Тема: Блоггинг

Автор:

17
сентября
20:05

Защищаем блог от взлома + «Притча о праведном взломщике»

Приветствую вас, дорогие читатели.

Как и обещал, пишу статью о защите блога от взлома. По правде говоря, следовало ее написать гораздо раньше, но что-то позабыл я об этом важном моменте. Мой прокол, признаю. Поэтому если ваш ресурс не взламывали, тогда вам повезло, так как теперь, после внедрения всех рекомендаций отсюда ваш блог не взломает 99.9% желающих это сделать, а оставшуюся одну десятую лучше не злить, ибо там даже вся защита интернета не поможет 🙂

Защита блога от взлома – легко и надежно!

Защита блога от взлома – легко и надежно!

Итак, прежде чем мы приступим, небольшой тест-притча. Представьте, что я взломщик 😆 , который хочет залезть в админку вашего сайта и набезобразничать там: сменить тексты, картинки, и т. д. Или же прописать в файл .htaccess редирект с любой вашей странички блога на специально заготовленную страничку, где большими буквами написано «Я тебя взломал, ха-ха-ха! Для снятия взлома шли на мой кошелек QIWI XXXXX рублей, и я, может быть, тебе верну твой сайт». А еще, могу просто не париться, сменить логин и пароль в админку и все, был ваш блог, стал мой 🙂

Итак, что мне для этого понадобится? Во-первых: страничка с формой для входа в админку. Недолго думая, я попробую перейти по адресу http://*ваш домен*/wp-login.php Если не получится, попробую еще http://*ваш домен*/wp-admin/ или http://*ваш домен*/wpadmin.html В большинстве случаев по одному из этих адресов я зайду к вам на страничку с формой входа, или здесь же любезно получу ссылку на эту самую страничку.

Откройте другой браузер и перейдите по одному из трех указанных адресов. Если у вас хотя бы по одной из них открылась форма входа в админку, то и у меня откроется, а значит я уже на пол пути ко взлому вашего блога.

Что я сделаю дальше? Дальше я включу свою программу подбора логина и пароля, которая у меня, конечно же, есть (я же профессиональный взломщик 🙂 ). Зная еще одну глупость большинства блоггеров, я уже укажу наиболее вероятный логин для входа – «admin». Ну и мне останется лишь пароль, который моя программа выявит за время от пяти секунд до нескольких суток в зависимости от его сложности. То есть, это лишь вопрос времени, не более. А что, я же профессиональный взломщик, мне спешить некуда, запущу программу и пойду еще что-то взломаю 😆

Рано или поздно моя чудо-программа найдет нужную комбинацию, и я зайду в вашу админку и набезобразничаю там так, как того требует мое эго профессионального взломщика.

Советы по защите блога

А теперь, давайте представим, что я жил своей жизнью взломщика, а потом сел и задумался о том, что ж я паразит такой, людей несчастными делаю, их труды многолетние забираю и порчу. И под чувством вины стану я помогать людям защититься от мне подобных, и стал думать, как можно мне же прошлому помешать зайти в вашу админку.

Во-первых, думаю я, нужно изменить адрес входа в админку. На такой, чтоб был он уникальный, сложный, и знал его только хозяин блога этого, или же тот, кто от хозяина благословение получил и с добрыми намерениями в админку эту входит.

key

Во-вторых, чтобы в 2 раза усложнить задачу себе прошлому, изменю я логин входа, и вместо простого и примитивного «admin» тоже поставлю сложный и уникальный, чтобы также знал его только хозяин блога да ближние его.

Ну и в третьих, дабы не дать программе взлома дело свое лихое сделать, установлю я дополнительные меры защиты, такие, как капча, бочонок меда и ограниченное число попыток входа. Ведь тот, кто с намерениями добрыми в админку зайдет, он и логин с паролем сразу верные назовет, и капчу как существо разумное отгадает, и мед трогать не будет, так как вовсе его не увидит, ибо не для него тот бочонок там стоит.

И вот, продумав хорошенько намерения свои добрые по помощи людям в защите от подобных мне, пойду я к старцу мудрому, WordPress’ом именуемому, дабы помог он мне реализовать все, что задумал я. Изложу я WordPress’у намерения свои, и даст он мне чудо-плагин: All in One WP Security.

All in One WP Security

Итак, если кто-то не понял мои изложения в былинной притче, расскажу короче и проще: для защиты блога от взлома я рекомендую использовать плагин All in One WP Security. Богатый и просто шикарный функционал этого плагина мы разберем по ходу его настройки.

Для начала, по традиции заходим в меню Плагины, жмем «добавить новый», вводим в поиск название и устанавливаем этот пятизвездочный плагин. И тут же активируем.

all in one

Теперь переходим в новое меню WP Security. В разных версиях плагина он у вас может установиться русским или английским, поэтому я буду писать надписи двумя вариантами. Для начала, переходим в подменю «Настройки»(«Settings»). Вверху перейдите во вкладку «WP мета-информация»(WP meta info) и там поставьте галочку. Это позволит удалить из файлов движка его версию, которую нужно знать при взломе.

Теперь идем в подменю «Администраторы» (User Accounts). Здесь вам покажет список логинов пользователей, которые имеют статус администратора. Если блог ведете только вы, то там и будете только вы – admin, который плагин сразу же вам выделит красным и предложит вам переименоваться, введя новый логин в поле ниже. После нажатия кнопки вас разлогинят и предложат авторизироваться, используя новый логин (пароль не изменится).

Далее идем в подменю «Авторизация» (User Login). Здесь ставим первую галочку и указываем число попыток ввода данных и ограничение по времени. Само оптимально так, как и было установлено – 3 и 5. Период блока IP изначально стоит 60 минут, можете изменить как вам хочется. Также, можно поставить галочку блокировать при первой же неверной попытке всех, кто не правильно укажет логин. Сами решайте, надо вам или нет, я поставил. Еще можно позволить плагину присылать вам на почту, которую вы укажете, уведомления о неверных авторизациях.

В меню «Регистрация пользователя» (User Registration) поставьте первую галочку об одобрении новых пользователей. Это не особо нужно, так как регистрации у вас на блоге нет (не должно быть!), но пусть будет на всякий случай.

Теперь, в меню «Защита базы данных» (Database Security) в первой вкладке убедитесь, что префикс вашей базы отличен от стандартного «wp_». Если у вас блог на хостинге МакХост, то там создаются свои префиксы баз и уже все норм. Если же у вас каким то образом префикс «wp_», то рекомендуется его сменить. ВАЖНО: если на вашем блоге уже написано много статей и контента, смена префикса может вызвать дополнительные проблемы, поэтому лучше не трогайте там ничего.

Здесь же зайдите во вкладку «Резервное копирование БД» (DB Backup). Вот здесь очень советую поставить галочку, установить периодичность создания копий 1 раз в день и поставить галочку внизу, чтобы копии баз плагин вам присылал на указанный email. Если ранее вы делали это с помощью плагина WordPress Database Backup или его аналога, то его можно отключить и удалить (что, как мы знаем, очень хорошо).

В подменю «Защита файловой системы» (Filesystem security) перейдите в третью вкладку «доступ к файлам WP» (WP File Access) и поставьте там галочку на блок доступа к файлам readme, license и wp-config-sample. Они тоже очень могут помочь взломщикам.

В подменю «Файрволл» (Firewall) рекомендую поставить только первую галочку в первой вкладке и больше ничего не трогать.

Ну и теперь самое интересное во вкладке «Защита от брутфорс-атак» (Brute Force). Здесь на первой же вкладке ставим галочку для смены страницы с формой входа и в поле ниже прописываем символы. Используйте длинную комбинацию, чередуя латинские буквы и цифры. Сразу запишите введенную комбинацию, а то и сами не войдете в свою админку.

log

Далее, в третьей вкладке «CAPTCHA на логин» (Login Captcha) поставьте первую галочку, которая добавит в форму авторизации математическую капчу.

Ну и во вкладке «Бочка с медом» (Honeypot) тоже ставим галочку. Это добавит еще одно поле в форму авторизации, но видеть его будет только робот/программа, поэтому заполнение этого поля автоматически блокирует IP робота.

В принципе на этом все, остальные подменю тоже содержат разыне функции защиты, но они либо приносят больше вреда, чем пользы, либо мне не известны, а потому рекомендовать их вам не могу. Самостоятельно изучать плагин «методом тыка» также не рекомендую, можете натворить делов похлеще взломщика 🙂 В крайнем случае если интересна та или иная функция, то гугл, форумы и соц.сети вебмастеров и оптимизаторов вам в помощь.

Я же буду заканчивать. Самое основное по защите блога от взлома мы сделали, и этого хватит в 999 случаев из 1000, а потому «праведный я» могу спать спокойно, зная, что искупил свои грехи, защитив труды людей от «себя прошлого» и мне подобных 🙂

Как я уже говорил в статье о кросспостинге, мы подводим к концу активное пополнение темы «блоггинг», так как здесь уже описано все нужное, что вам следует знать и применить в создании и продвижении блога.

Кросспостинг: «Часть 1. Основы»

Рубрика: «Блоггинг»

Осталось  буквально 3-5 статей, и далее мы сосредоточимся на описании области ставок на спорт, инфобизнеса и других способах заработка в интернете (пару-тройку таких способов мы уже готовим и скоро анонсируем). И все же, если мы что-то узнаем новое по теме ведения блога, это тут же будет описано в очередной статье, поэтому раздел вовсе не умирает, а будет продолжать пополняться.

Желаю вам всем удачи, успехов и праведных путей  😆 До скорой встречи!

С уважением, Александр Попов.

 

ОтвратительноПлохоНеплохоХорошоОтлично

(7 голосов, в среднем: 5,00 из 5)

Загрузка...

Понравилась статья? Поделись с друзьями!

ПОДПИШИСЬ

НА ОБНОВЛЕНИЯ БЛОГА!

Комментарии: 36

  1. Armat :

    Да, поучительная статья, учитывая характер содержания! Будем надеяться что большинство взломщиков, все же встанут на праведный путь, имея такие таланты. А так защищаться необходимо, главное не раскрепостить себя в этом отношении!

    Ответить

    1. Юрий Попов :

      Армат, Александр просто в необычном формате рассказал вам о том, как защитить свой блог) А те о ком вы написали, уже никогда не станут на праведный путь, потому что не бывает «бывших»! ❗

      Ответить

      1. Armat :

        Мне понравилась такая подача нужной информации, целесообразность которой вкупе с техническими моментами, очевидна в наше неспокойное время. Но печально полагать, что многие думают что стоят у своего руля, тем самым нарушая равновесие! 🙂

        Ответить

        1. Александр Попов :

          Спасибо за оценку формата, буду стараться почаще подобное придумывать 😉

          Ответить

          1. Alex :

            Может попробуете в стихотворной форме 😈

            Шутка, конечно, но посмотреть было бы забавно 😆

            Ответить

          2. Armat :

            Возможно Александр напишет статью, с сопровождающей символикой. Тогда точно будет думать каким образом прокомментировать, и с чего начинать разбираться. Тут одна фантазия не поможет, однозначно! 🙂

            Ответить

      2. Роман :

        Я с помощью гуру ковырялся в коде, в том числе в файлах удалял версию ворпресс, чтоб не видно было ))) да и много чего еще.

        Плагин поставил, настроил, все равно пригодится. Хотя вся эта защита относительна, против большинства хакеров выстоит, но не против профи.

