Защита сайта.

Пока гром не грянет…

Как защитить сайтВсе знают о том, что сайту требуется защита. Его нужно защищать от взлома, от спама, от всевозможных атак. Но очень часто мы пренебрегаем такой защитой думая, что она нам не требуется. Вот и я долгое время не уделял должного внимания защите своего блога на WordPress.

«Секретных данных на нем нет, посетителей пока немного. Кому нужно атаковать мой сайт». Так я думал, хотя знал, что атаки на сайты осуществляют не конкретные люди, а компьютерные программы.

Сначала возросло количество спама. Плагин Akismet исправно работал и отправлял в спам по несколько сотен записей в сутки.

Но в один прекрасный момент я обнаружил, что мой сайт оказался заблокирован. После проверки почты от хостинг-провайдера выяснилось, что было уже три предупреждения о превышении нагрузки на сервер. Причем пиковая нагрузка приходилась на файлы, которые якобы находились в папке wp-content, но, на самом деле, таких файлов там быть не могло.

Мне предлагалось для решения проблемы либо перейти на другой, более дорогой, тарифный план, либо оптимизировать программное обеспечение, установленное на сайте.

Так я понял, что необходимо всерьез заняться защитой своего блога.

Плагин iThemesSecurity.

Для базовой защиты сайта на движке WordPress необходимо предпринять ряд действий. Но, оказывается, все можно сделать с помощью одного плагина. Это плагин iThemesSecurity, одно из самых мощных средств для защиты WP-сайтов. Не так давно произошло крупное обновление и смена названия этого плагина. Раньше он назывался BetterWPSecurity. iThemesSecurity – самый эффективный плагин для защиты сайтов на WordPress от всевозможных атак. Эта защита осуществляется более чем 30 способами.

Первая группа функций плагина скрывает или удаляет потенциально опасные объекты сайта.

  • Меняется URLстраницы входа в админ-панель. По умолчанию этот адрес всегда одинаков – sitename/wp-login.php. Плагин предлагает сделать другой, удобный вам адрес, например sitename/voiti.
  • Вход в админку можно заблокировать в определенное время, например, ночью, когда вы не работаете с сайтом.
  • Удаляются все записи, позволяющие определить тип и версию движка (metaname =”generator”).
  • По умолчанию, логин администратора WordPress всегда “admin”. Для взлома подбирать нужно только пароль. Поэтому iThemes Security настоятельно требует сменить логин.
  • Можно изменить установленные по умолчанию ID (1) администратора и префикс (wp_) таблиц баз данных. Но делать это лучше на новом сайте.
  • Также при создании сайта желательно сразу изменить имя директории wp-content, на уже работающем сайте это сделать сложнее. Это еще раз говорит о том, что о защите сайта нужно беспокоиться в первую очередь.

Вторая группа функций включает в себя различные методы защиты. Она включает в себя:

  • сканирование сайта с последующим сообщением о местах, имеющих уязвимости;
  • блокировка ботов и проблемных IP-адресов;
  • блокировка пользователей в случае нескольких неудачных входов в админ-панель для защиты от перебора паролей;
  • кстати, iThemesSecurity принуждает пользоваться надежными паролями;
  • защита файловой системы и БД от всевозможных атак.

Важнейшей функцией плагина является создание резервных копий БД для последующего восстановления сайта. Сохранение БД можно настроить по расписанию (например, раз в сутки). Но, к сожалению, файлы сайта можно резервировать только с помощью платного сервиса компании iThemes.

Таковы основные возможности этого прекрасного плагина. После его установки и настройки нагрузка на сервер опустилась до нормального уровня, резко сократилось количество спама.

Недостатком плагина можно считать отсутствие перевода на русский язык, но в сети можно найти инструкции по его настройке на русском, например на сайте Александра Майера.

Пользуясь этой инструкцией, вы можете досконально настроить плагин.

P. S. Хочу дополнить статью сообщением о выходе нового курса, в котором глубоко и всесторонне описывается защита сайта на движке WordPress. Рекомендую вам видеокурс А. Борисова и Ю. Колесова

«Тотальная защита WordPress»

Понравилась статья? Поделись с друзьями:
Комментариев: 8
  1. Кэтэлин

    Хорошая статья, много полезного.

  2. Валентин

    Классный плагин, самая клевая функция в нем это смена страницы входа в админку.

  3. Alexander Meier

    Владимир, рад заочному знакомству! И благодарю за упоминание моей инструкции по плагину iThemes Security.
    Если позволите, оставлю одну ссылку — это перевод данного плагина, автором которого выступила блогер Жанна Лира (_http://zhannalira.ru/blogovedenie/plagin-ithemes-security-na-russkom/). Перевод (файлы локализации) она раздает совершенно безвозмездно. Думаю, новичкам он будет весьма кстати, и с его помощью будет легче «оседлать» этот плагин =)

    1. Владимир
      Владимир (автор)

      Александр, я тоже рад, что Вы заглянули на мой блог!
      Спасибо за ссылку, я знаю блог Жанны Лиры, но на этот перевод не обратил внимания.

  4. Андрей Бас

    Защита должна быть приоритетной задачей каждого, кто имеет свой сайт/блог…
    Автору респект за статью о безопасности.
    Но это лишь базовые способы (меры) защиты… Увы, это отпугнёт лишь «школьников», люди посерьёзнее будут ломать вас чуть иначе :)
    Кстати, проверил этот сайт на уязвимости — здесь есть над чем работать (автору на заметку).

    1. Alexander Meier

      Андрей, в целом согласен с вами. Но все же отчему, что именно iThemes Security дает весьма полноценную защиту, в т.ч. и не только от «школьников». По сути — это такой комбайн, который сочетает в себе множество функций, включая самое главное — хотя бы частичный функционал (вполне себе неплохой на этом уровне) WAF.

      Безусловно, безопасность — это не «одна кнопка» или «один плагин», а целый комплекс мер. Порвется одно звено в цепочке — грош цена всей защите. Ну и да, если кому-то захочется, сломают все (не говоря уж о WP-сайтах), тут я с вами совершенно согласен =)

      PS: Адмиред… как же я его любил до смены на новый =) Жаль разрабы его забросили.

  5. Сергей

    Полезная информация. Защита блога єта важная часть в веб программиста. Жалко что у меня блог на блогспот, то все же полезную информация для себя взял. Уверен что в будущем понадобиться . Спасибо за статью Владимир.

    1. Alexander Meier

      Сергей, почему жаль? Зато вам не надо заботиться о безопасности со стороны сайта/сервера — за вас это делает сам блогспот =)

Добавить комментарий

;-) :| :x :twisted: :smile: :shock: :sad: :roll: :razz: :oops: :o :mrgreen: :lol: :idea: :grin: :evil: :cry: :cool: :arrow: :???: :?: :!: