Приветствую, Всех, кто зашёл на Sozdaiblog.ru!
Пришло время, поговорить про то, как защитить блог от взлома. Ведь блог, это тот же дом или квартира, в которой Вы проводите большую часть своего времени. И блог, он, как и жилище нуждается в охране и защите от злоумышленников.
Защита WordPress блога или сайта заключается не в установке замков и засовов, а в установке специального плагина, под названием – «Login LockDown».
Как защитить блог от взлома при помощи плагина – «Login LockDown».
Для того чтобы обеспечить безопасность WordPress, скачиваем плагин по ссылке и устанавливаем привычным для Вас способом.
Если, кто не знает, как устанавливать плагины, рекомендую прочитать статью – «Как установить плагин WordPress».
После установки и активации плагина, заходим в админку Вашего ресурса => Настройки => Login LockDown:
Вы попадаете в настройки плагина.
Выглядят они вот так:
- Max Login Retries – Максимальное количество ввода логина.
- Retry Time Period Restriction (minutes) – Ограничения по времени, между вводами.
- Lockout Invalid Usernames? – Ограничения по времени, на возобновление попыток ввода.
- Mask Login Errors? – Спрятать подсказки ошибок.
Устанавливаете, как кому нравиться!
Принцип работы плагина.
Все видели и знают форму входа в WordPress, если подзабыли, вот скриншот:
Это своеобразная дверь, в ваш виртуальный дом. Установленный нами плагин, будет её охранять, не давая злоумышленникам посягнуть на безопасность WordPress.
Чтобы никто не пробрался, наш сторож будет ограничивать попытки ввода логина и пароля. Так же, он будет ограничивать время между вводами.
Ну, а чтобы никто не сомневался в его присутствии, о нём будет напоминать маленькая строка:
Теперь, Вы знаете, как защитить блог от взлома и можете спать спокойно.
На этом, первая часть по защите WordPress закончена. В ближайшее время мы вернёмся к этой теме и рассмотрим другие способы безопасности. Чтобы их не пропустить, подписывайтесь на обновление блога и следите за выходом новых постов.
Если Вы, только собираетесь создать блог или сайт, то настоятельно рекомендую начать свой путь с изучения вот этих статей:
Думаю, пока достаточно.
С уважением, Денис Черников!
- Аутсорсить это простыми словами
-
Говноблоггеры наступают!
- Срм система это простыми
-
Значение частоты запроса в интернет-маркетинге
- Цена это кратко простыми словами
-
Введение в миграции на платформе WordPress
-
Как выбрать тему для блога: 9 шагов
- Амбассадор что это означает простыми словами
-
Как провести анализ ситуации и привлечь клиентов?
- Кастомизация это простыми словами
Вот эта тема! Все так просто. Спасибо. Установлю себе.Мы как всегда думаем, что блог в безопасности. А во и нет. О безопасности блога стоит заботиться в первую очередь
Вот, Нина Ваш первый пряник! Приходите, будут ещё!:)
но этот плагин уже опасен. Я прошла по Вашей ссылке,чтобы скачать, думала,у Вас получше,так как после сканирования обнаружились вирусы в моей установке плагина, и я его удалила.Но пройдя по ссылке: скачать, вот ответ:
This plugin hasn't been updated in over 2 years. It may no longer be maintained or supported and may have compatibility issues when used with more recent versions of WordPress.
И где же взять корректный плагин для зашиты?
На момент написания статьи, такого ответа не было!
В интернете поищите аналог!
Наталия, а через админку Вы его не искали «плагины» — «добавить новый», если уж он Вам необходим. Там точно вся информация актуальная, описание, совместимость с версиями wp указана.
Спасибо за ответы! Я по совету Надежды установила Simple loginLock Down.Вроде было 5 звездочек. Но перед входом в Админку не видно,что такой плагин защищает вход, как было у старого.
Login LockDown исправно работает, хоть и не обновляется третий год. У меня уже несколько дней как на хостинге возросла нагрузка на сайт, писал в поддержку — отвечают что нужно оптимизировать скрипты, вобщем политика у Джино обычная — отписки для создания видимости работы.
