Купить рекламу на WPnew.ru
Автопилот для контекста

Урок 67 Безопасность в WordPress

Добрый день, уважаемые читатели блога WPnew.ru! Сегодня мы увеличим безопасность в WordPress. Вордпресс итак неплохо защищен, но дополнительная безопасность нам не помешает.

Для начала закроем доступ к ненужным файлам. Наберите в браузере адрес, например, ваш_блог/wp-content и если, Вы видите белый экран, то все нормально:

Безопасность WordPress

Если у Вас вышел список файлов, то необходимо сделать следующие действия (если даже белый экран, лучше выполнить нижеперечисленные действия):

  1. Открыть файл .htaccess с помощью Notepad++. Он расположен в корне блога, вместе с папками wp-content, wp-admin и т.д.
  2. Напомню файл .htaccess мы изменяли пока только один раз, в 33-ом уроке. Он у меня выглядел следующим образом:
    htaccess
  3. И теперь в файл .htaccess добавляем следующий код:
    Options All –Indexes

    В результате .htaccess будет выглядеть вот так:

    <IfModule mod_rewrite.c>
    RewriteEngine On
    RewriteBase /
    RewriteCond %{REQUEST_FILENAME} !-f
    RewriteCond %{REQUEST_FILENAME} !-d
    RewriteRule . /index.php [L]
    </IfModule>
    
    Options All -Indexes
  4. Также настоятельно рекомендую (заставляю!) добавить в первую строчку следующий код:
    AddDefaultCharset UTF-8

    Это поможет Вам решить многие проблемы с неправильной кодировкой сайта. К примеру, плагин WP Comment Quicktags Plus будет отображать нормальный русский язык, а не крякозабры.

  5. Окончательно, файл .htaccess у меня выглядит следующим образом:
    AddDefaultCharset UTF-8
    
    <IfModule mod_rewrite.c>
    RewriteEngine On
    RewriteBase /
    RewriteCond %{REQUEST_FILENAME} !-f
    RewriteCond %{REQUEST_FILENAME} !-d
    RewriteRule . /index.php [L]
    </IfModule>
    
    Options All -Indexes
  6. Если кому-то лень копировать и все это вставлять, то предлагаю скачать уже готовый файл .htaccess и “засунуть” (скопировать) его в корень блога, в папку, где находятся wp-content и т.п.
  7. Теперь при открытии страницы ваш_блог/wp-content Вы точно должны увидеть белый экран.
[yandex]

Безопасность в WordPress с помощью плагина Login LockDown

Также Ваш блог могут взломать методом подбора пароля к блога. Если Вы поставили совсем легкий пароль, то взломщики с помощью специальных скриптов легко могут “проникнуть” на Ваш блог.

  1. Для начала нужно скачать плагин Login LockDown:
    Login LockDown
  2. Активируйте данный плагин.
  3. Все, плагин уже работает. Чтобы убедиться в этом, просто зайдите по адресу ваш_блог/wp-admin (если Вас “перебрасывает” в админку WordPress, просто нажмите на “Выход” в правом верхнем углу):
    Плагин Login LockDownПримечание: Вы должны увидеть следующее “Login form protected by Login LockDown.”
[yandex]

Настройка плагина безопасности Login LockDown

Чтобы попасть в настройки плагина, нужно перейти Админка WordPress –> Настройки –> Login LockDown:
Настройка Login LockDown1. Max Login Retries – максимальное количество попыток набора пароля.

2. Retry Time Period Restriction (minutes) – количество минут, за которые считается максимальное количество попыток набора пароля.

3. Lockout Length (minutes) – время блокировки.

То есть, если цифры останутся такими же, как и на картинке выше, то это означает следующее: если за 5 минут, пароль введен неправильно 3 раза подряд, то админка WordPress блокируется на 60 минут.

Настройки плагина Login LockDown я оставил по умолчанию, ничего не трогал, так как они меня полностью устраивают.

Пожалуй, на сегодня про безопасность в WordPress (Вордпрессе) все. До встречи на следующих уроках!

P.s. Не забывайте, свежие полезные уроки выходят каждый будний день, поэтому обязательно подпишитесь на RSS!

Удачи Вам!

