Наша взаимовыгодная связь https://banwar.org/
23.09.09
Більшість сайтів і блогів зламуються автоматично, тобто без прямої участі зломщика. Спеціальні скрипти і програми (віруси) знаходять уразливості в системах управління і скриптах сайту, підбирають прості паролі до облікових записів адміністратора, крадуть паролі за допомогою троянів і клавіатурних шпигунів. Звичайно, від все не убережешся, але якщо дотримуватися кількох простих правил, можна відсотків на 90 зменшити ймовірність злому свого блогу. після злому цього блогу я дуже дбаю про безпеку :).
1. Придумати або згенерувати унікальні складні паролі для різних сайтів.
Хороший пароль не повинен бути схожий на осмислене слово або словосполучення, в ньому повинні бути спецсимволи, цифри і букви різних регістрів. Такі паролі складно запам'ятати, тому їх краще записати на папері або використовувати для цього спеціальні програми, які зберігають паролі в зашифрованому вигляді.
2. Налаштувати програму зберігання паролів в зашифрованому вигляді.
Звичайно, паролі можна зберігати в блокноті на робочому столі. Дуже зручно, але дуже небезпечно. Рано чи пізно ваш комп'ютер підчепить якусь заразу і всі ваші паролі можуть стати надбанням громадськості.
У мене був такий файлик і я знаю, як важко позбутися звички зберігати паролі в одному місці у відкритому вигляді. Але в один прекрасний день, після 2-х діб виправлення наслідків зараження моїх сайтів злим вірусом по FTP, я витратив 3 години на установку і переписування оновлених паролів в спеціальну програму, яка зберігає паролі в зашифрованому вигляді. Заодно перестав зберігати паролі до ftp в Total Commander. Так, нудно і незручно, зате з тих пір мої Паролі не крали. Нервові клітини мені дуже вдячні.
Програм для зберігання зашифрованих паролів дуже багато, є платні, є безкоштовні. Не буду писати, якою програмою користуюся я - чим менше потенційні зломщики знають про вашу захисту, тим краще;).
3. Ніколи не зберігати паролі в браузерах, ftp-клієнтів, поштовика і т.п.
Якщо не полінуватися і поставити програму зберігання паролів, як описано в другому пункті статті, то зберігати паролі в браузерах і поштовика стане необов'язково. Це істотно підвищить безпеку, так як трояни дуже часто крадуть збережені паролі. А зберігання паролів до FTP-серверів в програмах типу Total Commander - взагалі подарунок для зломщика.
4. Оновлювати движок WordPress до останньої версії.
З цим начебто проблем немає, оновити WordPress можна парою кліків з адмінки, клікнувши на пропозиції оновити движок і вказавши пароль до свого ftp. Не лінуйтеся робити бекап перед оновленням. Рекомендую налаштувати плагін WordPress, який буде самостійно робити бекап бази даних і відправляти його на зазначений вами e-mail. Називається такий плагін WordPress Database Backup .
5. Встановити і налаштувати плагіни безпеки WordPress.
рекомендую плагіни Anti-XSS attack і WP Security Scan . Про те, що з себе представляють ці плагіни і як їх налаштувати, в інтернеті написано чимало, наприклад, тут . Я хочу лише нагадати, що їх потрібно встановити якомога швидше і не відкладати на потім.
6. облікового запису адміністратора за замовчуванням (admin) дати найнижчі права доступу (передплатник).
Багато скрипти злому блогів спрямовані на отримання пароля до облікового запису адміністратора WordPress, яка генерується за замовчуванням (admin). Не рекомендую використовувати цей обліковий запис для роботи з адмінкой свого блогу, краще зробити нового адміністратора зі складним паролем, а обліковий запис admin зробити передплатником. Тоді, навіть отримавши доступ до цього облікового запису, зломщик не отримає права адміністратора вашого блогу.
7. В папку wp-admin по ftp слід залити файл з ім'ям .htaccess, який буде обмежувати доступ по IP-адресою до адмінки блогу WordPress.
Вміст файлу .htaccess:
order deny, allow
deny from all
allow from 94.133.222.12
allow from 95.135.33.
Перші 2 рядки забороняють доступ до адмінки WordPress, яка знаходиться в папці wp-admin. Наступний рядок дозволяє доступ одному єдиному IP-адресою, а 4я рядок дозволяє доступ всіх адресах, які починаються з 95.135.33. Точка вкінці четвертого рядка стоїть не просто так. Файл .htaccess з параметрами доступу до адмінки потрібно заливати по ftp не в корінь сайту, а в папку wp-admin.
Якщо у вас стаціонарний IP або він змінюється в межах певного діапазону (маски), краще заборонити доступ до адмінки всім іншим адресами. Правильне положення шлагбаума - закритий. Як визначити свій IP я докладно розписав тут .
Читайте також: