Блог уютное место для бесед Обратно в студию

Сышышь ты, выходи сюда,
поговорим !

Главная Новости

Оптимальная защита вашего сайта

Опубликовано: 01.09.2018

видео Оптимальная защита вашего сайта

Мощная Медитация на Очищение, Освобождение и Защиту Всего Тела от Любых Болезней и Старых Программ

Здесь я расскажу вам про 10 приемов, необходимых для улучшения безопасности вашего сайта, также расскажу про самый надежный метод сохранения вашего сайта — это регулярное создание копий базы данных вашего сайта и постоянный контроль над изменениями файлов вашего сайта.



Скачать исходники для статьи можно ниже

Начну с того, что 100% защиты не существует, то есть, если ваш сайт захотят взломать, то его взломают.

Поэтому, если это случилось,  нужно как можно быстрее об этом узнать и предпринять необходимые меры.

Почему реагировать нужно быстро?


Бесплатная защита вашего компьютера

Во-первых, это поисковики, если они определят, что ваш сайт подвергся заражению, они опустят вас в результатах поиска, и чтобы восстановить их доверие нужно будет потратить много времени, а возможно придется и вовсе поменять домен сайта. Так что поисковиков нужно в обязательном порядке опередить.


МОЛИТВА БЛАГОДАРНОСТИ – ЗАЛОГ ВАШЕГО СЧАСТЬЯ

Во-вторых, это сами посетители, на зараженные сайты никто не хочет заходить, и если они увидят в следующий раз ссылку на ваш сайт, они не перейдут по ней.

В-третьих, лечить зараженный сайт легче и дешевле на ранних стадиях.

Как узнать заражен ли ваш сайт вредоносным кодом (вирусом)? — читайте про это в ранее написанной мною статье.

Регулярное резервное копирование базы данных вашего сайта.

Для того, чтобы обезопасить себя от вышеперечисленных нежелательных последствий заражения сайта, вам необходимо создавать регулярно резервные копии базы данных вашего сайта (это сохранит ваши статьи, комментарии, странички и прочее наполнение вашего сайта), а также иногда желательно делать копию всех файлов темы через FTP (например через программу FileZilla).

Для регулярного резервного копирования базы данных можно воспользоваться плагином WordPress Database Backup (установка стандартная: переходим в панель управления вашим сайтом — далее нажимаем на пункт «Плагины» — далее подпункт «Добавить новый» — в строке поиска вводим WordPress Database Backup и находим вот такую строчку WP-DB-Backup , далее жмем активировать и установить).

По данным сайта wordpress.org:

Количество скачиваний данного плагина: 1,327,168 раз

Количество проголосовавших: 515 человек (4 звезды из 5).

После активизации в панели управления вашим сайтом в левом меню в пункте «Инструменты» появился подпункт «Резервное копирование», открываем его и видим следующие настройки:

Я поставил пункты  «Отправить на e-mail», на который будет отправляться резервная копия, а периодичность отправки базы данных — раз в день.

Можно не отправлять на свой e-mail базу данных, а создавать ее копию только при каких-нибудь ваших изменениях, для этого необходимо выбрать пункт » Скачать на компьютер» и нажать на кнопку «Создать архив!».

Также возможно создавать копии ваших баз данных через ваш хостинг.

Желательно после скачивания базы данных на ваш компьютер сохранить ее на флешку или диск, так будет надежнее.

Отслеживание изменений файлов вашего сайта.

Далее приступим к мониторингу изменений файлов сайта .

Плагины контроля за изменением файлов сайта:

1. WordPress File Monitor Plus — на русском языке.

Особенности

 Контроль файловой системы на предмет добавленных, удаленных, измененных файлов  Отправка по электронной почте при обнаружении изменений  Предупреждения в админ. панели для уведомления об изменениях  Возможность контролировать изменения файлов по изменению хэш функции файла, времени изменения или изменению размера файла  Возможность исключения файлов и каталогов из проверки (например, если вы используете кэширование системы, которая хранит свои файлы в контролируемой зоне)  Включение URL сайта в уведомление по электронной почте в случае, если плагин используется на нескольких сайтах  Возможность запуска проверки таким образом, чтобы не замедлять визиты на сайт и обеспечить большую гибкость планирования  Возможность перечисления расширений файлов, которые будут проигнорированы или наоборот просканированы.

Если у вас есть подозрения на вредоносное изменение, то нужно просмотреть этот файл с помощью редактора или, пройдя по указанному пути на хостинге. Если в указанное время Вы собственноручно ничего не меняли, то изменения появились в результате взлома или заражения. Т.е в этом файле нужно найти подозрительный вредоносный код и удалить его.