Проверил логи обращений к сайту, а там куча запросов к POST /wp-login.php , каждые 6 секунд. То есть идёт автоматический подбор пароля и все с одного IP 188.143.235.59
Установил плагин Login LockDown, так он моментально занёс данный IP в заблокированные. Через 60 минут правда сам разблокировал, но в течение нескольких секунд снова занёс т.к. подбор идет непрерывно. Я увеличил время блокировки до 600 минут, пускай трудятся. ))
Код самого плагина подредактировал, теперь чужому человеку даже незаметно что он установлен.
Как бы ещё доступ определённым IP закрыть полностью навсегда?
Если у человека IP «Денамический» то навсегда закрыть не получится. Получится лишь прекрыть до следующей перезагрузки компьютера.
Да я согласен блокировать каждый раз после его перезагрузки, когда нибудь надоест перезагружаться. ))
Таким людям не надоедает, у них есть терпение и выдержка.
То есть повышенную нагрузку на сайт от его запросов каждые 6 секунд я никак не уберу?
С помощью специальных программ при желании можно подменивать IP, да и Вы сами друг друга замучаете. Он будет постоянно перезагружаться, а Вы новые адреса блокировать.
Спасибо огромное за такой полезный плагин! Это же великолепно, когда есть пути защиты своего драгоценного блога! Ведь в него мы вкладываем столько сил и любви. И очень обидно, когда все летит прахом из-за каких-то очень «вредных» и нездоровых на голову людей. Но бывает и такое. Так что подстраховка никогда не помешает. Спасибо!
Всегда пожалуйста, Светлана! Это ещё не конец, есть ещё способы защиты, но о них в ближайших статьях!;)
Интересна статистика взломов сайтов на вордпресс? Часто нет хакеры достигают успеха?
Достигают! Весной была массовая атака хакеров! Причём из-за границы!
Денис, замечательная статья! У меня установлен Login Lock. Сергей спрашивает статистику взломов, ее наверное невозможно подсчитать, насколько хакеры добиваются успеха. Хорошо помню, как после установки плагина защиты, на меня буквально обрушились атаки хакеров. Что я сделала? Я установила блокировку айпи на 2 часа, усилила пароль входа в админку, поставила 5 попыток входа за ТРИ МИНУТЫ. пусть пробуют, ЕСЛИ УСПЕЮТ. Данные своих наблюдений удалила, где-то порядка 275 раз за неделю пытались взломать админку, на многих форумах нашла сообщения, как люди потеряли свои блоги. Сейчас мой сложный пароль состоит из 25 символов, переведу блокировку айпи на три часа, за неделю — на сегодняшний день 65 попыток войти в мою админку. Первое время я пробивала айпишники, находила их сайты, писала письма в администрации хостингов с просьбой успокоить умных, но бесполезно — трата собственного времени. Одно время утихли, сейчас опять шнырят со своими попытками. Непонятно, какое удовольствие имеют люди допустим с моего блога. Я ведь все. что знаю и умею — выкладываю на блог статьи. Допускаю, ЕСЛИ оторвут мой блог — у меня копия сайта — я его восстановлю. Всего — навсего. Все статьи проиндексированы и в гугле и в яндексе. Испортить блоггерам настроение могут, а дальше что? Лично я не вижу смысла в их действиях. У одного блоггера читала статью про защиту блога: ПАРОЛЬ ИЗ 50 СИМВОЛОВ И НЕТ ПЛАГИНА ЗАЩИТЫ — его выбор.
Здравствуйте, Надежда! Рад, что статья Вам понравилась! Я думаю, что им не нужен наш контент и всё остальное наше имущество! Во-первых, они просто оттачивают свои навыки во взломах, красуясь друг перед другом кто круче и чей блог взломал.
Во-вторых, это делается специально! Послушайте меня:
Наши блоги, посещаемы больше, чем просто сайты в которых информация редко обновляется, поэтому у нас постоянно находятся люди! Хакеры, взломав приличный блог, ставят специального трояна, который всем пришедшим читателям рассылает различного рода спам. Тем самым они могут просто зарабатывать! Сломают Ваш блог, поставят какой-нибудь троянчик и будут слать рекламу всяк входящему!
