Защита вашего блога на WordPress

Опубликовал: 5 лет назад Полезно знать!

Доброго времени суток дорогие друзья.

Это блог Виктора Доценко и сегодня мы поговорим о защите.

Вчера и сегодня в интернете началась активная Brute Force атака на сайты на движках WordPress и  Joomla. И мой хостер FairyHosting не стал исключением, но хорошо отбился от проклятых супостатов. Если вы до сих пор не защитили себя или попросту не знаете как это сделать — я поделюсь с вами методами защиты блога на WordPress. Описание метода в полной новости.

Атаки на WordPress и Joomla

Мой хостер вчера и сегодня буквально ложился от количества попыток взлома, но выдержал. На несколько минут блог был не доступен из за того, что я блокировал нападки «опытных» хакеров с их чудесным софтом. И так давайте с вами немного обезопасим себя и свой любимый бложик от нападения хакеров.

Для начала я советую вам делать постоянно бекапы вашего сайта. Это не сложно сливать, с вашего хостинг сервера. Я использую программу, Exiland Backup Free,которая по расписанию скачивает с моего ftp все файлы и складывает их аккуратненько в папку для Dropbox'a. А он в свою очередь смотрит о том, что появилась свеженькая база и синхронизирует с облаком. Таким образом у меня в трех местах мои бекапы. В случае сбоя или иного рода проблемы — я всегда смогу восстановить свои данные. И вам советую.

И так, мы скопировали все данные. Начинаем процесс защиты WordPress:

Для начала закроем с вами возможность хакеру наблюдать и ломиться к wp-login.php .

Переименовываем ваш оригинальный wp-login.php в любое другое имя. К примеру:  «nowp4321s4fdlogin.php».

Теперь заменим все слова — wp-login.php на новое созданное вами слово, в нашем случае — nowp4321s4fdlogin.php в двух файлах: 1) nowp4321s4fdlogin.php и в файле wp-includes/general-template.php

Последний шаг — ограничить доступ к файлу wp-login.php в .htaccess:

<Files wp-login.php>
Order Deny,Allow
Deny from all
</Files>

Эй! А почему к файлу wp-login.php? Мы же переименовали его!  Спросите вы.

Отвечаю:  Не опытный хакер использующий брут будет ломиться в wp-login.php и сервер будет возвращать ему 404 ошибку, а это очень тяжело для сервера, когда много запросов с 404 ошибкой. А если вы закроете доступ к несуществующему файлу — он будет получать: 403 - Forbidden! You don't have permission to access /wp-admin/ on this server и это намного лучше.

Можно так же просто закрыть доступ к файлу wp-login.php через проверку по IP. К файлу будет доступ только у указанного вами IP.

<Files wp-login.php>

order deny,allow

deny from all

allow from xxx.xxx.xxx.xxx

</Files>

Где xxx.xxx.xxx.xxx — ваш Ip. Можно указать несколько IP адресов через пробелы.  К примеру - allow from 111.111.111.111 222.222.222.222

Так же нужно защитить файл wp-config.php.  Так как он нам требуется очень редко или вообще не требуется закрываем доступ для всех в .htaccess

<Files wp-config.php>
Order Deny,Allow
Deny from all
</Files>

На этом все! Легкая защита обеспечена! Но не забывайте на каждую защиту — есть и более мощные средства нападения. Так что, постоянно думайте о безопасности. На этом все! Всего доброго!


Новая система комментариев
comments powered by HyperComments