7 эффективных приемов для защиты сайта от взлома

Добрый день, дорогие друзья! В прошлой статье мы развеяли мифы о безопасности сайта на WordPress. Сегодня продолжим тему и разберем, как защитить сайт от взлома.

Вы узнаете о нескольких практических способах защиты вашего ресурса.

Конечно, хакер-профессионал взломает почти любой блог, но стоит все же усложнить ему задачу по максимуму.

В этом случае будет шанс, что взломщик оставит ваш сайт в покое и отправится искать более легкую добычу. Защита сайта или блога — важный момент и ему стоит уделить внимание.

 Как защитить сайт

1. Сложный пароль

Как создать надежный пароль я уже рассказывала, вы можете прочитать об этом здесь. Но хочется добавить еще несколько моментов. Не используйте один и тот же пароль для нескольких сайтов и сервисов.

Не сохраняйте пароли в браузере. Это очень удобная функция, особенно если вы заходите постоянно на одни и те же сайты, и многие ей пользуются (и я не исключение 🙂 , но постепенно удаляю пароли, особенно от наиболее важных для меня ресурсов).

Но помните, что тем самым вы делаете ваши данные доступными для любого, в чьи руки попадет ваш компьютер.

Кроме того, получить доступ к вашим данным можно и удаленно, при помощи трояна или перехвата трафика в открытой сети Wi-Fi. Поэтому стоит все же дважды подумать, перед тем как сохранить пароль в браузере. Если у Вас много паролей и Вы не можете их запомнить, используйте менеджер паролей.

Периодически стоит менять пароли, даже если они надежные.

2. Резервное копирование файлов и баз данных

Конечно, многие хостинги предлагают услугу резервного копирования,  но на любом хостинге может
случиться авария, что приведет к потере баз данных. Поэтому лучше подстраховаться и все сделать самим.

В базе данных хранятся все записи, комментарии и ссылки блога. В случае повреждения базы данных, вы потеряете все написанное.

Резервные копии стоит делать регулярно и хранить минимум 3 последние копии в разных местах и на разных носителях.

Для создания резервной копии базы данных можно использовать плагин Ithemes Security, либо UpdraftPlus — WordPress Backup and Restoration.

Скачиваем плагин из админки и активируем. Плагин создает резервные копии базы данных, а также всех файлов блога.

Укажите свой электронный адрес, чтобы получать копии на почту и задайте периодичность. Бекап базы данных лучше делать каждый день, а бэкап всех файлов чуть реже, например, раз в неделю.

Бэкап файлов также можно сделать самостоятельно. Для этого нам понадобится FTP-менеджер. Я использую FileZilla. Для создания копии файлов подключаемся к серверу хостинга.

В настройках в меню «Сервер» включаем «Принудительно отображать скрытые файлы». Затем вы выделяете все файлы на вашего блога на хостинге, щелкаете правой кнопкой мышки и выбираете скачать.

Предварительно рекомендую создать отдельную папку на компьютере, где будут храниться все резервные копии. А внутри этой папки создавать папки с датой, когда вы делаете копирование и туда скачивать файлы.

И не храните пароль от хостинга в FTP-менеджере.  Лучше потратить лишнюю минуту и ввести его заново.

3. Изменение логина

По умолчанию у всех стоит логин Admin для попадания в панель WordPress, что очень упрощает работу хакерам. Логин им уже известен и остается только подобрать пароль, который очень часто довольно простой.

Чтобы изменить логин, вам надо зайти в панель управления хостингом и открыть PHPmyAdmin.

Открываете вашу базу данных и выбираете пункт «wp-users». Нажимаем изменить и вместо admin пишем другой логин. Новый логин нужно прописать в двух местах.

В моем хостинге эти пункты называются: user_login и user_nicename. При этом login и nicename я сделала разными. И не забудьте сохранить изменения.

4. Версия WordPress

Удалите из корневой папки вашего блога файлы Readme.txt и License.txt, чтобы хакеры не узнали вашу версию WordPress.

С этой же целью в файле header.php стоит удалить следующую строку:

<meta name=”generator” content=”WordPress <?php bloginfo (’version’); ?>” />

5. Плагины для защиты блога

Плагин AntiVirus — проверяет шаблон на наличие вредоносных кодов. Проверку можно осуществлять как в ручном, так и в автоматическом режиме.  Если все в порядке, то все разделы будут зеленые. Если же плагин найдет подозрительный код, он выделит его красным.

Плагин Block Bed Queries. Часто злоумышленники получают доступ к блогу, используя специальные запросы, чтобы найти уязвимые места.  Плагин BBQ защищает от  потенциально опасных запросов.

И очень рекомендую плагин Ithemes Security (бывший Better WP Security). У него широкие возможности по защите вашего блога.