Данный плагин я поставил на свой сайт, достаточно удобно, когда уведомления об изменениях появляются при входе в панель управления, а также отсылаются на ваш почтовой адрес.

2. Simple Changed Files   — на английском, но плагин очень прост в использовании.

В отличие от WordPress File Monitor Plus, плагин не отсылает уведомлений на электронную почту и не показывает предупреждений в админ. панели. Работает только по требованию. Плагин способен показывать изменения в файлах, произошедшие до его установки.  Поэтому его не обязательно держать постоянно включенным — можно проверить файлы, далее его удалить или деактивировать, а когда нужно выполнить проверку заново, опять активировать или установить заново.После установки и активизации плагина заходим в левом меню нашей панели управления в пункт «Инструменты» и выбираем подпункт «Simple Changed Files » и видим его настройки:

В строке Start Time вводится момент времени, начиная с которого интересуют изменения файлов (указывать обязательно). В строке End Time вводится конец интересующего промежутка времени (указывать не обязательно, то есть при не указанном данном параметре отчет об изменениях будет выводится до текущего времени). Формат ввода времени поддерживает следующий:  «May 4» или «2011-05-04» (год-месяц-день) или «2pm» (здесь «2»- это часы от 1 до 12, а далее следует параметр обозначающий время до обеда или после, так «am» (утро) — это время с 00.00 до 12.00, а «pm» (вечер) — с 12.00 до 24.00 ). Можно так же комбинировать данные параметры, ну например: 2012-04-29 2am (2.00 ч. 29 апреля 2012 г.). Кнопка Review Setting показывает за какой временной промежуток будет выводиться отчет об измененных файлах. Кнопка Run запускает сканирование изменений и выводит отчет. Изменившиеся файлы будут показаны в таблице ниже.

Необходимые приемы для улучшения безопасности вашего сайта на WordPress.

Перед проведением ниже указанных действий не забудьте сделать резервную копию вашей базы данных и всех папок и файлов вашего сайта, чтобы не потерять данные.

Здесь я перечислю самые необходимые меры:

1. Следим за последними обновлениями самой WordPress  и установленными на нашем сайте плагинами.

Обновить WordPress и имеющиеся у вас плагины можно автоматически, если зайти в панели управления вашим сайтом и в левом меню  в пункте «Панель» выбрать подпункт «Обновления».

2. Усложняем пароли.

В первую очередь, усложните пароль от вашего домена — здесь можно поставить пароль длиною 20-30 символов, при этом используя буквы, цифры, специальные символы и регистр (заглавные буквы).

Также рекомендуется усложнить пароли для входа в панель управления, базы данных, для хостинга, для почтовых ящиков, но так как данные пароли часто используются для создания и редактирования контента, то есть для вашей работы над сайтом, сильно сложными и длинными делать их не советую — это замедлит вашу работу.

Также стараемся не сохранять пароли в программах и браузерах, то есть функция «автозаполнения пароля» или функция «запомнить меня».

3. Меняем логин admin на другой.

У большинства пользователей логин администратора — admin, что упрощает взломщику войти в вашу панель управления, ведь ему остается только подобрать пароль.

Рассмотрим самый простой и быстрый способ смены логина администратора через панель управления вашим сайтом.

Входим в левом меню панели управления вашим сайтом в пункт «Пользователи», далее выбираем подпункт «Добавить нового».

Вписываем новое имя администратора, адрес почты, отличный от старого адреса, пароль.

В строке «Роль» выставляем Администратор.

Далее жмем на кнопку «Добавить нового пользователя«.

Выходим из админ панели (так как мы сами себя удалить не сможем), заходим под новым именем администратора и удаляем пользователя со старым именем (с логином admin).

Как видите записи и ссылки старого администратора можно перенести на нового и ничего не потеряется.

Можно и не удалять администратора с логином admin, а просто понизить его роль , например до «Подписчика», думаю этого будет достаточно.

4. Убираем подсказку о неверно набранном логине, пароле при входе в панель управления.

Для того, чтобы убрать подсказку необходимо добавить небольшой код в functions.php:

add_filter('login_errors', create_function('$a', "return null;"));

5. Удаляем ссылку входа в панель управления со страниц вашего сайт а, чтобы вашим пользователям не захотелось взломать ваш сайт просто для интереса.

6. Скрываем страничку входа с помощью плагина wSecure Authentication — как его настроить —  читайте в моей предыдущей статье.

7. Ограничиваем количество попыток ввода пароля и логина на страничке входа в панель управления.

Имеются 2 достаточно популярных плагина (оба есть на wordpress.org):

— плагин Login Lockdown

Последняя дата обновления: 2009-9-17

Количество загрузок: 157,894 раз.

