Урок 67 Безопасность в WordPress

protect-wordpress

Добрый день, уважаемые читатели блога WPnew.ru! Сегодня мы увеличим безопасность в WordPress. Вордпресс итак неплохо защищен, но дополнительная безопасность нам не помешает.

Для начала закроем доступ к ненужным файлам. Наберите в браузере адрес, например, ваш_блог/wp-content и если, Вы видите белый экран, то все нормально:

Безопасность WordPress

Если у Вас вышел список файлов, то необходимо сделать следующие действия (если даже белый экран, лучше выполнить нижеперечисленные действия):

  1. Открыть файл .htaccess с помощью Notepad++. Он расположен в корне блога, вместе с папками wp-content, wp-admin и т.д.
  2. Напомню файл .htaccess мы изменяли пока только один раз, в 33-ом уроке. Он у меня выглядел следующим образом:
    htaccess
  3. И теперь в файл .htaccess добавляем следующий код:
    Options All –Indexes

    В результате .htaccess будет выглядеть вот так:

    <IfModule mod_rewrite.c>
    RewriteEngine On
    RewriteBase /
    RewriteCond %{REQUEST_FILENAME} !-f
    RewriteCond %{REQUEST_FILENAME} !-d
    RewriteRule . /index.php [L]
    </IfModule>
    
    Options All -Indexes
  4. Также настоятельно рекомендую (заставляю!) добавить в первую строчку следующий код:
    AddDefaultCharset UTF-8

    Это поможет Вам решить многие проблемы с неправильной кодировкой сайта. К примеру, плагин WP Comment Quicktags Plus будет отображать нормальный русский язык, а не крякозабры.

  5. Окончательно, файл .htaccess у меня выглядит следующим образом:
    AddDefaultCharset UTF-8
    
    <IfModule mod_rewrite.c>
    RewriteEngine On
    RewriteBase /
    RewriteCond %{REQUEST_FILENAME} !-f
    RewriteCond %{REQUEST_FILENAME} !-d
    RewriteRule . /index.php [L]
    </IfModule>
    
    Options All -Indexes
  6. Если кому-то лень копировать и все это вставлять, то предлагаю скачать уже готовый файл .htaccess и “засунуть” (скопировать) его в корень блога, в папку, где находятся wp-content и т.п.
  7. Теперь при открытии страницы ваш_блог/wp-content Вы точно должны увидеть белый экран.
[yandex]

Безопасность в WordPress с помощью плагина Login LockDown

Также Ваш блог могут взломать методом подбора пароля к блога. Если Вы поставили совсем легкий пароль, то взломщики с помощью специальных скриптов легко могут “проникнуть” на Ваш блог.

  1. Для начала нужно скачать плагин Login LockDown:
    Login LockDown
  2. Активируйте данный плагин.
  3. Все, плагин уже работает. Чтобы убедиться в этом, просто зайдите по адресу ваш_блог/wp-admin (если Вас “перебрасывает” в админку WordPress, просто нажмите на “Выход” в правом верхнем углу):
    Плагин Login LockDownПримечание: Вы должны увидеть следующее “Login form protected by Login LockDown.”
[yandex]

Настройка плагина безопасности Login LockDown

Чтобы попасть в настройки плагина, нужно перейти Админка WordPress –> Настройки –> Login LockDown:
Настройка Login LockDown1. Max Login Retries – максимальное количество попыток набора пароля.

2. Retry Time Period Restriction (minutes) – количество минут, за которые считается максимальное количество попыток набора пароля.

3. Lockout Length (minutes) – время блокировки.

То есть, если цифры останутся такими же, как и на картинке выше, то это означает следующее: если за 5 минут, пароль введен неправильно 3 раза подряд, то админка WordPress блокируется на 60 минут.

Настройки плагина Login LockDown я оставил по умолчанию, ничего не трогал, так как они меня полностью устраивают.

Пожалуй, на сегодня про безопасность в WordPress (Вордпрессе) все. До встречи на следующих уроках!

P.s. Не забывайте, свежие полезные уроки выходят каждый будний день, поэтому обязательно подпишитесь на RSS!

Удачи Вам!