Вот только некоторые из них:

  • указывает наличие уязвимостей и исправляет их;
  • меняет префикс базы данных;
  • ограничивает количество попыток ввода пароля и блокирует пользователя, уоторый пытается подобрать пароль к вашей админ-панели;
  • создает резервную копию баз данных;
  • скрывает ссылку для входа в Админ-панель. Вы сами создаете новую ссылку, и таким образом другие не смогут попасть на страницу ввода логина и пароля.

Подробно о нем я рассказала в бесплатном курсе по защите сайта. Скачивайте и изучайте.

Кроме этого предлагаю Вам избавиться от спамных комментариев, о самом эффективном способы Вы узнаете в этой статье.

6. Проверка на наличие вирусов

Установите на компьютер антивирус и регулярно выполняйте проверку.

Регулярно проверяйте нет ли сообщений о проблемах и вирусах в Инструментах вебмастеров от Яндекса и Гугла.

Для этого в Яндекс.Вебмастер зайдите в раздел Безопасность, а в инструментах веб-мастеров Гугл в раздел Проблемы Безопасности.  Если Вы увидите сообщение, что проблем не обнаружено, то значит все в порядке.

7. Обновление плагинов и движка

Как только появляется новая версия движка WordPress или обновления для плагинов, обновляйте. Новые версии более надежны, так как разработчики устраняют многие уязвимости. Но перед обновлением не забывайте делать резервную копию сайта.

Это простые и необходимые способы, которые помогут защитить сайт или блог от взлома. А какой способ используете вы? Считаете ли вы, что защита сайта важно и стоит о ней позаботиться?

С уважением, Евгения Куварина

Понравилось? Расскажи друзьям!


Обсуждение: 69 комментариев
  1. Альберт:

    Как всегда очень полезные советы. Так же хочу сказать, что нужно регулярно обновлять версию WordPress. Это очень важно, так как новые версии, как правило лучше защищены.

    • Евгения:

      Альберт полностью согласна, нужно обновлять вордпресс и плагины

    • Людмила Винокурова:

      Многие даже не знают, что обновление WP — это улучшение защиты.
      Сама это узнала не так давно.

    • Наталья:

      Согласна, нужно периодически обновляться, это дополнительно помогает защите.

  2. Юлия Казакова:

    Спасибо за советики! Вот со сложными паролями у меня беда, ну не люблю я их всё! Хотя безопасность превыше всего, однозначно! 😉 А вот логин я сразу изменила, только вот его можно и здесь в комментариях легко увидеть!?

    • Юлия:

      Юль, у меня тоже со сложными паролями не складывается, как и с их разнообразием. 🙄 Но мне кажется, если кому-то действительно нужно будет взломать пароль, то это не составит слишком много труда.

    • Евгения:

      Согласна, сложный пароль тоже не гарантия безопасности, но все же лучше, чем ничего. Я тоже не люблю сложные пароли, но для блога придумала очень сложный символов на 20.

    • Наталия Хоробрых:

      А я как раз доверяю бумажным носителям, все коды и пароли записываю. За моим компом работаю только я, но все равно — ничего на нем такого не храню.
      И сына приучила — для своих всех дел и профилей тоже в блокнотик записывать, хотя он все и по памяти помнит.
      А вот резервное копирование — иногда забываю делать.

    • Юлия:

      Я в последнее время тоже стала записывать в ежедневник все свои пароли, потому как их скопилось уже ну очень много и все их в голове не удержать, а всяким запороленным вордовским файлам я вообще не доверяю, так как программ для их распороливания куча. Каждый год меняю ежедневник и все пароли аккуратно переносятся в новый.

    • Евгения:

      В комментариях можно отображать имя или любой ник, который не будет иметь отношения к логину 🙂

  3. Максим:

    Очень хорошие советы.Я бы ещё по советовал,ни в коем случае не одобрять комментарии с разными вставленными тегами и прочими ссылками,так как злоумышленников сейчас очень много.

    • Евгения:

      Максим, спасибо за совет

    • Людмила Винокурова:

      С плагином Инвизибл капча такие комменты сразу идут в спам (или корзину — как настроишь).

    • Ирина Раковец:

      Мне этот плагин тоже очень нравится. Все делает за нас 🙂

    • Сергей:

      Я никогда не одобряю комментарии ссылками, разве что в виде исключения, комментарии проверенных людей

  4. Юлия:

    Очень дельные советы. Пароли храню в браузере только на собственном компьютере. Когда работала, на компьютере после себя очищала список посещенных сайтов и куки. Плагин считаю очень нужным, потому что порой в скриптах, которые мы себе вставляем на блог, содержатся вирусы, а мы об этом и не знаем.