С уважением, Пётр Александров.
Подпишитесь на бесплатные уроки

Понравился урок? Вы не хотите пропускать новые бесплатные уроки по созданию, раскрутке и монетизации блога? Тогда подпишитесь на RSS или на электронный ящик в форме выше и получайте новые уроки мгновенно! Также можете следить за мной в Twitter.

Добавить комментарий

Такой e-mail уже зарегистрирован. Воспользуйтесь формой входа или введите другой.

Вы ввели некорректные логин или пароль

Извините, для комментирования необходимо войти.

Нажав кнопку "Отправить", я согласен с соглашением на обработку моих персональных данных.

49 комментариев

по хронологии
по рейтингу сначала новые по хронологии
ahawks http://ahawks.ru/

Советы хорошие, Но на правах рекламы, мои первые успешные статьи были про безопасность блога, поэтому я тему стал расширять и уже на данный момент в моей сборке 42 совета по безопасности блога и около 25 рассмотренных плагина для безопасности, на этой недели в пятницу опубликую еще 8 советов и в итоге будет пол сотни полезных советов. Если интересна безопасность блога рекомендую почитать и у меня информацию про безопасность.

com http://www.nalbatron.com/

Login LockDown - это очень хороший плагин, но при этом нужно понимать, что если поставить слишком большое время и Вы ошиблись, то придется ждать то время, которое Вы установили.

Cooler http://best-road.ru

Хмм..я тоже писал статью про безопасность, даже две)) Советую надпись "Login form protected by Login LockDow" удалить из плагина, нечего показывать злоумышленникам, какие плагины у вас стоят, упрощаете взлом..

tom0rrow http://padh.ru

Заметил одну не мало важную вещь!... Счетчик LiveInternet - показывает числа=)... Скажу так, Петр - вы добились многое, если посещаемость выше 300 это уже круто, но сейчас только 14:37 по Украине.. Еще почти половина дня осталась.. Да и вечером больше народу заходит... Короче искренно вас поздравляю с таким количеством посетителей.

Автор
Пётр Александров

Спасибо большое. С общими силами я стараюсь достичь поставленной цели любой ценой...

Cooler http://best-road.ru

Петр, все работает, не волнуйся))

Автор
Пётр Александров

А до этого не работало 🙂

Андрей http://auditnorma.ru

Безопасность, важный вопрос! Хорошо, что ты напомнил!

nightlevit http://www.nightlevit.com

Да, хорошая статья. Установил этот плагин. И напился... попытался войти в блог, неверно набрал пароль. Так меня выкинули на полчаса или час. Все-таки потом вошел в свою админку. Протрезвел и все вспомнил.

К чему я это пишу? Блоггер всегда должен быть в хорошем настроении. Допустим, сегодня люди считают, что твой блог фуфло, но завтра они у тебя сами спросят совета по какой-либо теме )) Короче, респект и уважуха автору wpnew.ru ))

Наталья http://croatianlife.ru

Проделала первую часть (не смотря на то что у меня был белый экран), в итоге все перестало работать выдавая сообщение "ошибка сервера"

Вернула файл в прежний вид и все опять заработало.

В чем может быть проблема?

com http://www.nalbatron.com/

Что-то не так делали. Можно заново поставить, но при этом удалить тот плагин, который Вы устанавливали себе на блог.

Татьяна http://tatmaf.com

Очень интересный и полезный сайт ,я узнала много новых подробностей,о которых не говорят другие. Спасибо Вам большое буду держать ваш сайт под рукой и ждать новых статей.

Анастасия

У меня аналогично Наталье изначально (до добавления строки Options All -Indexes в файл .htaccess) был белый экран по адресу ваш_блог/wp-admin, а после добавления двух строк в файл вместо страниц сайта появлялся белый экран с ошибкой сервера. Когда вернула файл в прежнее состояние, все заработало.

Потом я добавила лишь верхнюю строчку с кодировкой AddDefaultCharset UTF-8 и обновила файл на сервере - всё работает.

Parfumer http://chromavideo.biz/content/index.php

При разработке и переносе блога с локального хостинга на реальный столкнулся с таким же багом. Прописал так как рекомендовано в статье и начало выдавать

"Ошибка 500. Внутренняя ошибка сервера"

Излечил способом вот перед этой строчкой поставил знак # и теперь запись в файле выглядит вот так

#Options All -Indexes

и все начало работать.

