Создание сайта        09 августа 2016        380         3

Защита сайта на WordPress — атаки и взломы

Защити свой блог от хакеров

Увы, проблемы вебмастера не заканчиваются плохой SEO оптимизацией и попаданием под фильтры поисковиков. Как ни крути, а всегда будут недоброжелатели, которые захотят нажиться на вашем ресурсе или же сломать его. Это могут сделать как весьма умные хакеры, так и простые пользователи, если вы не уследили за какой-то дырой в системе. Поэтому важно позаботиться о безопасности площадки и защитить ее от взломов. С вами снова Максим Матвеев, а сегодня мы поговорим о защите сайта.

Содержание:

Познакомился я с этим вопросом на своем же опыте. Был у меня небольшой ресурс на WordPress, который я постепенно развивал уже 3-4 месяца. Старт прошел очень хорошо, так что у меня уже было 150-200 человек в сутки. Однако среди этих людей были и недоброжелатели. В один прекрасный день я обнаружил, что мой пароль входа в админку не подходит, а на самом сайте появилось множество рекламы.

Сначала я был в полном замешательстве и даже в панике. Поисковые системы за такое обилие мусорной рекламы по головке не погладят, а встретиться с фильтрами мне уж очень не хотелось. Поэтому я начал искать решения этой проблемы.

К счастью, это не заняло много времени. Хотя все мои дополнительные аккаунты были заблокированы, доступ по FTP все же остался. Я скопировал все данные с ресурса, после чего банально снес его и установил заново. На это ушло немало усилий, но все настройки были сброшены, что позволило вернуть доступ.

Да что там ходит далеко, даже взять этот мой новенький блог, не успел он нормально ещё проиндексироваться, так в день я блокировал по 5 шт. IP адресов, которые пытались взломать административную панель, это просто ужас был какой-то.

В дальнейшем я больше заботился о безопасности в сети. Хотя за свою карьеру я повстречался со многими проблемами и неоднократно был под атаками злоумышленников, пока мне удавалось избежать проблем.

Опасность в сети

Существует множество опасностей, против которых направлена защита сайта на WordPress. Далеко не все из них хотят именно взломать ваш ресурс, а не, скажем, скопировать с него весь контент.

Все направления выделить затруднительно, однако среди основных:

  1. Взлом;
  2. Атаки;
  3. Копирование контента;
  4. Вирусы.

Первое и наиболее частое направление — взлом. Оно направлено на получение доступа к админке либо базе данных. Методов для этого бывает масса, включая банальный подбор паролей, использование уязвимостей движка, дыры в самом сайте и многое другое.

Атаки зачастую идут с целью «положить» сервер, из-за чего сайт перестанет работать. Зачастую используется обычный метод DDOS, который попросту создает такое количество запросов, что сервер попросту не успевает их обрабатывать и перегружается.

Копирование контента — наиболее безобидный, но все же неприятный вариант. Если ваш контент скопируют, то его уникальность упадет. Хотя поисковики стараются отслеживать первоисточник, для молодых площадок это может быть фатально.

При таком раскладе советую заносить в Яндекс всё содержание статьи в раздел — «Оригинальные тексты», он находится вебмастерской, увы у гугла такого нет.

Вебмастерская Яндекс - добавление статьи в оригинал

Вирусы — проблема, которую создает сам Вебмастер. Зачастую ими заражаются в процессе загрузки плагинов, шаблонов и движков из сомнительных источников. Нередко они возникают при копировании js-блоков.

Это основные проблемы, которые возникают на пути вебмастера. Однако как с ними бороться? Для этого имеются различные методы.

Как защитить сайт от взлома и вирусов?

От каждой опасности имеется свой метод защиты, который позволяет предотвратить действия злоумышленника. И самой распространенной опасностью является взлом. К этому можно причислить и вирусы, которые чаще всего используются для той же цели, создавая уязвимости в системе.

На самом деле большинство движков уже имеют достаточно неплохую защиту. Задача вебмастера лишь в том, чтобы дать ей работать и не создавать лишнюю уязвимость. Поэтому можно не беспокоиться о безопасности, просто соблюдая предосторожности.

Среди основных правил, которым стоит следовать:

  • Безопасность пароля;

Чаще всего взлом осуществляется банальным подбором паролей. Поэтому важно использовать уникальный набор букв, цифр и символов, которые ранее не использовались вами. Сохранять же такую комбинацию стоит не в текстовом блокноте, лучше использовать для этого специальные менеджеры или же, что куда лучше, свою память.

  • Доступ к панели администратора;

Доступ к админке должен быть лишь у администратора. Нельзя давать его знакомым или друзьям, даже если вы доверяете им. Злоумышленники могут получить доступ через их компьютеры. Но если вы даже дали свой пароль, ну например мастеру для каких-либо целей — подредактировать сайт, то после рабы его срочно смените.

  • Использование лишь проверенных движков и шаблонов;

Движки для сайта стоит качать лишь на их официальном сайте. Что касается шаблонов, лучше искать наиболее проверенные ресурсы с ними. Но стоит помнить, что даже некоторые популярные площадки по скачиванию грешат дырявыми шаблонами. Поэтому рекомендую заказывать их, но никак не качать бесплатно.

Защита от вирусов куда более проста и дополняется предыдущими правилами. Важно не переходить по сомнительным ссылкам, не копировать скрипты и страны с непроверенных ресурсов, регулярно обновлять движок и антивирус. Ну и периодически стоит проверять свою площадку на наличие вирусов. Проверти свой сайт на вирусы.

Проверка drweb

Соблюдение этих правил позволит существенно снизить риск взлома. Стоит помнить, что хакер получает доступ посредством «дыр» в сайте — уязвимостей. Чем их меньше, тем труднее становится его задача. Поэтому не пренебрегайте обновлением движка и проверкой элементов перед их добавлением.

