Безопасность блога. Собственный опыт.

Здравствуйте дорогие читатели и гости сайта «Тестируем шаблон». Очень рада новой встрече на блоге.

В эту осень очень как-то усилились атаки на мирные сайты и хочешь не хочешь, нужно подумать о защите блога от внешнего недоброжелательного вмешательства.

Оговорюсь сразу, что не являюсь специалистом по защите, а просто хочу рассказать о собственном опыте и извиниться перед теми читателями, которые на себе испытали действие плагина, названного в простонародье «универсальный солдат». В настоящее время этот плагин деактивирован из-за своей некорректной деятельности.

После того, как на моем аккаунте на хостинге была обнаружена вредоносная активность ПО, служба безопасности хостинга прислала письмо: «Используя данное вредоносное ПО, злоумышленники производят атаку сторонних серверов, рассылку спама и другие вредоносные действия.

Данные процессы принудительно завершены.

Вам необходимо в кратчайшее время провести аудит безопасной работы ваших сайтов и устранить все возможные уязвимости.В качестве первой меры по предотвращению повторения подобных случаев, пожалуйста, обновите все используемые системы управления сайтами (CMS), включая темы, модули и плагины к ним. Если вы не можете определить источник вредоносного заражения самостоятельно, вам необходимо обратиться к соответствующим специалистам в поддержке вашей CMS.»

При этом сайты были закрыты для просмотра на неопределенное время, пока не будет повторений активности либо ПО, либо ВСЕ уязвимости будут устранены… Насколько я понимаю, то гарантий от взлома сайта не может дать никто и даже хороший специалист не дает 100% гарантии.

Я обратилась к технической поддержке хостинга, но получила ответ, что такие услуги по безопасности сайтов личное дело каждого блогера.

Таким образом, мне следовало самостоятельно просмотреть и усилить защиту собственными силами.

Сначала  я зашла на хостинг. Так как техподдержка не открывала сайты, я зашла в панели управления аккаунтом в»Управление сайтами», отлинковала нужный домен, а затем вновь привязала домен к сайту и через панель «Конструкторы сайтов» вошла в админ-панель блога. Возможно, не каждый станет так делать, но помощи мне ждать было не откуда, а нерабочий блог приведет к тому, что все ваши ранее написанные комментарии на разных блогах просто останутся текстом без ссылки, ведь практически у каждого установлен плагин Broken Link Checker для нахождения битых ссылок,  а если вы участвуете еще в каких-то конкурсах, то вряд ли кто-то сможет перейти на вашу статью с сайта организатора.

Я сделала ревизию на блоге и вот какие мероприятия считаю необходимыми:

1.Необходимо  в общих настройках  убрать галочку напротив «Членство- Любой может зарегистрироваться», затем перейти в настройку «Пользователи» и удалить всех кроме админа.

2.Очень важно просмотреть все обновления: плагины и темы и обновить. Бывает, что после обновления плагин перестает работать корректно, но приходится делать выбор. Еще раз перепроверить темы плагином Theme Authenticity Checker (TAC) на отсутствие (или наличие :pissedoff:вредосного кода). Не работающие плагины и темы, но загруженные пришлось удалить.

3.Удалить виджет  «Мета» на вашем блоге. Это исключит хотя бы любопытных  поупражняться подбирая коды для проникновения в вашу админ-панель.

4..Установка плагина Login LockDown. Данный плагин  достаточно простой, но не помешает Wink

5.А вот установка другого плагина достаточно серьезное мероприятие благодаря своим  последствиям. Это плагин  Better WP Security, по прозвищу «универсальный солдат». Активируя данный плагин  вы получаете целую дополнительную категорию настроек по безопасности в админ-панели. Будьте внимательны настраивая его, возможен конфликт данного плагина с темой вашего блога и другими плагинами. У меня же он стал блокировать практически всех посетителей, не давать оставить комментарий,  и даже заблокировал мой вход на блог. Пришлось лишь удалить плагин  Better WP Security, зайдя в настройки блога через fip клиента.

6. Я достаточно редко пользуюсь  ftp клиентом, но ради такого случая решила вставить необходимые коды пользуясь статьей Дениса Черникова  «8 способов защиты сайта на WordPress через Htaccess». Если вы интересуетесь данной информацией, то просто вставите адрес в адресную строку браузера (кстати как настроить ftp клиента я нашла именно  у Дениса) http://sozdaiblog.ru/vrstka-wordpress/deny-86-8-sposobov-zashtit-sayta-na-wordpress-tcherez-htaccess.html

7.Кстати, знающие люди не советуют сохранять пароли в браузере.

Данная статья не в коей мере не может считаться учебным пособием, а просто личным опытом и возможностью еще раз задуматься, а  защищен ли мой блог? Желаю вам приятных часов общения с вашим блогом и пусть защита будет надежной. С уважением Юлия, до новых встреч.

:heart: Расскажи другу, пусть тоже дизайном займется :good:
  • Добавить ВКонтакте заметку об этой странице
  • Мой Мир
  • Facebook
  • Twitter
  • LiveJournal
  • LinkedIn
  • Digg
  • Blogger
  • Блог Li.ру
  • Сто закладок
  • RSS
  • Одноклассники

Об авторе Юлия

Меня зовут Юлия. Этот сайт я начала из-за моей проснувшейся и непонятной любви к рассмотрению настроек шаблонов. Сама я пока создавать темы на Вордпресс не умею, но надеюсь, что это когда-нибудь случится. Пишите в комментариях свои вопросы: я обязательно отвечу. Ну и замечания тоже приветствуются-))
Закладка Постоянная ссылка.

37 комментариев: Безопасность блога. Собственный опыт.