Думаю, Вы уловили message!
А мы уважаем своих читателей и не позволим хакерам им навредить, используя наши блоги!:)
Спасибо за нужный плагин для WP!
Пожалуйста! Заходите!
Очень важная и нужная тема!
К сожалению, когда я сказала про этот плагин одной своей знакомой, у нее часто взламывают сайт — хостинг на виртуальном сервере, он более подвержен атакам, она сказала, что плагин этот у нее стоит, и сайт взламывают несмотря на него
Поэтому еще пара советов:
Все знают, но тем не менее: придумайте пароль посложнее, не надо писать дату рождения свою или близких, имя и фамилию на латинице и т.д.
Не сохраняйте пароли в браузере. Да, так удобнее, не надо каждый раз при входе в админку терять время, вводить пароль. Но есть специальные программы-вирусы, позволяющие злоумышленникам узнать все Ваши пароли, хранящиеся в браузере. А если Ваш пароль известен, то и Login LockDown не поможет.
При установке вордпресс в конфигурационном файле «wp-config.php», в том, где Вы прописывали название и пароль своей базы данных, в строчках №45-52 вместо строк «впишитe сюда уникaльную фразу» впишите произвольный набор цифр и букв (просто беспорядочно постучите пальцами по клавиатуре, сделайте эти строчки подлиннее, не бойтесь, запоминать их Вам не придется;) )
Не устанавливайте имя администратора блога admin (оно стоит по умолчанию)! Не упрощайте взлом Вашего сайта! Так взломщику придется только подобрать пароль, ведь имя пользователя он уже знает. А подбирать комбинацию имя+пароль намного сложнее! Если у Вас все же стоит admin в имени пользователя, обязательно поменяйте его на что-нибудь не совсем предсказуемое
В некоторых темах вордпресс рядом с датой публикации статьи стоит ссылка на автора поста — и вот там тоже можно узнать имя пользователя… Тут надо лезть в код темы, искать файл, отвечающий за вывод этой строки, и удалять ссылку (имя автора можно оставить) — вот с этим я намучалась!
Не забывайте делать резервные копии сайта (для этого есть специальные плагины, они разные с разными возможностями, поэтому не буду их называть, с их помощью можно настроить автосохранение и забыть об этом)
Это самые простые советы, но возможно, начинающим блогерам они пригодятся. На самом деле, тема эта довольно непростая, и еще есть много возможностей для защиты: изменение файла .htaccess, прав доступа к файлам и т.д.
Кстати, надпись «Login form protected by Login LockDow» из плагина, наоборот, можно удалить, чтобы не раскрывать взломщикам свои карты и не упрощать взлом
На конкурс
Привет, Юлия! Вы очень хорошо подготовлены, к атаке злых хакеров! Прям не знаю, писать ещё пост или нет, по защите блога, Вы всё в комментарии рассказали!:)
Нет, я только начала готовиться Но времени на это потратила много, это да… Защита блога — очень серьезная и большая тема, тут не на пост, а на целую рубрику еще хватит, я только дала советы совсем еще начинающим блогерам
Вы молодец, Юлия! Полезные советы, ещё ни кому не повредили!;)
Неужели и пароли в браузере сохранять нельзя.Это вообще жестоко-))Так привыкла к такому удобному качеству…
кому нужно взломать смогут всё, а так, если сильно на этом заморачиваться можно и блог не вести! Просто делайте бэкапы почаще, даже если блог взломают и испортят, то вы всегда сможете его восстановить из резервной копии!
На счёт сохранения паролей в браузере я ещё перед покупкой компа думал о безопасности. Поэтому купил б/у, чтобы потом не жалко было старую винду сносить (да винт сам потом посыпался), после на новый установил Ubuntu linux. Там вирусы не живут, ведь если аппарат для дела, то можно не полениться и линукс освоить. Специфика работы антивирусов такова, что пока новый вирус попадёт в базу антивируса, ему удастся заразить наверное не один десяток машин. Теперь забыл и про сканирование, и дефрагментация не требуется, всё-ж экономия времени и нервов. Правда были зависания такие, что монитор гас — выключил питание и запустил заново, и опять всё летает. Это конструктор сайтов на reg.ru что-то там учудил, когда нажал правую кнопку мыши. А если уж без винды никак, то либо виртуалка, либо кардинально на отдельный винчестер. Мутное дело эти конструктора.
