Приветствую вас, дорогие читатели.

Как и обещал, пишу статью о защите блога от взлома. По правде говоря, следовало ее написать гораздо раньше, но что-то позабыл я об этом важном моменте. Мой прокол, признаю. Поэтому если ваш ресурс не взламывали, тогда вам повезло, так как теперь, после внедрения всех рекомендаций отсюда ваш блог не взломает 99.9% желающих это сделать, а оставшуюся одну десятую лучше не злить, ибо там даже вся защита интернета не поможет

Защита блога от взлома – легко и надежно!

Итак, прежде чем мы приступим, небольшой тест-притча. Представьте, что я взломщик , который хочет залезть в админку вашего сайта и набезобразничать там: сменить тексты, картинки, и т. д. Или же прописать в файл .htaccess редирект с любой вашей странички блога на специально заготовленную страничку, где большими буквами написано «Я тебя взломал, ха-ха-ха! Для снятия взлома шли на мой кошелек QIWI XXXXX рублей, и я, может быть, тебе верну твой сайт». А еще, могу просто не париться, сменить логин и пароль в админку и все, был ваш блог, стал мой

Итак, что мне для этого понадобится? Во-первых: страничка с формой для входа в админку. Недолго думая, я попробую перейти по адресу http://*ваш домен*/wp-login.php Если не получится, попробую еще http://*ваш домен*/wp-admin/ или http://*ваш домен*/wpadmin.html В большинстве случаев по одному из этих адресов я зайду к вам на страничку с формой входа, или здесь же любезно получу ссылку на эту самую страничку.

Откройте другой браузер и перейдите по одному из трех указанных адресов. Если у вас хотя бы по одной из них открылась форма входа в админку, то и у меня откроется, а значит я уже на пол пути ко взлому вашего блога.

Что я сделаю дальше? Дальше я включу свою программу подбора логина и пароля, которая у меня, конечно же, есть (я же профессиональный взломщик ). Зная еще одну глупость большинства блоггеров, я уже укажу наиболее вероятный логин для входа – «admin». Ну и мне останется лишь пароль, который моя программа выявит за время от пяти секунд до нескольких суток в зависимости от его сложности. То есть, это лишь вопрос времени, не более. А что, я же профессиональный взломщик, мне спешить некуда, запущу программу и пойду еще что-то взломаю

Рано или поздно моя чудо-программа найдет нужную комбинацию, и я зайду в вашу админку и набезобразничаю там так, как того требует мое эго профессионального взломщика.

Советы по защите блога

А теперь, давайте представим, что я жил своей жизнью взломщика, а потом сел и задумался о том, что ж я паразит такой, людей несчастными делаю, их труды многолетние забираю и порчу. И под чувством вины стану я помогать людям защититься от мне подобных, и стал думать, как можно мне же прошлому помешать зайти в вашу админку.

Во-первых, думаю я, нужно изменить адрес входа в админку. На такой, чтоб был он уникальный, сложный, и знал его только хозяин блога этого, или же тот, кто от хозяина благословение получил и с добрыми намерениями в админку эту входит.

Во-вторых, чтобы в 2 раза усложнить задачу себе прошлому, изменю я логин входа, и вместо простого и примитивного «admin» тоже поставлю сложный и уникальный, чтобы также знал его только хозяин блога да ближние его.

Ну и в третьих, дабы не дать программе взлома дело свое лихое сделать, установлю я дополнительные меры защиты, такие, как капча, бочонок меда и ограниченное число попыток входа. Ведь тот, кто с намерениями добрыми в админку зайдет, он и логин с паролем сразу верные назовет, и капчу как существо разумное отгадает, и мед трогать не будет, так как вовсе его не увидит, ибо не для него тот бочонок там стоит.

И вот, продумав хорошенько намерения свои добрые по помощи людям в защите от подобных мне, пойду я к старцу мудрому, WordPress’ом именуемому, дабы помог он мне реализовать все, что задумал я. Изложу я WordPress’у намерения свои, и даст он мне чудо-плагин: All in One WP Security.

All in One WP Security

Итак, если кто-то не понял мои изложения в былинной притче, расскажу короче и проще: для защиты блога от взлома я рекомендую использовать плагин All in One WP Security. Богатый и просто шикарный функционал этого плагина мы разберем по ходу его настройки.

Для начала, по традиции заходим в меню Плагины, жмем «добавить новый», вводим в поиск название и устанавливаем этот пятизвездочный плагин. И тут же активируем.

Теперь переходим в новое меню WP Security. В разных версиях плагина он у вас может установиться русским или английским, поэтому я буду писать надписи двумя вариантами. Для начала, переходим в подменю «Настройки»(«Settings»). Вверху перейдите во вкладку «WP мета-информация»(WP meta info) и там поставьте галочку. Это позволит удалить из файлов движка его версию, которую нужно знать при взломе.