  1. outofsight пишет:

    Восхитительно, что блог такой тематики ведёт женщина!

    • Юлия пишет:

      Спасибо.Я тут больше люблю картинки в заголовок подбирать, да цветовую палитру настраивать Wink

  2. Irina пишет:

    Юль! Ты такая умничка! Я пошла и кое что из твоих рекомендация сделала. Меты у меня не стоит… А вот некоторых плагинов нет. Нужно будет поставить.

  3. Виктория пишет:

    И у меня были проблемы с входом на сайт, но я менее продвинутая, но все-таки пришлось зайти в файлы, FTP и отключить Login LockDown — это он в паре с Better WP Security заблокировали мне-админу-вход в админку…

    • Юлия пишет:

      Я не считаю себя продвинутым блогером, а что касается кодов тем и плагинов, вообще ничего не понимаю. А Вы теперь пользуетесь Better WP Security,мне пришлось отказаться от его услуги, к сожалению…

  4. Виктория пишет:

    Я удалила оба, но потом Security снова поставила…

  5. Лариса пишет:

    Юля, мне очень понравилась тема сайта,редко когда найдешь обзоры шаблонов, очень интересно.
    Я себе на сайт установила плагин Replace WP-Version, который прячет версию движка WordPress от чужих глаз, и убирает ее из начального кода странички.
    А второй плагин Semisecure Login Reimagined, он защищает вход в административную панель при помощи специального шифрования.

  6. Людмила пишет:

    Все очень интересно, надо мне свой сайт проверить тоже.

  7. Людмила пишет:

    Спасибо, Юлия, мне столькому еще надо научиться

  8. Юлия, статья полезная. Я пытаюсь слезть с шеи мужа-программиста и научиться чему-то. У Вас я многое понимаю, в отличие от других авторов… Только что-то не так у меня с отображением Вашего сайта. Все в первой узкой колонке. Решила предупредить.

  9. Илья пишет:

    Плагинов по защите не надо почти никаких) Просто придумайте огромный пароль для блога. Смените логин. Уберите, у кого есть в коде, версию вордпресс. Можно ещё версию скриптов убрать для особых дотошных))

  10. mrs.interesno пишет:

    Юля, статья написана доходчиво, и действительно, это очень актуальный материал.
    Единственное, описку в слове «ftp» -клиент.
    У тебя вместо буквы «t» стоит «i».

  11. Анжелика пишет:

    Спасибо за Ваш сайт, Юля! Очень полезно и особенно статья по защите своего сайта. Я ведь до сих пор ни одного плагина не установила. А ведь один из моих сайтов словил какой-то спам. Сайт был совсем молодой, и я не стала заморачиваться — сразу все удалила. Happy-Birthday С наступившим Новым годом Вас!

  12. Сергей пишет:

    Спасибо за сайт и статью. Очень своевременно попал на ваш сайт. У меня как раз проблемы со своим сайтом. Надо сделать коренные изменения, а не умею делать копии сайта, и последующее восстановление. Попробую определиться с плагином безопасности.

  13. Степан пишет:

    Да конечно защита сайта нужна,спама много идёт.Не пойму людей кто этой фигнёй занимается,видимо пытаются показать(какие мы крутые).Пользуюсь невидимой капчей разработка Андрея Сорвина,название плагина Invisible Captcha,нареканий нет и прост в установке.Даже отключил Akismet.

    • Юлия пишет:

      Ну я немного не про спам писала, это безобидная забава, а вот если у Вас сайт закрывают из-за внедренного вредоносного кода-вот здесь действительно обидно…а спам-удалил и все и дела :yes:

      • Степан пишет:

        Да я вас понял,про что вы писали,я добавил о спаме,может кому пригодится невидимая капча. Sad

        • Юлия пишет:

          Спасибо за название плагина, у меня тоже невидимая стоит, только другая, просто спам не такая страшная проблема, а вот проникновение на сайт меня очень пугает…может потому и реагирую очень бурно, извините… Heart

  14. Степан пишет:

    Всё нормально будет,я тоже не знакомым людям не очень доверяю.Сейчас всё жульё в интернет ушло,защита нужна.Актуальная тема.

  15. Степан пишет:

    Недосмотрел,не хотел обратную ссылку оставлять,проскачила.

  16. Степан пишет:

    А не подскажите как этот плагин называется,тоже у себя бы хотел установить.Сейчас галочку не убрал. Smile

  17. Светлана пишет:

    Скажите мне пожалуйста какой все таки плагин защитит мой сайт лучше и ставить плагин на сайт:Better WP Security?

  18. Светлана пишет:

    Скажите пожалуйста так ставить плагин Better WP Security на сайт или нет? И каким плагином лучше всего защитить сайт?

    • Юлия пишет:

      Светлана, я не могу так советовать..Возможно, у Вас этот плагин будет исправно защищать сайт, в отличие от меня..А я установила еще плагин Semisecure Login Reimagined, ну и провела все те мероприятия о которых написала в статье.

  19. Светлана пишет:

    У меня он вроде бы ничего пока не сделал плохого. правдо про коментарии незнаю. Их пока не было. да в принципе я его и не настраивала потому что в этом не понимаю, а вы незнаетеу кого можно почитать как его по пунктам настроить?Я имею в виду Better WP Security?

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

[+] Жми на плюс- Открой тайник- Чтоб прикольный СМАЙЛ возник!
:bye: 
:good: 
:negative: 
:scratch: 
:wacko: 
:yahoo: 
B-) 
:heart: 
:rose: 
:-) 
:whistle: 
:yes: 
:cry: 
:mail: 
:-( 
:unsure: 
;-)