Использую хостинг jino.

chusika http://litetrip.ru

оу, спасибо и правда работает))

Александр http://alversch.ru/

Если хотите что-бы блог работал нормально, не надо не какие плагины ставить, без них работает все хорошо.

Один как-то поставил и из-за проблем с загрузкой блога пришлось убрать.

Возможно это было раньше, сейчас мне кажется это лишнем. Бывает по необходимости 1-2, ну и все.

Владислав http://fin-future.ru

Петр, у меня к Вам такой вопрос. Я скопировал рекомендуемый Вами файл htaccess и изменил там на данные своего блога. Проверил, все работает нормально. Однако я где-то прочитал, что сайт должен правильно показывать главную страницу при наборе всех 4 возможных адресов сайта. Я стал проверять и обнаружил у себя (и у Вас), что по адресу http://адрес_блога./ru/index.html выдается 404 ошибка. При этом по адресу www.адрес_блога./ru/index.html подобной ошибки нет - срабатывает главная страница. Я сам в этом не разбираюсь. Но может быть нужно что-то подправить?

Автор
Пётр Александров

К сожалению, я тоже в этом не силен. Я не "напрягался по этому вопросу". Вам лучше обратиться к тем, кто "Однако я где-то прочитал, что сайт должен правильно показывать главную страницу при наборе всех 4 возможных адресов сайта."

Владислав http://fin-future.ru

Неверно написал в первый раз. Ошибка происходит именно по полному адресу, но не с www, а по адресу http:// ____ /index.html

Александр http://alversch.ru/

Владислав, я не профи, на платную платформу перешел недавно, где-то проблема и не знаю где искать. Если подскажешь буду благодарен.

* Устанавливаю плагины (3-8 шт.), пока на блоге, работает нормально, ухожу, хочу зайти снова, выдает ошибку (описать трудно), что-то с адресами связано да. Потом только на хост, нахожу, удаляю плагины и потом опять работает все нормально. Одна странность, на бесплатном ( http://alversch.tw1.ru/) ставлю те-же плагины, там работает.

В какой стороне искать?

Спасибо.

Николай +Людота.ру+ Чеботарев http://ludota.ru

Поздравляю с Рождеством.

И маленький подарок от Яндекса.

По запросу "безопасность вордпресс" WPnew.ru заметно обогнал Шакина.

Только что заметил, удивился и порадовался за автора)))

Автор
Пётр Александров

И вас с Рождеством. Спасибо за внимательность,понравилось:)

Валера http://sayt-v.ru

А кто знает в чем прикол у одного провайдера-хостинга работает у другого нет lockdown-wp-admin Пишет ошибку к доступу админки.

Артур http://komputer-life.ru/

Надо вбить имя пользователя и пароль в wpconfig

Валера http://sayt-v.ru

Выяснил, подвохов нет надо просто было ждать 5-10 мин и плагин работает (lockdown-wp-admin) А вот еще как находят сайты и начинают их ковырять для тех кто не верит - inurl:.ru/wp-admin/post-new.php этот запрос появился на свежем вылеченном сайте от вирусов. И, что вы увидите,,,, это доступы к админкам. Теперь знайте

ее надо прятать обязательно.

Никита Рябин http://pro97.ru/

Всё это я уже нстроил. Блог защищён.

Мария http://vihra.ru

Петр подскажите, если сайт не wp, а самописный (делал знакомый, сейчас его нет).

Как можно защитить его. т.к. при просмотре кода видны ссылки на скрипты и пароли.

Как это все скрыть?

Автор
Пётр Александров

К сожалению, не знаю..

Елена http://violet-aroma.ru

Подскажите, пожалуйста! У меня в корневой папке нет файла ".htaccess". А при установке скачанного с урока файла, на сайте пропадают все картинки, сайдбары. В общем все кроме текста. Пробовала вставить файл ".htaccess" внутрь темы, чуть лучше, но сайт полностью нарушается. В чем может быть причина?

такая же проблема

Pirat Rodger

Елена я могу помочь Вам в вашей проблеме.