        Остается надеяться, что им будет не до наших блогов )))

        Ответить

        1. Alex :

          Кажется именно об этом Александр и писал, про одну десятую процента, которых лучше не злить 😈

          Видел не однократно, как падали довольно авторитетные ресурсы, то ли от взлома, то ли от DDos-атак. Страшная вещь, скажу я вам 👿

          Ответить

        2. Александр Попов :

          Роман, я все еще могу зайти к вам на форму входа в админку через /wp-login.php

          Не то, чтобы мне это зачем-то надо, но факт есть факт :mrgreen:

          Ответить

          1. Роман :

            Да, заходите )) мне не жалко. ресурс не не раскручен, и думаю, что он мало кому нужен. Да в принципе он и мне не нужен, так как есть много ошибок, отнимает время и деньги )) Поэтому расстраиваться нет смысла.

            Ответить

          2. Александр Попов :

            Жаль, идея блога хорошая 😕

            Ответить

          3. Alex :

            Да, Роман, блог у вас и мне нравится, при хорошем подходе он мог бы стать очень популярным.

            Ответить

          4. Роман :

            Может быть, но не продуманная вообще )) Зато уже есть некоторый опыт, просто я не с того начал.

            Первым делом для новичков нужно думать о дополнительном доходе и подумать сколько времени будешь уделять блогу (тем более, как говорит Алекс, чтобы он стал популярным).

            Пожалуй, с заработка я и начну )) Есть две идеи, со временем, возможно, я вернусь в блоггинг

            Ответить

          5. Alex :

            Тогда удачи вам в ваших начинаниях, верю, что у вас все получится 😉

            Ответить

  2. Инна :

    Очень понравился стиль изложения статьи, просто супер!!! Помимо того, что в статье дана качественная техническая информация(как впрочем и всегда), ещё и очень легко читается из-за интересного стиля подачи информации. Ещё будут подобного плана статьи???

    Ответить

    1. Александр Попов :

      А то 😉 По возможности буду отходить от официального стиля изложения, если тематика будет позволять и фантазии хватит. А так мне тоже понравился результат. За поощрение благодарю 🙂

      Ответить

      1. Alex :

        Да, стиль отличный и притча веселая 😈 Не думаю, конечно, что ребят, которые обладают навыками взлома, волнуют вопросы морали. Им скорее хочется «наломать» побольше, и на Канары 🙂 Хотя кто знает, есть много причин стать «на путь праведный» 😆

        Ответить

        1. Роман :

          Александр, это один из способов защиты или есть также еще — по плагинам, правильный шаблон или еще какие нибудь подобные варианты?

          Что может дополнительно защитить сайт? А если через него проводятся финансовые операции, что может помочь предотвратить кражу денег?

          Ответить

          1. Александр Попов :

            Этот плагин защищает блог на WordPress от взлома. Помимо этого можно защититься от спама (Invisible Captcha, думаю знаете), еще от вирусов.

            Вирусы вам обычные посетители не занесут, если конечно у вас на сайте не предусмотрена загрузка в него файлов со стороны. Для сканирования вирусов есть специальные плагины, но они лишь могут проявить наличие вирусов, а их удалением занимаетесь вы вручную. Сам я это делать пока не умею, работа емкая в плане знаний.

            Что касается вашего вопроса о финансовых операциях, то в основном ваш сайт, каким бы он ни был, не будет проводить эти операции напрямую, а необходимо будет подключить платежные системы — QIWI, WM, Я.Д и прочие, с которыми вы тоже хорошо знакомы. И уже любая операция по оплате/выплате будет проходить через них. Там кражи не произойдет, защита там что надо, а если вдруг и случится инцидент, ответственность будет на них, а не на вас.

            Ответить

  3. Armat :

    О неординарном подхода к написанию статей, заметил еще в обзоре. Но и характер более углубленный, нежели просто трактовка. Скрашивает сложность технических моментов, показывая плюсы необходимого действия! Авторы на высоте ! 🙂

    Ответить

    1. Роман :

      У меня установлена версия плагина 4.0/

      Что то не все функции нашел, может быть плохо смотрел.

      Жду статьи о ставках на спорт.