С уважением, Пётр Александров.
Подпишитесь на бесплатные уроки

Понравился урок? Вы не хотите пропускать новые бесплатные уроки по созданию, раскрутке и монетизации блога? Тогда подпишитесь на RSS или на электронный ящик в форме выше и получайте новые уроки мгновенно! Также можете следить за мной в Twitter.

Добавить комментарий

Такой e-mail уже зарегистрирован. Воспользуйтесь формой входа или введите другой.

Вы ввели некорректные логин или пароль

Извините, для комментирования необходимо войти.

49 комментариев

по хронологии
по рейтингу сначала новые по хронологии
ahawks http://ahawks.ru/

Советы хорошие, Но на правах рекламы, мои первые успешные статьи были про безопасность блога, поэтому я тему стал расширять и уже на данный момент в моей сборке 42 совета по безопасности блога и около 25 рассмотренных плагина для безопасности, на этой недели в пятницу опубликую еще 8 советов и в итоге будет пол сотни полезных советов. Если интересна безопасность блога рекомендую почитать и у меня информацию про безопасность.

com http://www.nalbatron.com/

Login LockDown - это очень хороший плагин, но при этом нужно понимать, что если поставить слишком большое время и Вы ошиблись, то придется ждать то время, которое Вы установили.

Cooler http://best-road.ru

Хмм..я тоже писал статью про безопасность, даже две)) Советую надпись "Login form protected by Login LockDow" удалить из плагина, нечего показывать злоумышленникам, какие плагины у вас стоят, упрощаете взлом..

tom0rrow http://padh.ru

Заметил одну не мало важную вещь!... Счетчик LiveInternet - показывает числа=)... Скажу так, Петр - вы добились многое, если посещаемость выше 300 это уже круто, но сейчас только 14:37 по Украине.. Еще почти половина дня осталась.. Да и вечером больше народу заходит... Короче искренно вас поздравляю с таким количеством посетителей.

Автор
Пётр Александров

Спасибо большое. С общими силами я стараюсь достичь поставленной цели любой ценой...

Cooler http://best-road.ru

Петр, все работает, не волнуйся))

Автор
Пётр Александров

А до этого не работало 🙂

Андрей http://auditnorma.ru

Безопасность, важный вопрос! Хорошо, что ты напомнил!

nightlevit http://www.nightlevit.com

Да, хорошая статья. Установил этот плагин. И напился... попытался войти в блог, неверно набрал пароль. Так меня выкинули на полчаса или час. Все-таки потом вошел в свою админку. Протрезвел и все вспомнил.

К чему я это пишу? Блоггер всегда должен быть в хорошем настроении. Допустим, сегодня люди считают, что твой блог фуфло, но завтра они у тебя сами спросят совета по какой-либо теме )) Короче, респект и уважуха автору wpnew.ru ))

Наталья http://croatianlife.ru

Проделала первую часть (не смотря на то что у меня был белый экран), в итоге все перестало работать выдавая сообщение "ошибка сервера"

Вернула файл в прежний вид и все опять заработало.

В чем может быть проблема?

com http://www.nalbatron.com/

Что-то не так делали. Можно заново поставить, но при этом удалить тот плагин, который Вы устанавливали себе на блог.

Татьяна http://tatmaf.com

Очень интересный и полезный сайт ,я узнала много новых подробностей,о которых не говорят другие. Спасибо Вам большое буду держать ваш сайт под рукой и ждать новых статей.

Анастасия

У меня аналогично Наталье изначально (до добавления строки Options All -Indexes в файл .htaccess) был белый экран по адресу ваш_блог/wp-admin, а после добавления двух строк в файл вместо страниц сайта появлялся белый экран с ошибкой сервера. Когда вернула файл в прежнее состояние, все заработало.

Потом я добавила лишь верхнюю строчку с кодировкой AddDefaultCharset UTF-8 и обновила файл на сервере - всё работает.

Parfumer http://chromavideo.biz/content/index.php

При разработке и переносе блога с локального хостинга на реальный столкнулся с таким же багом. Прописал так как рекомендовано в статье и начало выдавать

"Ошибка 500. Внутренняя ошибка сервера"

Излечил способом вот перед этой строчкой поставил знак # и теперь запись в файле выглядит вот так

#Options All -Indexes

и все начало работать.

