Поради щодо безпеки блогу на wordpress
Цікавий матеріал вийшов, деякі речі використовував. Також додатково користуюся плагінами AntiVirus і Secure WordPress
Я ось недавно встановила плагін Антивірус, але щось в ньому нічого не зрозумію, може, кініте якусь статтю в допомогу, як ним користуватися, а то все червоним-червоно, все якісь підозри на вірус у нього, але скільки Новомосковскла, він і потрібні файли може вірусом визнати ... Вірусу на сайті точно немає, недавно з зі службою ТП свого хостингу цю тему обговорювала .... Як би розібратися, а?
1. Почистити комп'ютер від вірусів, шпигунів та іншої лабудєнь.
2. Не лазити в І-неті під записом системного адміністратора.
3. Не ставити на машину ламаний або неперевіреної софт.
4. В ідеалі, слід використовувати для роботи в І-неті окрему (чисту) операційну систему (можна через виртуалку) або навіть окрему машину.
5. Використовувати найсвіжіший і надійний антивірус і грамотно налаштований міжмережевий екран. Це напевно аже першим пунктом потрібно ставити.
Ламають сайти трьома способами
а. найчастіше через машину адміна. Якщо адмін нехтує безпекою.
б. рідше через уразливість движка. Якщо движок популярний і адмін його не оновлюється. + Балується лівими плагінами.
б. ще через хостера. Але якщо хостер непрофесійний, то частіше. Оновлення серверів теж критичні.
У моєму випадку був пункт б, так як комп чистий по-любому, а хостер досить перевірений. Ну і вразливість у мене в шаблоні була.
Я б додав на рахунок пункту б - частіше ламають через уразливість плагінів і тим, а не движка. Модулі і теми ніхто не перевіряє, так як вони все не офіційні, тому фактично всі плагіни і теми ліві. Тому перш за все варто плагіни і теми перевірити, а точніше скрипти всякі в них.
Ну це не вірус був, а просто редирект. Перекидало на сайт, мовляв у вас опера застаріла, скачайте нову версію. І ось, якщо скачувати, і встановлюєш, ось тоді і вірус з'являється. Нещодавно купив планшет, і тепер постійно на такі сайти натикаюся, ну в сенсі з редирект. Так що будьте все обережніше!
Так, сам раніше теж про це не замислювався, а от довелося. Зробив би раніше, можливо не сидів би не розбирався з цими шкідливими кодами. Так що краще заздалегідь все по-максимуму зробити :)
Олег, я б ще додав до статті пункт про те, що необхідно раз на кілька днів робити бекап сайту і БД. Це дуже важливо, мій досвід показує, що більшість початківців блогерів лінуються налаштувати систему резервного копіювання, а потім отримують за це по повній.
Точно, Макс, це обов'язкова штука! Хоч вона безпосередньо і не має відношення до захисту. Я сам пам'ятаю перший рік лінувався, але потім почав робити бекапи. Власне, вони і допомогли мені знайти змінені файли.
Дякую за корисну інформацію. Взяв на озброєння.
Я, мабуть, щось недогоняю, все робив як описано в «Захистити папку wp-admin за допомогою .htaccess і .htpasswd», потім майже те ж саме знайшов як робити через Cpanel в Security / Password Protect Directories
При спробі залогінитися як зазвичай в адмінку викидає просто на сайт і виводить такий текст: Not Found
Apologies, but the page you requested could not be found. Perhaps searching will help.
Як і де цей новий пароль доступу до директорії вводиться?
Вітання!
Неправильно щось значить зробили. Пароль буде запитуватися при вході в адмінку, крім звичайного пароля.
А шлях до файлу .htpasswd правильно вказано? Просто крім цього більше не знаю, де можна було помилитися.
htpasswd пробував в різні папки кидати, шлях дізнавався за допомогою скрипта fullpath.php
Пароль значить повинен питатися відразу після введення звичайного? У мене цього не відбувається.
Через Cpanel теж саме, хоча там автоматично створює всі потрібні файли і шляхи до них прописує.
Так, відразу після звичайного. Хм, якщо через Cpanel така ж фігня, то може бути справа в налаштуваннях хостингу. Спробуйте написати в техпідтримку, по ідеї вони повинні допомогти.
На рахунок скрипта fullpath не скажу, я шлях просто сам знаю. Може бути скрипт неправильно працює?
Я і вручну пробував до цього. Гаразд, не судилося, потім розберуся.
Дякую за поради, дуже корисно, але сподіваюся, що мені не знадобиться. Але дуже страшно за свій сайт стає, особливо коли не знаєш, що робити з цим.
Ці поради не після того, як щось трапиться, а до. Якщо ви не зробите основного, то вам точно це стане в нагоді, відразу після того, як віруси вичистіть ...
А що це за файли? «Захистити файли .htaccess і wp-config.php» Для чого вони. Якщо можна в двох словах.
А яка різниця для чого вони. ) Повірте вони дуже важливі, в двох словах складно розповісти ... Файл .htaccess управляє всіма редирект, структурою посилань на сайті, найстрокамі сервера. А wp-config.php конфігураційний файл WordPress.
Можна і в двох словах.
Ці слова.
«Читайте керівництво!»
Заплутали мене ще більше. Гаразд, постараюся зробити як ви говорите, тільки мені це поки складно. Ритися у всіх цих директоріях та ін. Почну з плагінів. Дякуємо.
Якраз хотів перейти на движок вордпресс, шукав інформацію щодо його захисту! Спасибі за детальну інформацію, буду користуватися ...
Олег, спасибі за корисну інформацію :) Дещо вже є з перерахованого для захисту на сайті, а деякі речі виявилися вкрай корисними.
Величезне спасибі. відразу пішов міняти admin. І все ж для мене особисто залишається незрозумілим - ну кому потрібно витрачати свій час, ресурси, порушувати закон в кінці кінців, щоб зламати цей блог? або це хвороба?
Заради розваги, наприклад. Треба ж на чомусь тренуватися і вивчати як це робиться. І тут ще десь писали, що потім можуть постукати в аську і сказати, у вас вразливість, з вас 200 баксів і я скажу де вона ...
З вірусами і шпигунами не стикався, але тепер задумався. Мабуть не варто чекати біди, а попередити її. Хоча дуже важко перемогти український «авось».
Безвідповідальність, по іншому не можу назвати своє ставлення до безпеки блогу. Майже нічого з перерахованого у мене не зроблено. Хіба обов'язково потрібно дочекатися, щоб чогось сталося, і потім вживати заходів з порятунку?
Дякую за об'ємний список порад щодо захисту блогу. Починаю.
Що ж. Щодо авось це точно. Мені через це авось якось довелося інший движек ставити і все по новій починати.