Кстати о подборах паролей. Самый простой и надежный вариант в данном случае — бан по IP на 5-15 минут после нескольких попыток ввода пароля. Хотя это можно обойти, но такой элементарный метод сразу отсеет множество недоброжелателей. Для WordPress для этого имеются различные плагины вроде Limit Login Attempts, но он уже 2 года не обновлялся, но есть и другие, например я пользуюсь — Wordfence.

Скачиваем плагин защиты от взломов для Вордпресс

С этим плагином нужно работать очень осторожно, если не знаете его настроек, то обратитесь к профессионалам, а то потом могут быть проблемы, даже с поисковыми системами. Да, чуть не забыл, плагин работает, как бесплатно, так и платно с добавлением многих функций, ну там — блокиратор по странам и т.д.

Защита от атак и копирования контента

Атаки — популярная проблема вебмастеров. Хотя они встречаются не так часто, даже крупнейшие ресурсы могут пострадать от этой неприятности. Зачастую это делают с целью шантажа, требуя деньги за прекращение атаки, однако иногда такой метод используют и простые завистники.

Как же защититься от этого? В основном эта задача ложится на ваш хостинг. Многие крупные хостеры предлагают защиту от DDOS, способную выдержать массированные атаки на площадку. Однако есть и сторонние сервисы, которые позволяют снизить нагрузку на ресурс.
Если защищаться своими силами, то для этого имеется множество советов.

Я отмечу лишь некоторые:

  • При перегрузке отключать нагруженные части площадки.
  • Блокировать IP по региону.
  • Оптимизировать ресурсосбережение части площадки.

Однако пока проект молод, риск атак минимален. Поэтому стоит уделить внимание другой проблеме — копированию контента.

Защититься от этого можно несколькими методами:

  • Использовать скрипты, запрещающие копирование и выделение текста.
  • Размещать в тексте название сайта.
  • Использовать инструмент «Оригинальные тексты» в Яндекс Вебмастер.

Это является проблемой лишь в тот момент, когда на индексацию ваших статей уходит много времени. Со временем они станут индексироваться куда быстрее, поэтому недоброжелатели попросту не успеют их скопировать, ведь поисковики уже будут знать первоисточник.

Эти методы позволят избежать атак и копирования контента. В какой-то мере это две стороны одной монеты: молодой сайт может не беспокоиться об атаках, а старый — о воровстве статей. Поэтому стоит уделять внимание этим вопросам по мере необходимости.

Защита сайта

Преимуществом движка WordPress является довольно стойкая защита от различных опасностей. Но даже здесь стоит хорошенько поработать, дабы усложнить задачу недоброжелателям. Для этого имеется множество защитных элементов, об одном из которых я упоминал чуть ранее (плагин Limit Login Attempts, защита от подбора паролей). Но стоит провести и ряд других процедур, позволяющих избежать взлома.

Для начала нужно изменить логин и пароль к админке. Это легко сделать через базу данных, взяв таблицу пользователей и найдя там «Admin». Нажав правку, можно легко изменить данные. Однако не забудьте их потом, ведь зайти под предыдущими данными не выйдет.

Также рекомендуется установить плагин для бекапа вашей базы данных. Для этого имеется несколько вариантов, среди которых WordPress database backup. Это позволит автоматическо сохранять базу и отправлять ее на почту, не беспокоясь о том, что ее могут очистить злоумышленники.

Также стоит добавить в директории /wp-content/ и /wp-content/plugins/ по пустому файлу index.php. Это не позволит другим пользователям просматривать файлы и папки в них.
Кроме того, рекомендуется удалить все упоминания о версии вашего движка в коде и файлах. В остальном же стоит положиться на стандартную защиту. Но помните, что взломать можно любой сайт, вопрос лишь во времени и ресурсах. Поэтому не стоит пренебрегать бекапами и регулярно менять пароль в админку.

Если хотите нормально защитить свой идеал от злоумышленников, то советую приобрести замечательный курс по этой теме  -  "Тотальная защита WordPress блога"

Тотальная защита Щордпресс блога

Меню курса

Узнать подробнее

А что вы посоветуете для защиты своей площадки? Используете ли для этого плагины? Расскажите о своем опыте.

С вами был Максим Матвеев. Помните, что безопасность никогда не бывает излишней. А также подписывайтесь на мой блог для почтения новых статей.


Отдохнуть — Трейлеры — Топ 5 Фильмов 2017 года


Обсуждение: 3 комментария
  1. В основном все не обновляют ЦМС и косячат с правами на папки и файлы...

    Ответить
  2. Самая хорошая защита от взлома, это ежедневный бэкап, от DDoS надежный хостинг, от копирования контента, ничего не поможет, Яндекс только в том случае, если быстроробот часто заходит. Мое мнение, на правоту не претендую.

    Ответить
    1. Вы правы, но опыту знаю, что многие этого не делают, ну а если и делают, то не ежедневно. В основном взламывают молодые сайты, т.к. новички не сильно задумываются о защите. Ну а на счёт быстрой индексации, сейчас робот яндекс быстро проходит записи, просто надо знать куда их добавлять, в новой веб мастерской есть эта функция, ну а чтобы робот чаще заходил, то поисковику надо показывать, что ты постоянно пишешь статьи, а не 3-4 в месяц.

      Ответить

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

Нажав на кнопку - "Отправить комметарий", тем самым вы соглашаетесь с правилами сайта и с его политикой конфиденциальности, вся информация ниже по ссылкам.

Пользовательское соглашение. и Политика конфиденциальности.

АВТОР
Автор блога Максим Матвеев