Но он достаточно давно не обновлялся, поэтому я выбрал следующий плагин, а именно:

— плагин Limit Login Attempts

Последняя дата обновления: 2011-8-25

Количество загрузок: 125,155 раз.

Устанавливаем данный плагин стандартно, а именно: переходим в панель управления вашим сайтом, далее в левом меню выбираем пункт «Плагины», далее подпункт «Добавить новый», в строке поиска печатаем Limit Login Attempts, далее жмем установить и активизировать.

Для того, чтобы перейти к настройке плагина заходим в левом меню вашей панели управления в пункт «Настройки» и выбираем подпункт Limit Login Attempts.

Выше вы можете увидеть мои настройки, однако можно оставить и настройки по умолчанию, кроме пункта «Обрабатывать куки логина». Здесь я рекомендую вам поставить параметр «Нет». Параметр «Да» в этой строке можно оставить только тогда, когда Вы уверены, что будете входить в админ панель своего сайта только с одного компьютера, только с одного браузера и никогда не будете удалять куки. Разумеется, в браузере должен быть разрешен прием куки.

8. Вводим пароль, логин и прочую важную информацию через виртуальную клавиатуру.

Если у вас Windows, то есть стандартная экранная клавиатура, я использую именно ее, хотя в интернете есть более удобные аналоги.

Добраться до нее очень просто:

Пуск- Все программы -Стандартные — Специальные возможности — Экранная клавиатура.

9. Изменяем расположение файла wp-config.php.

Файл конфигурации WordPress «wp-config.php», можно убрать из папки блога, на один уровень вверх, там где его никто не найдет, что повысить безопасность блога. К примеру, блог находится в папке «/ваш сайт.ru/public_html/» как правило, к папке «ваш сайт.ru» доступа через веб уже нет, но если переместить туда файл wp-config.php, WordPress все еще будет работать, потому, как умеет искать файл конфигурации в папке на уровень выше.

10. Настраиваем необходимые права доступа на файлы и папки.

Для этого воспользуемся плагином WP Security Scan установим его посмотрим какие права должны стоять и исправим, а после можно его удалить.

Устанавливаем данный плагин как обычно — в панели управления в левом меню выбираем «Плагины» — подпункт «Добавить новый» — в строке поиска вводим WP Security Scan — далее жмем установить и активировать.

В левом меню в панели управления появился пункт WSD security, выбираем в нем подпункт «Scanner» и видим следующую таблицу:

Name — наименование файлов и папок Вашего сайта (root directory — это папка public_html).

File/Dir — показывает путь к папке или файлу.

Needed Chmod — показывает рекомендуемый код прав доступа на данную папку или файл.

Current Chmod  — демонстрирует код прав доступа, который существует у Вас на данный момент.

Расхождения столбцов Needed Chmod и Current Chmod  выделяются желтым цветом.

Код доступа тем выше, чем больше возможностей у других лиц использовать данный файл (просматривать, записывать, выполнять над ним какие-либо действия).

Так например при коде доступа 777 — каждый может читать, записывать и выполнять все действия над папкой и файлом, а при коде 644 — все могут просматривать (читать) данный файл, папку, но только владелец может изменять ее.

Что вам нужно сделать? Во первых проверяете все выделенные желтым цветом строчки и если код доступа в столбце Needed Chmod ниже, чем в столбце Current Chmod — то необходимо поменять права доступа ( в других случаях, когда  Needed Chmod больше или равен Current Chmod  можно оставлять все как есть — угрозы нет).

Для изменения значений кода прав доступа я пользуюсь программой FileZilla, для этого просто подключаетесь к вашему хостингу, ищите необходимую вам папку или файл, у которого необходимо изменить права доступа, нажимаете не ней правой кнопкой мыши и выбираете пункт «Атрибуты файла» и у вас появиться окошко наподобие скриншота выше, там в поле «Числовое значение» ставите нужный вам код прав доступа, такой как в столбце Needed Chmod .

А вообще возможности плагина WP Security Scan достаточно большие, а именно:

1. Установка надежных паролей и смена логина

2. Установка прав доступа

3. Безопасность баз данных

4. Сокрытие версии

5. Защита директории администратора WordPress

Однако, разработчики плагина предупреждают, что все действия, который плагин произвел для увеличения безопасности вашего сайта, а именно:  сокрытие версии, отключение  ошибок БД, удаление WP ID META тегов из HTML-вывода и другие функциональные возможности прекратятся, если  отключить плагин.

Более подробно читайте про этот плагин по следующей ссылке:

http://bezopasnostpc.ru/soft/plagin-wp-security-scan-nastroyka-ispolzovanie-ch2

Вот и все!

rss