Pirat Rodger

После того как скачал ваш файл .htaccess, на моем сайте отвалился весь js. После открытия увидел сомнительные записи в конце:

Options All -Indexes

RewriteEngine on

RewriteCond %{HTTP_REFERER} !^$

RewriteCond %{HTTP_REFERER} !^http://(www\.)?wpnew.ru/.*$ [NC]

RewriteRule \.(gif|jpg|js|png|css)$ - [F]

RewriteCond %{HTTP_HOST} ^www\.wpnew\.ru$ [NC]

RewriteRule ^(.*)$ https://wpnew.ru/$1 [L,R=301]

А сомнительные они, потому что на Вашем скриншоте этих строк нет и часто проскальзывает слово wpnew.ru...

версия wordpress 3.4.2

Нельзя так, много времени потратил на поиск проблемы...

чувак спасибо тебе я сам только что заметил я думал блогу капец

Виталий http://mojwp.ru/

вместо wpnew ставите свой домен.

это стандартные настройки htaccess с дополнением хотлинка (чтобы картинки не тырили).

js полезть не мог, т.к. его тут не затрагивает, если только у вас не напутано с редиректами www и без них

Валера http://sayt.-v.ru

Виталик любой сайт хакернерну от 20 до 40 минут - дам посказку и программу и ты сможеш

Валера http://sayt.-v.ru

тема переходит в блуд. После февральской атаки я учил все так бысто на тот момент было уже 15 сатов, а безопасности ноль. Теперь готов помоч в этих вопросах. Стал профи.

Александр http://www.igrotechnics.ru

Заметил, что мои сайты (их три) начали тормозить, упала посещаемость. Выяснил, что кто-то ломится в админку, нагружая сервер. В htaccess ставил запрет на ip, с которых ломали. Но через несколько дней начинали ломиться уже с других ip.

Установил Login LockDown. Но ситуация та же. В связи с этим как понимать слова "если за 5 минут, пароль введен неправильно 3 раза подряд, то админка WordPress блокируется на 60 минут". По ходу, ничего не блокируется, с одного ip могут заходить на POST /wp-login.php HTTP/1.0" 200 3806 по несколько сот раз в день. (Хостер джино).

У кого была такая ситуация? Спасибо.

Валера http://blagoveshst.ru

limit-login-attempts попробуй этот, а если поставить еще better-wp-security (аккуратней с настройками) найди как его настроить и не лезь после 15 пункта

Александр http://www.igrotechnics.ru

Спасибо, а Login LockDow, почему не работает?

Валера http://blagoveshst.ru

lockdown-wp-admin этим можно спрятать вход в админку на 95% - на почему ответ

После взлома -плагин удалить и по новому поставить.

Степка http://bloggood.ru

если я поставлю дополнительно плагин Limit logins Attempts, как будет себя вести плагин Login LockDown, глюков не будет???

Здравствуйте.У меня такая проблема:я не могу выйти с сайта,приходиться закрывать браузер и только тогда я выхожу из своей учетной записи.Я где то читал что это может быть из-за файла .htaccess но поменял его на ваш и нечего не изменилось

Вы пытаетесь выйти с сайта ,,,,,,мой сайт.ru

Вы действительно хотите выйти?

Жму выйти но он все еще на этой станице

помогите пожалуйста

Автор
Пётр Александров https://wpnew.ru

Попробуйте на время выключить плагины и попробовать еще раз.

Дмитрий

Петь, подскажи пожалуйста! У меня на сайте регистрируются пользователи. Но формы регистрации на сайте нет! Есть форма подписки на новости, но в FeedBurner нет подписавшихся! Я конечно на 99,9% подозреваю, что это боты, но как они попадают в пользователи в wordpress ???? Пароль в админку сложный, буквы, цифры, символы, довольно длинный. Пользователя по умолчанию «admin» убрал ещё на первом шаге при знакомстве с wordpress.

Автор
Пётр Александров https://wpnew.ru

Набирают адреа_сайта/wp-login.php, а там уже есть кнопка "Регистрация". Чтобы избавиться от этого уберите галочку в "Настройки" -> "Любой может зарегистрироваться"

Владимир http://info-mans.ru

А как проверить работу данного плагина? (LockDown)

Автор
Пётр Александров https://wpnew.ru

Введите раза 5 неправильный пароль и все увидите 🙂

Владимир http://info-mans.ru

На локалке не работает?

Я раз 10 вводил)

Автор
Пётр Александров https://wpnew.ru

не) На локалке не пройдет скорей всего)

Наверх