Защита сайта и его контента

  Автор:
  19 комментариев
  7500
zaschita-sayta-i-kontenta

Защита сайта или блога от взлома, защита контента от копирования – все эти вопросы, рано или поздно, встают перед теми, кто активно, в той или иной мере, работает в интернет-бизнесе, ведет свой блог.

После создания своего блога, я как-то не задумывался о его защите. Сайт молодой – кому он нужен? А с недавних пор пришлось кардинально пересмотреть свое отношение к этой проблеме, непосредственно к защите своего блога на движке WordPress.

Защита сайта на WordPress.

Первое что вы делаете, когда входите в административную панель своего блога – это вводите логин и пароль. По умолчанию, на WordPress генерируется логин: admin. Пароль же вы имели право придумать сами, при установке CMS на хостинг.

Защита Админ-панели блога.

Ну так вот, чтобы предотвратить многократные попытки входить не прошенным гостям в «админку» или консоль своего блога, рекомендую поставить плагин — Limit Login Attempts.

Установка и активация плагина стандартные. Для более детальных настроек, заходите в «Консоль» — «Настройки» — «Limit Login Attempts», где количество попыток входа и время блокировки устанавливаете по своему усмотрению:

Защита сайта и его контента

Но только не забывайте и сами – все настройки по защите сайта касаются и вас, непосредственно. Если превысите лимит попыток входа, будете заблокированы на время, которое вами же и выставлено. Храните надежно логин и пароль. Поверьте – это стоит того.

Данный плагин записывает IP-адрес, с которого были попытки входа в Админ-панель. И если вы указывали свой E-mail адрес в настройках своего блога, на него также поступят сообщения о попытке взлома реквизитов входа на сайт.

И вот, пожалуйста, первые результаты: попытки входа в админку моего блога. Желающих, как видите, хватает. Кто-то пытался, вместо логина, использовать доменное имя сайта:

Защита сайта и его контента

Естественно тут же возникает вопрос – а как же изменить логин? Так как, по-умолчанию, логин у вас стоит: admin, а это не секрет для любителей покопаться в консоли – защита блога под большим вопросом.

Смена логина и пароля на WordPress.

Как изменить логин и пароль через Админ-панель своего блога, я уже писал в одном из предыдущих постов: «Как установить WordPress на хостинг«.

Но бывают моменты, что по какой-то причине вы этого сделать не можете – из-за слабых реквизитов, ваш сайт взломан.

Пока злоумышленник не успел натворить много бед, вернуть права доступа можно через свой хостинг.

Для этого существует еще один способ — заходите в панель управления вашего хостинга. Выбираете вкладку – «Базы данных MySQL»:Защита сайта и его контента

Во вкладке «Управление базами данных MySQL» – вводите, временно придуманный, пароль и нажимаете «Включить доступ» — ниже слева кликаете — войти в «php My Admin»:

Защита сайта и его контента

В открывшемся окне, слева вверху, выбираете базу данных своего сайта. Если у вас один сайт – это первая папка под вашим логином:

Защита сайта и его контента

В новом окне, во вкладке – «Структура» — нажимаем на «wp_posts» и по названиям опубликованных постов, удостоверяетесь, что это именно нужный вам сайт:

Защита сайта и его контента

 

Дальше возвращаетесь обратно и нажимаете на «wp_users». В новом окне ставите галочку и нажимаете на значок- «Карандаш»– редактировать:

Защита сайта и его контента

После этого вам откроется окно, где вы сможете в строке: «users_login» изменить свой логин (выделить мышкой и удалить – «admin»– и вставить свой новый логин) — нажимаете OK.

Так же, по желанию, в строке — «user_pass» — вы можете изменить и свой пароль на более сложный, но только в — «функциях» – в выпадающем окне, нужно выбрать «MD5» — эта функция только для пароля. Пароль кодируется.

Так что после ввода нового пароля и сохранения, вы опять увидите закодированный ваш пароль типа: $P$BQx0xdla7fpF4ksg3KoelRsTok/, а не то что вы вводили.

Теперь взломщикам работы прибавиться – нужно будет взламывать не только пароль, но и логин. После всего, не забудьте на своем хостинге выключить полный доступ к своей базе данных:

Защита сайта и его контента

Создавайте надежные пароли для защиты сайта и хостинга и храните их от посторонних глаз!

Кстати, есть такая программа — Smart Whois, которая определяет — откуда и кто пытался взломать ваш блог. Плагин Limit Login Attempts фиксирует IP-адреса, с которых пытались войти в админку вашего блога.

Вы берете данный IP-адрес, вставляете в окно поиска этой программы и вам выдаются все данные на вашего злоумышленника. Вот как это было у меня. Ну а дальше на ваше усмотрение.

Комплексная защита сайта.