Использую хостинг jino.

chusika http://litetrip.ru

оу, спасибо и правда работает))

Александр http://alversch.ru/

Если хотите что-бы блог работал нормально, не надо не какие плагины ставить, без них работает все хорошо.

Один как-то поставил и из-за проблем с загрузкой блога пришлось убрать.

Возможно это было раньше, сейчас мне кажется это лишнем. Бывает по необходимости 1-2, ну и все.

Владислав http://fin-future.ru

Петр, у меня к Вам такой вопрос. Я скопировал рекомендуемый Вами файл htaccess и изменил там на данные своего блога. Проверил, все работает нормально. Однако я где-то прочитал, что сайт должен правильно показывать главную страницу при наборе всех 4 возможных адресов сайта. Я стал проверять и обнаружил у себя (и у Вас), что по адресу http://адрес_блога./ru/index.html выдается 404 ошибка. При этом по адресу www.адрес_блога./ru/index.html подобной ошибки нет - срабатывает главная страница. Я сам в этом не разбираюсь. Но может быть нужно что-то подправить?

Автор
Пётр Александров

К сожалению, я тоже в этом не силен. Я не "напрягался по этому вопросу". Вам лучше обратиться к тем, кто "Однако я где-то прочитал, что сайт должен правильно показывать главную страницу при наборе всех 4 возможных адресов сайта."

Владислав http://fin-future.ru

Неверно написал в первый раз. Ошибка происходит именно по полному адресу, но не с www, а по адресу http:// ____ /index.html

Александр http://alversch.ru/

Владислав, я не профи, на платную платформу перешел недавно, где-то проблема и не знаю где искать. Если подскажешь буду благодарен.

* Устанавливаю плагины (3-8 шт.), пока на блоге, работает нормально, ухожу, хочу зайти снова, выдает ошибку (описать трудно), что-то с адресами связано да. Потом только на хост, нахожу, удаляю плагины и потом опять работает все нормально. Одна странность, на бесплатном ( http://alversch.tw1.ru/) ставлю те-же плагины, там работает.

В какой стороне искать?

Спасибо.

Николай +Людота.ру+ Чеботарев http://ludota.ru

Поздравляю с Рождеством.

И маленький подарок от Яндекса.

По запросу "безопасность вордпресс" WPnew.ru заметно обогнал Шакина.

Только что заметил, удивился и порадовался за автора)))

Автор
Пётр Александров

И вас с Рождеством. Спасибо за внимательность,понравилось:)

Валера http://sayt-v.ru

А кто знает в чем прикол у одного провайдера-хостинга работает у другого нет lockdown-wp-admin Пишет ошибку к доступу админки.

Артур http://komputer-life.ru/

Надо вбить имя пользователя и пароль в wpconfig

Валера http://sayt-v.ru

Выяснил, подвохов нет надо просто было ждать 5-10 мин и плагин работает (lockdown-wp-admin) А вот еще как находят сайты и начинают их ковырять для тех кто не верит - inurl:.ru/wp-admin/post-new.php этот запрос появился на свежем вылеченном сайте от вирусов. И, что вы увидите,,,, это доступы к админкам. Теперь знайте

ее надо прятать обязательно.

Никита Рябин http://pro97.ru/

Всё это я уже нстроил. Блог защищён.

Мария http://vihra.ru

Петр подскажите, если сайт не wp, а самописный (делал знакомый, сейчас его нет).

Как можно защитить его. т.к. при просмотре кода видны ссылки на скрипты и пароли.

Как это все скрыть?

Автор
Пётр Александров

К сожалению, не знаю..

Елена http://violet-aroma.ru

Подскажите, пожалуйста! У меня в корневой папке нет файла ".htaccess". А при установке скачанного с урока файла, на сайте пропадают все картинки, сайдбары. В общем все кроме текста. Пробовала вставить файл ".htaccess" внутрь темы, чуть лучше, но сайт полностью нарушается. В чем может быть причина?

такая же проблема

Pirat Rodger

Елена я могу помочь Вам в вашей проблеме.