      Ответить

      1. Александр Попов :

        Рекомендую установить плагин из поиска по плагинам и не обновлять, так и язык сохранится и функционал.

        Ответить

        1. Роман :

          Все так и было сделано )) Но это не так важно, все основные настройки были выставлены.

          Спасибо за своевременную инфу!

          Ответить

          1. Александр Попов :

            К вашим услугам 😉

            Ответить

  4. Артём :

    Придержываясь всех этих пунктов я обезопасил свой сайт от взлома мошенников, спасибо вам за полезную информацию ! 😎

    Ответить

  5. Инна :

    но это же вы не полностью стопроцентно обезопасили блог? я имею ввиду ,что лазейки всё же есть? возможно я не знаю их, но опытные хакеры то где угодно найдут уязвимость! ❗

    Ответить

    1. Александр Попов :

      Ну я же упопянул про одну десятую процента 😉

      Ответить

  6. Armat :

    Главное не запутаться самому в таком деле как защита блога! Изучить и применить с толком, все же информация как нельзя кстати преподнесена. Что сделано своевременно, всегда принесет пользу в будущем, учитывая продолжения данной темы! 🙂

    Ответить

  7. Артём :

    Да как не крути но без правильных настроек по безопасности своего интернет проекта нам не обойтись, кроме того как и без всех остальных плагинов для платформы WordPress.

    Ответить

  8. Armat :

    Платформа WordPress всегда удивляет как совершенством, так и сюрпризами, но учиться безопасности так и функционалу данной СМС приходится всем постоянно. 🙂

    Ответить

  9. Александр :

    У меня пару сайтов и на обоих сайтах постоянно кто то бомбил админку. У меня стоит плагин Login Lock, он блокирует айпи адрес если были три раза введены не верные данные. Ну там можно настраивать его. Можно увеличить или уменьшить количество попыток. Слишком мало тоже опасно. Можно самого себя забанить. А вот совсем недавно посмотрел один курс по защите блога, и сделал пару фишек. На своём я сделал двойную аутентификацию в админку блога. Теперь, чтобы пропасть только попасть к админ нужно ввести логин и пароль. А потом ещё и в админ панели придётся вводить. После того как я это сделал, теперь оповещения мне не приходят, что были заблокированы какие то айпи адреса, и это меня очень радует.

    Ответить

    1. Armat :

      Вот действительно кому то делать нечего, что за команда такая образовалась. Говорят что Chap Secure Login plugin тоже не плох в шифровке пароля от таких ребят.

      Стоит отметить совет о резервном копировании, действия, которые должны быть приоритетными в первую очередь!

      🙂

      Ответить

  10. eun :

    У меня взламывали на первом моём хостинге, где стартовал в прошлом веке и первый аккаунт в твиттере...

    Плюс несколько хостингов отказывались продолжать размещать мой сайт — предполагаю после взломов. Как говорится: «Есть клиент — есть проблема. Нет клиента — нет проблемы».

    За притчу спасибо, а советы по WP — это не мой случай...

    Ответить

    1. Armat :

      А чем аккаунт твиттера приглянулся, не понимаю, что там может быть кроме постов кричащих сами за себя...

      Ну а хостингов сейчас пруд пруди, так что выбор только за клиентом, что предпочесть.

      Потом здесь представился случай взять на вооружение полезные советы...

      Ответить

  11. eun :

    Хостингов много, но непонятно какие из них самые надёжные.

    Ответить

    1. Armat :

      Это верно, например тайм веб стал менее популярным, так как служба поддержки реагирует не совсем быстро.

      Авторы рекомендую в одной статье мак хост, и данный ресурс с ним партнеры, присмотритесь...

      Ответить

Прежде, чем оставлять комментарии, ознакомьтесь с Правилами комментирования

Добавить комментарий

;-) :| :x :twisted: :smile: :shock: :sad: :roll: :razz: :oops: :o :mrgreen: :lol: :idea: :grin: :evil: :cry: :cool: :arrow: :???: :?: :!: