Добрый день, уважаемые читатели блога WPnew.ru! Сегодня мы увеличим безопасность в WordPress. Вордпресс итак неплохо защищен, но дополнительная безопасность нам не помешает.
Для начала закроем доступ к ненужным файлам. Наберите в браузере адрес, например, ваш_блог/wp-content и если, Вы видите белый экран, то все нормально:
Если у Вас вышел список файлов, то необходимо сделать следующие действия (если даже белый экран, лучше выполнить нижеперечисленные действия):
- Открыть файл .htaccess с помощью Notepad++. Он расположен в корне блога, вместе с папками wp-content, wp-admin и т.д.
- Напомню файл .htaccess мы изменяли пока только один раз, в 33-ом уроке. Он у меня выглядел следующим образом:
- И теперь в файл .htaccess добавляем следующий код:
Options All –Indexes
В результате .htaccess будет выглядеть вот так:
<IfModule mod_rewrite.c> RewriteEngine On RewriteBase / RewriteCond %{REQUEST_FILENAME} !-f RewriteCond %{REQUEST_FILENAME} !-d RewriteRule . /index.php [L] </IfModule> Options All -Indexes - Также настоятельно рекомендую (заставляю!) добавить в первую строчку следующий код:
AddDefaultCharset UTF-8
Это поможет Вам решить многие проблемы с неправильной кодировкой сайта. К примеру, плагин WP Comment Quicktags Plus будет отображать нормальный русский язык, а не крякозабры. - Окончательно, файл .htaccess у меня выглядит следующим образом:
AddDefaultCharset UTF-8 <IfModule mod_rewrite.c> RewriteEngine On RewriteBase / RewriteCond %{REQUEST_FILENAME} !-f RewriteCond %{REQUEST_FILENAME} !-d RewriteRule . /index.php [L] </IfModule> Options All -Indexes - Если кому-то лень копировать и все это вставлять, то предлагаю скачать уже готовый файл .htaccess и “засунуть” (скопировать) его в корень блога, в папку, где находятся wp-content и т.п.
- Теперь при открытии страницы ваш_блог/wp-content Вы точно должны увидеть белый экран.
Безопасность в WordPress с помощью плагина Login LockDown
Также Ваш блог могут взломать методом подбора пароля к блога. Если Вы поставили совсем легкий пароль, то взломщики с помощью специальных скриптов легко могут “проникнуть” на Ваш блог.
- Для начала нужно скачать плагин Login LockDown:
- Активируйте данный плагин.
- Все, плагин уже работает. Чтобы убедиться в этом, просто зайдите по адресу ваш_блог/wp-admin (если Вас “перебрасывает” в админку WordPress, просто нажмите на “Выход” в правом верхнем углу):
Примечание: Вы должны увидеть следующее “Login form protected by Login LockDown.”
Настройка плагина безопасности Login LockDown
Чтобы попасть в настройки плагина, нужно перейти Админка WordPress –> Настройки –> Login LockDown:
1. Max Login Retries – максимальное количество попыток набора пароля.
2. Retry Time Period Restriction (minutes) – количество минут, за которые считается максимальное количество попыток набора пароля.
3. Lockout Length (minutes) – время блокировки.
То есть, если цифры останутся такими же, как и на картинке выше, то это означает следующее: если за 5 минут, пароль введен неправильно 3 раза подряд, то админка WordPress блокируется на 60 минут.
Настройки плагина Login LockDown я оставил по умолчанию, ничего не трогал, так как они меня полностью устраивают.
Пожалуй, на сегодня про безопасность в WordPress (Вордпрессе) все. До встречи на следующих уроках!
P.s. Не забывайте, свежие полезные уроки выходят каждый будний день, поэтому обязательно подпишитесь на RSS!
Удачи Вам!
_____________
Постовой. Если Вы любите покер и другие азартные игры, то вам предоставляю интернет казино.
Советы хорошие, Но на правах рекламы, мои первые успешные статьи были про безопасность блога, поэтому я тему стал расширять и уже на данный момент в моей сборке 42 совета по безопасности блога и около 25 рассмотренных плагина для безопасности, на этой недели в пятницу опубликую еще 8 советов и в итоге будет пол сотни полезных советов. Если интересна безопасность блога рекомендую почитать и у меня информацию .
Хмм...я тоже писал статью про безопасность, даже две)) Советую надпись «Login form protected by Login LockDow» удалить из плагина, нечего показывать злоумышленникам, какие плагины у вас стоят, упрощаете взлом...
Заметил одну не мало важную вещь!.. Счетчик LiveInternet — показывает числа=)... Скажу так, Петр — вы добились многое, если посещаемость выше 300 это уже круто, но сейчас только 14:37 по Украине... Еще почти половина дня осталась... Да и вечером больше народу заходит... Короче искренно вас поздравляю с таким количеством посетителей.
Спасибо большое. С общими силами я стараюсь достичь поставленной цели любой ценой...
Петр, все работает, не волнуйся))
А до этого не работало
Безопасность, важный вопрос! Хорошо, что ты напомнил!
Да, хорошая статья. Установил этот плагин. И напился... попытался войти в блог, неверно набрал пароль. Так меня выкинули на полчаса или час. Все-таки потом вошел в свою админку. Протрезвел и все вспомнил.
К чему я это пишу? Блоггер всегда должен быть в хорошем настроении. Допустим, сегодня люди считают, что твой блог фуфло, но завтра они у тебя сами спросят совета по какой-либо теме )) Короче, респект и уважуха автору wpnew.ru ))
Проделала первую часть (не смотря на то что у меня был белый экран), в итоге все перестало работать выдавая сообщение «ошибка сервера»
Вернула файл в прежний вид и все опять заработало.
В чем может быть проблема?
Очень интересный и полезный сайт ,я узнала много новых подробностей,о которых не говорят другие. Спасибо Вам большое буду держать ваш сайт под рукой и ждать новых статей.
У меня аналогично Наталье изначально (до добавления строки Options All -Indexes в файл .htaccess) был белый экран по адресу ваш_блог/wp-admin, а после добавления двух строк в файл вместо страниц сайта появлялся белый экран с ошибкой сервера. Когда вернула файл в прежнее состояние, все заработало.
Потом я добавила лишь верхнюю строчку с кодировкой AddDefaultCharset UTF-8 и обновила файл на сервере — всё работает.
При разработке и переносе блога с локального хостинга на реальный столкнулся с таким же багом. Прописал так как рекомендовано в статье и начало выдавать
«Ошибка 500. Внутренняя ошибка сервера»
Излечил способом вот перед этой строчкой поставил знак # и теперь запись в файле выглядит вот так
#Options All -Indexes
и все начало работать.
Использую хостинг jino.
Если хотите что-бы блог работал нормально, не надо не какие плагины ставить, без них работает все хорошо.
Один как-то поставил и из-за проблем с загрузкой блога пришлось убрать.
Возможно это было раньше, сейчас мне кажется это лишнем. Бывает по необходимости 1-2, ну и все.
Петр, у меня к Вам такой вопрос. Я скопировал рекомендуемый Вами файл htaccess и изменил там на данные своего блога. Проверил, все работает нормально. Однако я где-то прочитал, что сайт должен правильно показывать главную страницу при наборе всех 4 возможных адресов сайта. Я стал проверять и обнаружил у себя (и у Вас), что по адресу выдается 404 ошибка. При этом по адресу подобной ошибки нет — срабатывает главная страница. Я сам в этом не разбираюсь. Но может быть нужно что-то подправить?
К сожалению, я тоже в этом не силен. Я не «напрягался по этому вопросу». Вам лучше обратиться к тем, кто «Однако я где-то прочитал, что сайт должен правильно показывать главную страницу при наборе всех 4 возможных адресов сайта.»
Неверно написал в первый раз. Ошибка происходит именно по полному адресу, но не с www, а по адресу http:// ____ /index.html
Владислав, я не профи, на платную платформу перешел недавно, где-то проблема и не знаю где искать. Если подскажешь буду благодарен.
* Устанавливаю плагины (3-8 шт.), пока на блоге, работает нормально, ухожу, хочу зайти снова, выдает ошибку (описать трудно), что-то с адресами связано да. Потом только на хост, нахожу, удаляю плагины и потом опять работает все нормально. Одна странность, на бесплатном ( ) ставлю те-же плагины, там работает.
В какой стороне искать?
Спасибо.
Поздравляю с Рождеством.
И маленький подарок от Яндекса.
По запросу «безопасность вордпресс» WPnew.ru заметно обогнал Шакина.
Только что заметил, удивился и порадовался за автора)))
И вас с Рождеством. Спасибо за внимательность,понравилось:)
А кто знает в чем прикол у одного провайдера-хостинга работает у другого нет lockdown-wp-admin Пишет ошибку к доступу админки.
Надо вбить имя пользователя и пароль в wpconfig
Выяснил, подвохов нет надо просто было ждать 5-10 мин и плагин работает (lockdown-wp-admin) А вот еще как находят сайты и начинают их ковырять для тех кто не верит — inurl:.ru/wp-admin/post-new.php этот запрос появился на свежем вылеченном сайте от вирусов. И, что вы увидите,,,, это доступы к админкам. Теперь знайте
ее надо прятать обязательно.
Всё это я уже нстроил. Блог защищён.