Плагин очень хороший, но он не работает с такими плагинами как uLogin и Loginza
так как после авторизации через соц.сеть не открывает консоль и сообщает что нет прав доступа. Интересно без нарушения безопасности можно ли это обойти?
Не вижу смысла в перечисленных Вами плагинах!
Хочу поделиться информацией: еще два плагина для защиты блога на WordPress:Wordfence и Better WP Security, объединяет все хорошее вышеупомянутого плагина плюс еще масса полезных функций…
Спасибо, за информацию!
Денис,Добрый день!
Ты молодец,у тебя столько фишек на сайте.
У меня такой вопрос.
Я новичок. Блоги у меня только на бесплатных сервисах.Но в плане разумеется и блог на платном хостинге. Но сейчас у меня вопрос по бесплатным серваисам. Ведь там плагин такой не поставишь. И кто нас там защищает?
Еще о взломе. Почему то сейчас много слышу,не пользуйтесь почтой от mail . Не открывайте кошельки с контактами mail. Ты что нибудь можешь об этом рассказать?
Спасибо, Наталья!
У меня был раньше бесплатный блог на Гугловском детище. Я сомневаюсь, что там есть хоть какая нибудь защита. Там вообще могут в любое время всё свернуть в одностороннем порядке и всё, Ваш блог канет в лету. При чём ни кому ни чего не предъявишь, это ведь бесплатный сервис! Если Вы хотите делать бизнес в интернете, то бесплатные платформы Вам нужно избегать.
Что касается почты, то уязвимости есть везде. Недавно один русский специалист ломанул Mozilla Firefox. Так ему ещё буржуи 30 000 бакинских дали и к себе на работу завербовали.
Пользоваться можно любой почтой с этим вообще проблем нет, почтовые ящики сейчас все между собой контактируют, выбирайте любой. По мне mail не очень. Я пользуюсь почтой Яндекса, но у меня зарегистрированы все самые известные ящики, просто для оперативных действий.
На счёт каких-то кошельков, ничего не слышал, просто вообще не нужно быть лопухом по жизни, стараться думать о возможных последствиях, продумывать и анализировать каждое своё действие.
Мой блог взламывали со стороны сервера. Решила после чистки переехать. Ставят редиректор, и пользователи из поиска попадают на нужную взломщикам страницу, порно или фишинговый сайт. Пик хакерской атаки приходится где-то на сентябрь прошлого года, по данным яндекса, но что-то я сомневаюсь, что они утихают.
Они не утихаю, просто замолкают на время набираясь знаний. Конечно с порнухой это жесть, очень не приятно! Сочувствую Вам Надежда!
Денис, срочно нужна консультация. Читаю у Борисова как защитить сайт, там уже он отказался от этих плагинов и море написал как прописывать разные коды непонятно то ли в самой админке сайта, то ли на хостинге. Где «корень блога» находится? И много в комментах пишут, что этот плагин только для новичков хакеров, все профи хакеры обойдут и этот плагин.
Денис, я бы задала вопрос Борисову, но у него привычка отвечать на комменты избранных или в одном комментарии сразу на многих пользователей, а читать по 100-200 комментов уже сил нет.
Подскажи, что лучше сделать и я пойду дальше проверять сайт на ошибки.
Что Вам ответить Светлана,кому нужно взломать Ваш сайт они его взломают.А каждый день трястись над ним тоже не дело. Будет сайт крутой, наймёте крутых специалистов по защите, а пока мы с Вами титьки тараканьи, смысл бегать от сайта к сайту выискивая защиту. Одни одно пишут, другие другое, а завтра напишут третье. Делайте чаще бэкапы, это лучшая защита. Блог взломают, испортят, а Вы его опять из резерва восстановите и будите дальше работать. Поэтому, хватит ерундой заниматься!
