный, пароль и нажимаете «Включить доступ» — ниже слева кликаете — войти в «php My Admin»:
В открывшемся окне, слева вверху, выбираете базу данных своего сайта. Если у вас один сайт – это первая папка под вашим логином:
В новом окне, во вкладке – «Структура» — нажимаем на «wp_posts» и по названиям опубликованных постов, удостоверяетесь, что это именно нужный вам сайт:
Дальше возвращаетесь обратно и нажимаете на «wp_users». В новом окне ставите галочку и нажимаете на значок- «Карандаш»– редактировать:
После этого вам откроется окно, где вы сможете в строке: «users_login» изменить свой логин (выделить мышкой и удалить – «admin»– и вставить свой новый логин) — нажимаете OK.
Так же, по желанию, в строке — «user_pass» — вы можете изменить и свой пароль на более сложный, но только в — «функциях» – в выпадающем окне, нужно выбрать «MD5» — эта функция только для пароля. Пароль кодируется.
Так что после ввода нового пароля и сохранения, вы опять увидите закодированный ваш пароль типа: $P$BQx0xdla7fpF4ksg3KoelRsTok/, а не то что вы вводили.
Теперь взломщикам работы прибавиться – нужно будет взламывать не только пароль, но и логин. После всего, не забудьте на своем хостинге выключить полный доступ к своей базе данных:
Создавайте надежные пароли для защиты сайта и хостинга и храните их от посторонних глаз!
Кстати, есть такая программа — Smart Whois, которая определяет — откуда и кто пытался взломать ваш блог. Плагин Limit Login Attempts фиксирует IP-адреса, с которых пытались войти в админку вашего блога.
Вы берете данный IP-адрес, вставляете в окно поиска этой программы и вам выдаются все данные на вашего злоумышленника. Вот как это было у меня. Ну а дальше на ваше усмотрение.
Комплексная защита сайта.
Защита сайта — это конечно не праздный вопрос. Существует очень много способов обеспечить безопасность блога. Тут бы я порекомендовал бы вам так же поставить плагин — Secure WordPress by Website Defender. Этот плагин является комплексным инструментом, который использует практически все методы защиты блога, придуманные для движка WordPress:
- Предотвращает отображение сообщения об ошибках при написании неправильного логина. Ставит в замешательство взломщиков при вводе логина и пароля.
- Скрывает версию WordPress везде, кроме панели админа.
- Скрывает версию WordPress из Admin-панели.
- Создает пустой файл в каждой папке блога, чтобы предотвратить просмотр через браузер.
- Скрывает RSD-ссылку со страниц блога.
- Скрывает ссылку Windows Live Writer со страниц блога.
- Скрывает сообщение о новой версии WordPress от пользователей без прав администратора.
- Скрывает сообщение о обновлении плагинов от пользователей.
- Скрывает сообщение о доступном обновлении блога.
- Удаляет версию WordPress в URL-формах, скриптах и таблицах стилей, только в интерфейсе.
- Защита WordPress от вредоносных URL-запросов.
Ну и наконец, защита сайта или блога будет не полноценной без таких плагин:
WordPress Database Backup, который будет регулярно делать резервную копию базы данных вашего сайта.
Backup WordPress, который также автоматом делает резервные копии не только базы данных, но и файлов. В настройках можно выставить свои параметры архивирования данных – каждый день или реже. Архив сохраняется на хостинге, где его можно скачать себе на компьютер.
Защита контента сайта.
Защита контента – это еще один аспект защиты блога, но уже от копирования постов, находящихся на вашем блоге. Вы пишите свои посты, публикуете их на своем сайте, а некоторые люди, которым лень писать, при помощи различных программ или вручную копируют ваши статьи и вставляют себе на сайт. Потом поисковик индексирует эти статьи – иногда получается так, что поисковик индексирует их раньше ваших.
Злоумышленники могут так же воровать ваши статьи и с RSS-ленты вашего блога. Тем самым вы теряете свой контент и кроме того можете даже попасть под фильтр поисковых систем за плагиат.
100% защиты контента от копирования еще никто не придумал, но кое-что вы все же можете предпринять:
Зайдите на сервис — Tynt.com. Здесь необходимо зарегистрироваться. Для этого в верхнем меню нажимаете – получить код. После этого откроется окно регистрации, где вы вводите E-mail, который стоит в настройках вашего блога. Вписываете адрес сайта – доменное имя. Придумываете свой пароль, ставите галочку напротив соглашения о конфиденциальности и нажимаете кнопку – Отправить.
После получения письма в свой почтовый ящик, переходите по ссылке, для получения скрипта на портале Tynt.com, предварительно введя адрес своего домена и пароль. Увидите страничку со скриптом. Выбираете WordPress.
В окне копируете выделенный цветом скрипт, который вам предлагается и вставляете его в свой блог, так чтобы он был на всех страницах.
Можно просто зайти в консоль блога – «Внешний вид» – «Редактор» – «Подвал (footer.php)» и перед закрывающим тегом </body>, вставить данный скрипт и обновить файл.
Теперь, если вы или кто-то другой скопирует вашу статью или часть текста в буфер обмена и попытается вставить его к себе на сайт – автоматически с этим текстом будет вставляться и ссылка с вашего блога или сайта, с которого скопировали текст или любой другой файл.
Кроме этого, здесь ведутся отчеты по защите вашего сайта. Вы их сможете просмотреть здесь и в письмах, которые будут приходить на указанный адрес. Отчет о количестве скопированного материала с вашего блога – картинок, текста и т.д.
И последний момент, на который следует обратить внимание – это сделать так, чтобы в RSS-ленте, статьи вашего блога отображались не целиком, а только анонсы. Для этого есть такой плагин как: Better Feed Options. С помощью него, в ленту будет попадать лишь малый кусок вашей статьи – анонс, а не вся целиком.
Тем самым вы предотвратите копирование ваших постов непосредственно с RSS-ленты. И это так же повлияет на посещаемость сайта. Люди не будут читать ваши статьи на ленте, а будут переходить по ссылке на ваш блог.
Вот такие вот методы защиты блога и его контента я вам рекомендую использовать. И помните – защита блога – это непрерывный процесс. Следите за всеми новостями, касающимися безопасности WordPress.
P.S. Кто желает поделиться своими мыслями на эту тему – буду очень рад прочитать в комментариях. Мне очень важно Ваше мнение.
Полезный сервис, пригодится, спасибо, может научатся, а то многие моду взяли правую кнопку мыши отключать и не объяснишь им, что маразм от воровства контента не спасает ни в каком виде, что лучше бы RSS защитили бы, чем кнопку мыши отключать.
А логин нужно сразу случайный генерировать и писать при создании сайта, чтобы потом не мучиться с изменением. Можно сделать как я, я сделал двух пользователей с правами администратора и не переживаю даже если взломают один, а пытаются практически ежедневно и причем пытаются подобрать логин ( типа seryi, sergey ), что говорит о не просто взломе, а целенаправленном взломе именно моего блога
Спасибо, Сергей за коментарий !
А по поводу целенаправленного взлома,
так я даже и не знаю что и думать.
Если только за последние 4 дня у меня заблокировано
более тысячи попыток взлома.
Уже даже и привыкать стал, как к чему-то обыденному.
И что самое главное — IP-адреса со всего мира —
это какято фобия.
Нужно не мало времени, чтобы проанализироватьих
и внести в правили, окоторых я написал
в следующей статье.
Очень полезные советы, буду использовать и рекомендовать другим. Спасибо. Хочется надеяться , что кагда нибудь появится настоящая ,100% защита, да такая что бы у самих хакеров и воров гарели компы.
Рад был помочь.
Спасибо за предоставленную информацию. Я непременно воспользуюсь этим методом. Есть вопрос. Как установить rss ленту на сайт и чьей услугой лучше воспользоваться? На сколько мне известно feedburner прекратит свое существование.
А где собственно взять плагин LimAttempsitLogin? В официальном репозитории WP такого нет.
Плагин очень нужен, так как стандарных метод блокирования руками через htaccess не помогает (проблема с выделенным серваком).
Буду рад если дадите ссылочку. Спасибо
Спасибо, нашёл в архиве WP. Так как плагин не обновлялся 2 года, его сняли с учёта из-за возможных проблем с новыми версиями движка…
Поставил на свой сайт. Включил, потыкал чуть. Закрылся доступ на все IP почему-то. Не только с подставного IP, но и со всех разом.
Только что заходил на WordPress.org плагин есть,
если вы имеете ввиду Limit Login Attempts 1.7.1
все верно он давно не обновлялся, но и ставил я его себе
тоже давно.
Правда после этого я WordPress обновлял — сейчас последняя
версия.
Плагин работает до сих пор, нареканий нет.
Посмотрите внимательно настройки плагина,
он блокирует чрезмерное количество попыток
авторизации и время (картинки кликабельны).
Если вы сами превысили установленный вами лимит ошибок авторизации,
так он и ваш IP-адрес заблокирует на установленное
вами же время.Внимательно с настройками.
Удачи.
Давайте поставим все точки над i .
Во-первых, этот плагин блокирует вход в «админку» WordPress
если вы неправильно набрали пороль или логин несколько раз.
Но, позвольте, а как же вы сами заходите в консоль своего блога ?
Или ваш вход он также бдокирует?
И почему вы решили, что он блокирует все IP-адреса ?
У вас что, все заходят на блог через Админ-панель ?
Этот плагин блокирует
1.БОТЫ- своего рода машины, их множество, которые Автоматом
пытаются зайти на любой сайт, в том числе и ваш.
2.Ну и, конечно, блокируеются отдельные личности
с теми же намерениями.
3.Если у вас вход для каждого посетителя чарез логин и пароль —
тогда не знаю — возможно у вас в админке выставлены
неправильные настройки для входа посетителей.
У меня вход на блог «бесплатный».
4.Ну и последнее — возможно идет несовместимость с другим плагином,
выполняющим схожую или смежную задачу
И еще, а вы не думаете, что ваш ТОR никакой роли не сыграл.
С мените место дислокации.
Удачи.
Так вот проблема-то в том, что при блокировании всего одного IP — блокировка срабатывает для всех остальных: через TOR зашёл на сайт под левым IP каким-то. Рандомно потыркал 4 раза форму входа. Схватил временный бан на 60 минут (сам установил период). Всё с этого IP блокируется, но в тоже самое время блокируются и все остальные не левые IP. Все подряд. Может в теме сайта глюк, но два три раза перепроверил.
Я уже не знаю чем вам помочь.
Что я имел ввиду, говоря о настройках.
Насколько я понял, что бы любому посетителю
зайти на ваш сайт или блог(не знаю),
созданный на базе WordPress, нужно ввести логин и пароль ? Зачем ?
Вы, когда заходили ко мне на блог, вводили логин и пароль?
Теперь о настройках:
Параметры — общие — поставить галочку любой может зарегистрироваться.
Дальше — Роль нового пользователя — подписчик.
Вы как пользователь-Администратор.
Но по-моему у вас какая-то другая проблема,
вслепую трудно разобраться.
Попробуйте еще поменять настройки плагина.
Вместо прокси-сервера, поставте — прямое подключение
И если не трудно, вышлите скриншот настроек вашего плагина
ко мне на E-mail: dgpalych2@gmail.com
Ну я же неспроста пишу, что все IP. Я не знаю как этот плагин работает или должен работать, но в форме входа (в файле wp-login.php) после первой блокировки по любому IP, временный запрет на попытку входа отображается для всех остальных. То есть пользователи тупо не могут залогиниться, потому что видят запрет.
Как я узнал про «все IP»? Ответ прост — методом перебора разных IP в специализированном браузере TOR, который работает через несколько десятков подставных прокси-серверов. Определить свой IP в TOR не проблема. Тем более для проверки я пытался авторизироваться со своего телефона, который тоже имеет свой IP. Мне понадобилось проверить всего 10 шт чтобы понять, что плагин почему-то выдаёт блокировку на всех, хотя по идее, должен блокировать только тот IP, с которого подбирался пароль, ну или он неверно был набран 4 раза.
А теперь ответы на ваши вопросы:
1. После блокировки IP в браузере TOR, моя сессия админа в нормальном браузере (Хром/Мозилла, без разницы) после перезагрузки страницы (F5), автоматически закрывается, и меня редиректит на страницу wp-login.php, где я вижу запрет на вход.
2. Уже ответил выше
3. Авторизация для всех пользователей (вкл.и админов) происходит через логин-форму wp-login.php, причём тут веб-панель? И что за «неправильные настройки для входа посетителей»?
Собственно вот здесь и кроется ответ:
http://habrahabr.ru/post/232129/
по тексту вы увидите, что проблема с одним IP на всех не только у меня проблема ))) но её решение есть.
Вот мы и добрались до истины!
Я кажется понял.
Почитайте мою статью «Комплексная защита блога на WordPress».
В рубрике «Комплексная защита — фаервол для блога»
рассказывается о — кода-фаервола 5G.
Там вносятся дополнения в текстовый файл: .htaccess
По моему, в конце кода как раз те дополнения,
которые вы предлагаете.
Посмотрите внимательно.
Возможно в этом и загвоздка.
Бесспорно отличная статья. Прочел навскидку, но в закладки себе оставлю однозначно! Автор молодец, описал все подробно. Прочту еще раз повнимательней и сделаю все шаги. А то на мой блог кто-то хочет покуситься, шутки какие-то и тому подобное. По ходу то ли взломали и угарают, или думают взломать.
Надо будет защититься, а эта статья как нельзя кстати )
Благодарю за оценку.
Если хотят покуситься — это пол беды.
Это происходит каждый день, поверьте.
А по-поводу шуток — если бы взломали,
Вы бы вряд ли зашли на свой блог.
Взломщики меняют логин и пароль.
Читайте связанные по этой теме
статьи на блоге. Удачи !
Спасибо! Я сделал у себя на блоге кое-какие изменения, сменил логин админа, заодно и пароль усложнил, переименовал админку и переписал htaccess. Хотя, говорят, нет стопроцентной гарантии, но задачу взломщикам я усложнил ).
Кстати, после установки зашиты контента на tynt.com, по-моему у меня появились дополнения в адресах url, типа http://grigoriylyamaev.ru/#axzz3RXk9lTz5 (после слэша клеточка и код). Не знаю хорошо это или плохо?
Нет, такого не должно быть.
Еще раз проверьте правильность
Ваших действий.
Если не поможет — откажитесь
от услуг данного сервиса и уберите
его настройки.
Возможно у Вас какая то несовместимость
с шаблоном — так трудно сразу сказать.
Зайдите в поисковик Яндекса
и наберите: Yandex Webmaster settings
Это специальный плагин от Яндекса.
К сожалению, я это упустил и не писал об этом.
Но на сайтах Вы найдете нужную информацию —
как установить этот плагин.
В инструкциях Яндекса это тоже есть.
Он не защищает от копирования, но
при написании новой статьи на блоге,
он защищает Ваше авторство.
Удачи !