Pirat Rodger

После того как скачал ваш файл .htaccess, на моем сайте отвалился весь js. После открытия увидел сомнительные записи в конце:

Options All -Indexes

RewriteEngine on

RewriteCond %{HTTP_REFERER} !^$

RewriteCond %{HTTP_REFERER} !^http://(www\.)?wpnew.ru/.*$ [NC]

RewriteRule \.(gif|jpg|js|png|css)$ - [F]

RewriteCond %{HTTP_HOST} ^www\.wpnew\.ru$ [NC]

RewriteRule ^(.*)$ http://wpnew.ru/$1 [L,R=301]

А сомнительные они, потому что на Вашем скриншоте этих строк нет и часто проскальзывает слово wpnew.ru...

версия wordpress 3.4.2

Нельзя так, много времени потратил на поиск проблемы...

чувак спасибо тебе я сам только что заметил я думал блогу капец

Виталий http://mojwp.ru/

вместо wpnew ставите свой домен.

это стандартные настройки htaccess с дополнением хотлинка (чтобы картинки не тырили).

js полезть не мог, т.к. его тут не затрагивает, если только у вас не напутано с редиректами www и без них

Валера http://sayt.-v.ru

Виталик любой сайт хакернерну от 20 до 40 минут - дам посказку и программу и ты сможеш

Валера http://sayt.-v.ru

тема переходит в блуд. После февральской атаки я учил все так бысто на тот момент было уже 15 сатов, а безопасности ноль. Теперь готов помоч в этих вопросах. Стал профи.

Александр http://www.igrotechnics.ru

Заметил, что мои сайты (их три) начали тормозить, упала посещаемость. Выяснил, что кто-то ломится в админку, нагружая сервер. В htaccess ставил запрет на ip, с которых ломали. Но через несколько дней начинали ломиться уже с других ip.

Установил Login LockDown. Но ситуация та же. В связи с этим как понимать слова "если за 5 минут, пароль введен неправильно 3 раза подряд, то админка WordPress блокируется на 60 минут". По ходу, ничего не блокируется, с одного ip могут заходить на POST /wp-login.php HTTP/1.0" 200 3806 по несколько сот раз в день. (Хостер джино).

У кого была такая ситуация? Спасибо.

Валера http://blagoveshst.ru

limit-login-attempts попробуй этот, а если поставить еще better-wp-security (аккуратней с настройками) найди как его настроить и не лезь после 15 пункта

Александр http://www.igrotechnics.ru

Спасибо, а Login LockDow, почему не работает?

Валера http://blagoveshst.ru

lockdown-wp-admin этим можно спрятать вход в админку на 95% - на почему ответ

После взлома -плагин удалить и по новому поставить.

Степка http://bloggood.ru

если я поставлю дополнительно плагин Limit logins Attempts, как будет себя вести плагин Login LockDown, глюков не будет???

Здравствуйте.У меня такая проблема:я не могу выйти с сайта,приходиться закрывать браузер и только тогда я выхожу из своей учетной записи.Я где то читал что это может быть из-за файла .htaccess но поменял его на ваш и нечего не изменилось

Вы пытаетесь выйти с сайта ,,,,,,мой сайт.ru

Вы действительно хотите выйти?

Жму выйти но он все еще на этой станице

помогите пожалуйста

Автор
Пётр Александров http://wpnew.ru

Попробуйте на время выключить плагины и попробовать еще раз.

Дмитрий

Петь, подскажи пожалуйста! У меня на сайте регистрируются пользователи. Но формы регистрации на сайте нет! Есть форма подписки на новости, но в FeedBurner нет подписавшихся! Я конечно на 99,9% подозреваю, что это боты, но как они попадают в пользователи в wordpress ???? Пароль в админку сложный, буквы, цифры, символы, довольно длинный. Пользователя по умолчанию «admin» убрал ещё на первом шаге при знакомстве с wordpress.

Автор
Пётр Александров http://wpnew.ru

Набирают адреа_сайта/wp-login.php, а там уже есть кнопка "Регистрация". Чтобы избавиться от этого уберите галочку в "Настройки" -> "Любой может зарегистрироваться"

Владимир http://info-mans.ru

А как проверить работу данного плагина? (LockDown)

Автор
Пётр Александров http://wpnew.ru

Введите раза 5 неправильный пароль и все увидите 🙂

Владимир http://info-mans.ru

На локалке не работает?

Я раз 10 вводил)

Автор
Пётр Александров http://wpnew.ru

не) На локалке не пройдет скорей всего)

Наверх Рейтинг@Mail.ru