Защита сайта — это конечно не праздный вопрос. Существует очень много способов обеспечить безопасность блога. Тут бы я порекомендовал бы вам так же поставить плагин — Secure WordPress by Website Defender. Этот плагин является комплексным инструментом, который использует практически все методы защиты блога, придуманные для движка WordPress:

  • Предотвращает отображение сообщения об ошибках при написании неправильного логина. Ставит в замешательство взломщиков при вводе логина и пароля.
  • Скрывает версию WordPress везде, кроме панели админа.
  • Скрывает версию WordPress из Admin-панели.
  • Создает пустой файл в каждой папке блога, чтобы предотвратить просмотр через браузер.
  • Скрывает RSD-ссылку со страниц блога.
  • Скрывает ссылку Windows Live Writer со страниц блога.
  • Скрывает сообщение о новой версии WordPress от пользователей без прав администратора.
  • Скрывает сообщение о обновлении плагинов от пользователей.
  • Скрывает сообщение о доступном обновлении блога.
  • Удаляет версию WordPress в URL-формах, скриптах и таблицах стилей, только в интерфейсе.
  • Защита WordPress от вредоносных URL-запросов.

Ну и наконец, защита сайта или блога будет не полноценной без таких плагин:

WordPress Database Backup, который будет регулярно делать резервную копию базы данных вашего сайта.

Backup WordPress, который также автоматом делает резервные копии не только базы данных, но и файлов. В настройках можно выставить свои параметры архивирования данных – каждый день или реже. Архив сохраняется на хостинге, где его можно скачать себе на компьютер.

Защита контента сайта.

Защита контента – это еще один аспект защиты блога, но уже от копирования постов, находящихся на вашем блоге. Вы пишите свои посты, публикуете их на своем сайте, а некоторые люди, которым лень писать, при помощи различных программ или вручную копируют ваши статьи и вставляют себе на сайт. Потом поисковик индексирует эти статьи – иногда получается так, что поисковик индексирует их раньше ваших.

Злоумышленники могут так же воровать ваши статьи и с RSS-ленты вашего блога. Тем самым вы теряете свой контент и кроме того можете даже попасть под фильтр поисковых систем за плагиат.

100% защиты контента от копирования еще никто не придумал, но кое-что вы все же можете предпринять:Защита сайта и его контента

 

Зайдите на сервис — Tynt.com. Здесь необходимо зарегистрироваться. Для этого в верхнем меню нажимаете – получить код. После этого откроется окно регистрации, где вы вводите E-mail, который стоит в настройках вашего блога. Вписываете адрес сайта – доменное имя. Придумываете свой пароль, ставите галочку напротив соглашения о конфиденциальности и нажимаете кнопку – Отправить.Защита сайта и его контента

После получения письма в свой почтовый ящик, переходите по ссылке, для получения скрипта на портале Tynt.com, предварительно введя адрес своего домена и пароль. Увидите страничку со скриптом. Выбираете WordPress.

В окне копируете выделенный цветом скрипт, который вам предлагается и вставляете его в свой блог, так чтобы он был на всех страницах.

Защита сайта и его контента

Можно просто зайти в консоль блога – «Внешний вид» – «Редактор» – «Подвал (footer.php)» и перед закрывающим тегом </body>, вставить данный скрипт и обновить файл.

Теперь, если вы или кто-то другой скопирует вашу статью или часть текста в буфер обмена и попытается вставить его к себе на сайт – автоматически с этим текстом будет вставляться и ссылка с вашего блога или сайта, с которого скопировали текст или любой другой файл.

Кроме этого, здесь ведутся отчеты по защите вашего сайта. Вы их сможете просмотреть здесь и в письмах, которые будут приходить на указанный адрес. Отчет о количестве скопированного материала с вашего блога – картинок, текста и т.д.

И последний момент, на который следует обратить внимание – это сделать так, чтобы в RSS-ленте, статьи вашего блога отображались не целиком, а только анонсы. Для этого есть такой плагин как: Better Feed Options. С помощью него, в ленту будет попадать лишь малый кусок вашей статьи – анонс, а не вся целиком.

Тем самым вы предотвратите копирование ваших постов непосредственно с RSS-ленты. И это так же повлияет на посещаемость сайта. Люди не будут читать ваши статьи на ленте, а будут переходить по ссылке на ваш блог.

Вот такие вот методы защиты блога и его контента я вам рекомендую использовать. И помните – защита блога – это непрерывный процесс. Следите за всеми новостями, касающимися безопасности WordPress.

P.S. Кто желает поделиться своими мыслями на эту тему – буду очень рад прочитать в комментариях. Мне очень важно Ваше мнение.