Денис, подскажи, с чем это связано. У меня на 7-яфеличите, когда нажимаешь архив, то выходит 5 дублей одной статьи, нажимаешь на предыдущие — выходит другая статья но также в 5 экземплярах. Что это?
А Вы вспомните, какие изменения вносили, до этого. Может плагин какой поставили или в код куда залезли.
Денис, я снова переустановила тему, архив тот же. Это значит тему поменять, раз повторы идут?
Для начала попробуйте с темой, другую выберите для эксперимента и посмотрите, будет там такое или нет!
Денис, а Вы думаете, что взлом только через панель администратора? А со стороны сервера как защититься? Пережила сегодня некий стресс по поводу взлома. Исправила. Теперь ищу способ для укрепления.
Да нет, я так не думаю, могут подломить откуда угодно.
Со стороны сервера многие защищаются через файл — .htaccess!
Это темы будущих моих статей.
Прекрасно! Буду ждать! К Вам дорожка проторена.
Хорошо, постараюсь фонарики развесить!)
Денис, помогите мне балде ивановне, больше никак себя не назовешь. Ну сроду никогда не залазила в код, а тут на тебе захотела выпендриться и на конкурс статью написать. Выпендрилась, мать…Что теперь с сайтом делать? Вроде установила двидок, все стала писать, а он мне какой то дурдом пишет — мою опубликованную статью заносит в комментарии другого сайта. Я повешусь от 2 дней бесполезных действий…
Помогите, хотя бы зайдите на сайт, как у вас открывается или нет статья.
Всё открывается! Что значит — мою опубликованную статью заносит в комментарии другого сайта?
Светлана, сделайте наконец верхнее меню ровно по голубой полосочке!
Денис, сделала бы, если бы знала как.
Объясняю про занос статьи — я ее написала, опубликовала, внесла анонсом во все соцсети — и мне на почту приходит письмо о комменте с другого сайта, открываю, а там — моя статья с этого сайта как мое комментирование на статью о признание кубка старта. Может ли это связано с тем, что в самой статье я делала закрытую ссылку на школу Старт и на свой сайт именно ту статью про признание кубка?
Возможно, я что то намудрила на хостинге или с комментами, но проверить не могу. Может вы что-нибудь нацарапаете в комменте, чтоб я увидела куда ушел комментарий?
Эх, Светлана! Твой коммент называется — трэкбэк!Который при публикации новых статей возвращает тебе кусочек анонса назад в виде комментария или спама!
Денис, мне с хостинга письмо наконец пришло о восстановлении резервной копии, скажи, если мне ставят резервную копию, то мой бэкап вообще не сохраняется? Или я уже и так все правильно сделала?
Имею в виду бэкап в резервной копии?
Я понял, вроде!
Смотря, как ты бэкапилась, если файлы на компьютер закачивала, то почему пропадают, нет из них можно тоже восстановить, если они делают, то всё у них!
Если всё работает, значит правильно!
Я не знаю, какой должен быть бэкап. Но у меня только из моего бэкапа сохранились только статьи. Фотографии, плагины, виджеты, кодировка в комментарии не сохранились. Так должно быть?
Нет, такого быть не должно!Светлана, Вы бэкапы, как делаете?
Денис, не укоряйте в понятиях — я темный лес. Трекбэк — это нормально?
А бэкап делаю как говорили — в админке инструменты-экспорт-все содержимо-скачать.
А потом закачала в инструментах-импорт-вордпресс по моему и закачала с компьютера сохраненную версию.
Я не укоряю, просто немного журю! Трэкбэк, это нормально, но честно меня он бесит, я его отключил! Зачем, мне комментарии на самого себя!
Воткните этот код в functions.php:
function disable_self_ping ( &$links ){
$site_url = get_option ( 'home' );
foreach ( $links as $key => $val )
if ( strpos ( $val, $site_url ) !== false ) unset ($links[$key]);
}
add_action ( 'pre_ping', 'disable_self_ping' );
Только, аккуратно в самом конце. И этого не должно повториться!
Денис, я понимаю, что с вашей стороны это не укор, но я сама за эти 2 дня сама мозг вынесла и до сих пор выношу. Этот трекбек у меня впервые вылез, раньше не было такого.
Постараюсь код поставить, но чуть позже. Сейчас комментирование со словарем переделывала на русский.
Пойду спать. Таким темпом может английский выучу.
Спасибо, Денис, я без вас пропаду, ей богу, вы единственный блоггер, кто отвечает на комменты, другие же или отвечают выборочно, или через несколько дней.
Спасибо!!!
Не за что! Спокойной ночи!
в сети можно найти информацию что сей логин с какой-то версии вордпресс больше не нужен.
Не понял, Алексей! Можно подробнее!
Привет! На версии 3.5. этот плагин глючит, во всяком случае у меня он оказался не совместим.
У меня не глючит!
Денис, добрый вечер! И вновь пишу Вам, и прошу помощи в защите блога. Я просмотрела Ваш сайт и не нашла статью как можно убрать ссылку « Войти» на главной странице сайта. Получается, что в админ панель можно зайти и на главной странице сайта. Весь интернет уже перечитала, никто об этом не пишет. Если Вы знаете, каким образом можно убрать такую ссылку с сайта – напишите об этом статью. Я думаю не только у меня такая проблема.
С уважением, Наталья
Здравствуйте, Наталья! Ни кто про это не пишет, потому-что нет проблем с этой ссылкой и она особо ни у кого не возникает. Зайдите в файл footer.php найдите и удалите её.
Денис, хочу поздравить Вас с праздником, пока еще день не кончился. Всего Вам самого доброго в жизни!
Спасибо, Надежда Вы успели!
Ваш знаменитый плагин-Это полное гавноедство.Можете конешно удалить мой камент но знайте, что все нормальные пользователи вордпресса со мной согласятся.Это плагин для нубской школоты.чтобы своими корявыми ручонками не гадили людям на сайтах и блогах.Любой блог угоняется на раз–два с помощью скрипта вложенного даже в этот самый комент.Я бы продемонстрировал вам уважаемый как это работает но не хочу потом слышать в свой адрес обидные слова.Да и сам я владелец блога.Вот потому и не хочу этим сейчас заниматься.Все таки должен существовать единый дух блоггера.И главное это нужно осознавать самому.Так что не так уж и хорош этот ваш плагин.По молодости я просто ради развлечения обходил такой плагин,гадил на блоге тех кто гадил спамом мой блог и заново возвращал пароли
этому владельцу блога.Самый хороший способ защиты-это живой человек нанятый вами следить за безопасностью вашего сайта.А вся остальная защита это от нубошколоты.Вы уж извините меня за прямоту речи.
Ну допустим, это не мой плагин, а энного разработчика плагинов. Удалять Ваш коммент я не буду, так как полностью с этим согласен. Но здесь дело не не в плагине, угнать можно и банковский сайт, лишь бы у правильного человека руки были бы под это заточены. Так как мы тут все нубы, как Вы заявили раз используем и защищаемся этим плагином, то как раз нам такая защита подходит. Вот когда вырастим до определённых высот, вот тогда то и наймём человечка следить за теми, кто там что-то обходит в защите. А пока довольствуемся тем, что есть. Думаю, что пока супер профи хакер не полезет на наши нубовские блоги, а там посмотрим. Нового Вы нам ничего не открыли.
Приветствую, Спасибо за то, что поделились этой полезной информацией! Защита блога от взлома – очень важный аспект, особенно если вы проводите много времени на своем ресурсе. Установка плагина “Login LockDown” кажется надежным и удобным способом обеспечить безопасность WordPress блога. Я обязательно попробую его установить и настроить в соответствии с вашими рекомендациями. Спасибо еще раз за подробное объяснение и за вашу статью о том, как установить плагин WordPress. Безопасность – это всегда приоритет!
Комментарий:
Приветствую! Спасибо за полезную информацию о защите блога от взлома. Не каждый знает об этом плагине, и я уверен, что он обязательно поможет повысить безопасность моего блога. Я с удовольствием установлю “Login LockDown” и проведу необходимые настройки. Спасибо еще раз за подсказку!