Теперь идем в подменю «Администраторы» (User Accounts). Здесь вам покажет список логинов пользователей, которые имеют статус администратора. Если блог ведете только вы, то там и будете только вы – admin, который плагин сразу же вам выделит красным и предложит вам переименоваться, введя новый логин в поле ниже. После нажатия кнопки вас разлогинят и предложат авторизироваться, используя новый логин (пароль не изменится).

Далее идем в подменю «Авторизация» (User Login). Здесь ставим первую галочку и указываем число попыток ввода данных и ограничение по времени. Само оптимально так, как и было установлено – 3 и 5. Период блока IP изначально стоит 60 минут, можете изменить как вам хочется. Также, можно поставить галочку блокировать при первой же неверной попытке всех, кто не правильно укажет логин. Сами решайте, надо вам или нет, я поставил. Еще можно позволить плагину присылать вам на почту, которую вы укажете, уведомления о неверных авторизациях.

В меню «Регистрация пользователя» (User Registration) поставьте первую галочку об одобрении новых пользователей. Это не особо нужно, так как регистрации у вас на блоге нет (не должно быть!), но пусть будет на всякий случай.

Теперь, в меню «Защита базы данных» (Database Security) в первой вкладке убедитесь, что префикс вашей базы отличен от стандартного «wp_». Если у вас блог на хостинге МакХост, то там создаются свои префиксы баз и уже все норм. Если же у вас каким то образом префикс «wp_», то рекомендуется его сменить. ВАЖНО: если на вашем блоге уже написано много статей и контента, смена префикса может вызвать дополнительные проблемы, поэтому лучше не трогайте там ничего.

Здесь же зайдите во вкладку «Резервное копирование БД» (DB Backup). Вот здесь очень советую поставить галочку, установить периодичность создания копий 1 раз в день и поставить галочку внизу, чтобы копии баз плагин вам присылал на указанный email. Если ранее вы делали это с помощью плагина WordPress Database Backup или его аналога, то его можно отключить и удалить (что, как мы знаем, очень хорошо).

В подменю «Защита файловой системы» (Filesystem security) перейдите в третью вкладку «доступ к файлам WP» (WP File Access) и поставьте там галочку на блок доступа к файлам readme, license и wp-config-sample. Они тоже очень могут помочь взломщикам.

В подменю «Файрволл» (Firewall) рекомендую поставить только первую галочку в первой вкладке и больше ничего не трогать.

Ну и теперь самое интересное во вкладке «Защита от брутфорс-атак» (Brute Force). Здесь на первой же вкладке ставим галочку для смены страницы с формой входа и в поле ниже прописываем символы. Используйте длинную комбинацию, чередуя латинские буквы и цифры. Сразу запишите введенную комбинацию, а то и сами не войдете в свою админку.

Далее, в третьей вкладке «CAPTCHA на логин» (Login Captcha) поставьте первую галочку, которая добавит в форму авторизации математическую капчу.

Ну и во вкладке «Бочка с медом» (Honeypot) тоже ставим галочку. Это добавит еще одно поле в форму авторизации, но видеть его будет только робот/программа, поэтому заполнение этого поля автоматически блокирует IP робота.

В принципе на этом все, остальные подменю тоже содержат разыне функции защиты, но они либо приносят больше вреда, чем пользы, либо мне не известны, а потому рекомендовать их вам не могу. Самостоятельно изучать плагин «методом тыка» также не рекомендую, можете натворить делов похлеще взломщика В крайнем случае если интересна та или иная функция, то гугл, форумы и соц.сети вебмастеров и оптимизаторов вам в помощь.

Я же буду заканчивать. Самое основное по защите блога от взлома мы сделали, и этого хватит в 999 случаев из 1000, а потому «праведный я» могу спать спокойно, зная, что искупил свои грехи, защитив труды людей от «себя прошлого» и мне подобных

Как я уже говорил в статье о кросспостинге, мы подводим к концу активное пополнение темы «блоггинг», так как здесь уже описано все нужное, что вам следует знать и применить в создании и продвижении блога.

Кросспостинг: «Часть 1. Основы»

Рубрика: «Блоггинг»

Осталось  буквально 3-5 статей, и далее мы сосредоточимся на описании области ставок на спорт, инфобизнеса и других способах заработка в интернете (пару-тройку таких способов мы уже готовим и скоро анонсируем). И все же, если мы что-то узнаем новое по теме ведения блога, это тут же будет описано в очередной статье, поэтому раздел вовсе не умирает, а будет продолжать пополняться.

Желаю вам всем удачи, успехов и праведных путей  До скорой встречи!

С уважением, Александр Попов.