Интересная статья? Поделитесь ею пожалуйста с другими:
Оставьте свой комментарий:

Комментарии на Блог
19 комментариев
  1. Сергей

    Полезный сервис, пригодится, спасибо, может научатся, а то многие моду взяли правую кнопку мыши отключать и не объяснишь им, что маразм от воровства контента не спасает ни в каком виде, что лучше бы RSS защитили бы, чем кнопку мыши отключать.
    А логин нужно сразу случайный генерировать и писать при создании сайта, чтобы потом не мучиться с изменением. Можно сделать как я, я сделал двух пользователей с правами администратора и не переживаю даже если взломают один, а пытаются практически ежедневно и причем пытаются подобрать логин ( типа seryi, sergey ), что говорит о не просто взломе, а целенаправленном взломе именно моего блога

    • admin

      Спасибо, Сергей за коментарий !

      А по поводу целенаправленного взлома,
      так я даже и не знаю что и думать.
      Если только за последние 4 дня у меня заблокировано
      более тысячи попыток взлома.
      Уже даже и привыкать стал, как к чему-то обыденному.
      И что самое главное — IP-адреса со всего мира —
      это какято фобия.
      Нужно не мало времени, чтобы проанализироватьих
      и внести в правили, окоторых я написал
      в следующей статье.

  2. Андрей

    Очень полезные советы, буду использовать и рекомендовать другим. Спасибо. Хочется надеяться , что кагда нибудь появится настоящая ,100% защита, да такая что бы у самих хакеров и воров гарели компы.

  3. admin

    Рад был помочь.

  4. Андрей

    Спасибо за предоставленную информацию. Я непременно воспользуюсь этим методом. Есть вопрос. Как установить rss ленту на сайт и чьей услугой лучше воспользоваться? На сколько мне известно feedburner прекратит свое существование.

  5. Eposurvivor

    А где собственно взять плагин LimAttempsitLogin? В официальном репозитории WP такого нет.

    Плагин очень нужен, так как стандарных метод блокирования руками через htaccess не помогает (проблема с выделенным серваком).

    Буду рад если дадите ссылочку. Спасибо

  6. Eposurvivor

    Спасибо, нашёл в архиве WP. Так как плагин не обновлялся 2 года, его сняли с учёта из-за возможных проблем с новыми версиями движка…
    Поставил на свой сайт. Включил, потыкал чуть. Закрылся доступ на все IP почему-то. Не только с подставного IP, но и со всех разом.

  7. admin

    Только что заходил на WordPress.org плагин есть,
    если вы имеете ввиду Limit Login Attempts 1.7.1
    все верно он давно не обновлялся, но и ставил я его себе
    тоже давно.
    Правда после этого я WordPress обновлял — сейчас последняя
    версия.
    Плагин работает до сих пор, нареканий нет.
    Посмотрите внимательно настройки плагина,
    он блокирует чрезмерное количество попыток
    авторизации и время (картинки кликабельны).
    Если вы сами превысили установленный вами лимит ошибок авторизации,
    так он и ваш IP-адрес заблокирует на установленное
    вами же время.Внимательно с настройками.
    Удачи.

  8. admin

    Давайте поставим все точки над i .
    Во-первых, этот плагин блокирует вход в «админку» WordPress
    если вы неправильно набрали пороль или логин несколько раз.
    Но, позвольте, а как же вы сами заходите в консоль своего блога ?
    Или ваш вход он также бдокирует?
    И почему вы решили, что он блокирует все IP-адреса ?
    У вас что, все заходят на блог через Админ-панель ?
    Этот плагин блокирует
    1.БОТЫ- своего рода машины, их множество, которые Автоматом
    пытаются зайти на любой сайт, в том числе и ваш.
    2.Ну и, конечно, блокируеются отдельные личности
    с теми же намерениями.
    3.Если у вас вход для каждого посетителя чарез логин и пароль —
    тогда не знаю — возможно у вас в админке выставлены
    неправильные настройки для входа посетителей.
    У меня вход на блог «бесплатный».
    4.Ну и последнее — возможно идет несовместимость с другим плагином,
    выполняющим схожую или смежную задачу
    И еще, а вы не думаете, что ваш ТОR никакой роли не сыграл.
    С мените место дислокации.
    Удачи.

  9. Eposurvivor

    Так вот проблема-то в том, что при блокировании всего одного IP — блокировка срабатывает для всех остальных: через TOR зашёл на сайт под левым IP каким-то. Рандомно потыркал 4 раза форму входа. Схватил временный бан на 60 минут (сам установил период). Всё с этого IP блокируется, но в тоже самое время блокируются и все остальные не левые IP. Все подряд. Может в теме сайта глюк, но два три раза перепроверил.

  10. admin

    Я уже не знаю чем вам помочь.
    Что я имел ввиду, говоря о настройках.
    Насколько я понял, что бы любому посетителю
    зайти на ваш сайт или блог(не знаю),
    созданный на базе WordPress, нужно ввести логин и пароль ? Зачем ?
    Вы, когда заходили ко мне на блог, вводили логин и пароль?
    Теперь о настройках:
    Параметры — общие — поставить галочку любой может зарегистрироваться.
    Дальше — Роль нового пользователя — подписчик.
    Вы как пользователь-Администратор.
    Но по-моему у вас какая-то другая проблема,
    вслепую трудно разобраться.

  11. admin

    Попробуйте еще поменять настройки плагина.
    Вместо прокси-сервера, поставте — прямое подключение
    И если не трудно, вышлите скриншот настроек вашего плагина
    ко мне на E-mail: dgpalych2@gmail.com

  12. Eposurvivor

    :-D
    Ну я же неспроста пишу, что все IP. Я не знаю как этот плагин работает или должен работать, но в форме входа (в файле wp-login.php) после первой блокировки по любому IP, временный запрет на попытку входа отображается для всех остальных. То есть пользователи тупо не могут залогиниться, потому что видят запрет.

    Как я узнал про «все IP»? Ответ прост — методом перебора разных IP в специализированном браузере TOR, который работает через несколько десятков подставных прокси-серверов. Определить свой IP в TOR не проблема. Тем более для проверки я пытался авторизироваться со своего телефона, который тоже имеет свой IP. Мне понадобилось проверить всего 10 шт чтобы понять, что плагин почему-то выдаёт блокировку на всех, хотя по идее, должен блокировать только тот IP, с которого подбирался пароль, ну или он неверно был набран 4 раза.
    А теперь ответы на ваши вопросы:
    1. После блокировки IP в браузере TOR, моя сессия админа в нормальном браузере (Хром/Мозилла, без разницы) после перезагрузки страницы (F5), автоматически закрывается, и меня редиректит на страницу wp-login.php, где я вижу запрет на вход.
    2. Уже ответил выше
    3. Авторизация для всех пользователей (вкл.и админов) происходит через логин-форму wp-login.php, причём тут веб-панель? И что за «неправильные настройки для входа посетителей»?

  13. Eposurvivor

    Собственно вот здесь и кроется ответ:
    http://habrahabr.ru/post/232129/

    по тексту вы увидите, что проблема с одним IP на всех не только у меня проблема ))) но её решение есть.

    Вот мы и добрались до истины! ;)

  14. admin

    Я кажется понял.
    Почитайте мою статью «Комплексная защита блога на WordPress».
    В рубрике «Комплексная защита — фаервол для блога»
    рассказывается о — кода-фаервола 5G.
    Там вносятся дополнения в текстовый файл: .htaccess
    По моему, в конце кода как раз те дополнения,
    которые вы предлагаете.
    Посмотрите внимательно.
    Возможно в этом и загвоздка.

  15. Gregoryll

    Бесспорно отличная статья. Прочел навскидку, но в закладки себе оставлю однозначно! Автор молодец, описал все подробно. Прочту еще раз повнимательней и сделаю все шаги. А то на мой блог кто-то хочет покуситься, шутки какие-то и тому подобное. По ходу то ли взломали и угарают, или думают взломать.
    Надо будет защититься, а эта статья как нельзя кстати )

  16. admin

    Благодарю за оценку.
    Если хотят покуситься — это пол беды.
    Это происходит каждый день, поверьте.
    А по-поводу шуток — если бы взломали,
    Вы бы вряд ли зашли на свой блог.
    Взломщики меняют логин и пароль.
    Читайте связанные по этой теме
    статьи на блоге. Удачи !

  17. Gregoryll

    Спасибо! Я сделал у себя на блоге кое-какие изменения, сменил логин админа, заодно и пароль усложнил, переименовал админку и переписал htaccess. Хотя, говорят, нет стопроцентной гарантии, но задачу взломщикам я усложнил ).
    Кстати, после установки зашиты контента на tynt.com, по-моему у меня появились дополнения в адресах url, типа http://grigoriylyamaev.ru/#axzz3RXk9lTz5 (после слэша клеточка и код). Не знаю хорошо это или плохо?

  18. admin

    Нет, такого не должно быть.
    Еще раз проверьте правильность
    Ваших действий.
    Если не поможет — откажитесь
    от услуг данного сервиса и уберите
    его настройки.
    Возможно у Вас какая то несовместимость
    с шаблоном — так трудно сразу сказать.
    Зайдите в поисковик Яндекса
    и наберите: Yandex Webmaster settings
    Это специальный плагин от Яндекса.
    К сожалению, я это упустил и не писал об этом.
    Но на сайтах Вы найдете нужную информацию —
    как установить этот плагин.
    В инструкциях Яндекса это тоже есть.
    Он не защищает от копирования, но
    при написании новой статьи на блоге,
    он защищает Ваше авторство.
    Удачи !

Ваш адрес email не будет опубликован. Обязательные поля помечены *