  5. Катерина Брынина:

    Ой, как много всего можно сделать. Я, лентяйка, и половины не делаю :(…

    • Катерина Брынина:

      Блин, за полтора месяца так ничего и не сделала, хотя собиралась. Вдвойне лентяйка! 👿

    • Евгения:

      Мне каждый день отчеты приходят о попытке взлома админки, так что безопасностью пренебрегать не стоит

    • Наталья:

      Женя, мне тоже стали приходить предупреждения,что кто то пытается войти в админпанель, так что твои рекомендации мне кстати. Занесла тебя в закладки, буду работать.Спасибо, все твои статьи очень полезны. 🙂

    • Евгения:

      Спасибо, Наталья! Мне в защите очень помогает плагин Better WP Security, у него просто масса возможностей.

  6. Наталья Самолюк:

    Еще хотелось бы добавить. Пороли на электронных ящиках периодически меняйте. Обязательно прикрепите к ним свой номер телефона.

    • Евгения:

      Вот менять никак не приучусь, а надо бы

    • Людмила Винокурова:

      Очень хороший совет, Наталья! Только вот у меня тоже всё руки не доходят менять эти пароли. Ладно хоть телефоны привязала!

    • Наталья:

      У меня на почте тоже пароль один и тот же уже давно стоит, надо поменять 🙂

  7. pimpik:

    А Вы не могли бы подсказать, что означает эта строка в файле header.php, которую нужно удалить? А вдруг она для чего-то там нужна

    • Евгения:

      Она как раз указывает, какая версия вордпресс у вас установлена, я ее удалила без проблем, но конечно, сначала стоит сохранить исходный вариант файла, прежде чем вносить какие-либо изменения, мало ли что

  8. Галина:

    Когда ж успевать всем заниматься — и пароли менять, и статьи новые писать, и сайт продвигать? 😕

    Беру на заметку — рутинная,но нужная вещь защита от взлома.

  9. AlexSinutin:

    По поводу второго пункта, забыл как называется плагин…. Очень удобная вещь… Создает полную резервную копию блога и автоматом заливает ее на дропбокс, можно настраивать расписание и прочие прелести. Вспомню, обязательно напишу.

  10. фиалка молчаливая:

    за видио спасибо. танцующий пони это прикольно

  11. Остапенко Илья:

    А у меня хостер автоматически каждый день делает бекап и доступен он 3 дня, поэтому я не волнуюсь на эту тему. Да и многие хостинги делают такую услугу, очень полезна.

    • Евгения:

      У меня тоже хостинг делает бекапы, но и с хостингом может всякое случится, поэтому лучше иметь самой резервные копии.

  12. Елена:

    А я вот делаю резервное копирование. и пароль ввожу каждый раз с клавиатуры. не сохраняю его. На прошлой неделе заметила что на скрытой странице стали появляться комментарии с «левых сайтов». После добавления первого коммента на моем блоге автоматически должна появляться страница благодарности за первый комментарий. но это же за добавление к любому моему посту. а тут как будто кто сломал и комменты добавляются именно к странице благодарности за первый комментарий. я в панике. что произошло не пойму. написала в тех поддержку на хостинге, порекомендовали заблокировать ip с которого приходят такие комментарии. как оказалось с одного и то го же ip, но типа разными ссылками на сайты. непонятной тематики. 💡

  13. Людмила Винокурова:

    Спасибо за статью,Евгения! Некоторые советы взяла на заметку.
    У меня вопрос — резервное копирование. Если сделали новое копирование, предыдущее ведь можно удалить?

    И ещё. Плагин Антивирус. Надо чтобы он был постоянно включен или можно его включать время от времени — проверил и отключил?

    • Евгения:

      У меня он постоянно включен, но думаю, можно и отключать. Главное, не забывать периодически включать и проверять блог

    • Людмила Винокурова:

      Это как с битыми ссылками, я раз в неделю проверяю. Также и с этим плагином можно!

  14. Ирина Раковец:

    Очень подробная статья. Спасибо, Евгения. Кладу в закладки. Особенно со сменой логина. Так просто все объяснили. На другом сайте читала — ничего не могла понять, а теперь попробую это сделать 🙂

  15. Татьяна:

    Надо делать сложный пароль и менять его почаще.

  16. Pavel:

    Лучше всегда делать резервную копию, это сохранит сайт в любом случае)

  17. Александр Шнякин:

    Вот это действительно актуальная информация для меня. Спасибо большое за советы нужные!.. недавно у меня был очередной взлом сайта, после чего были обнаружены дарвеи и по этой причине сайт потерял почти 80% трафика (с 1000 уников до 200 в сутки).

  18. Василий:

    Защита нужна, особенно при создании авторского контента.

  19. Pavel:

    От роботов и горе-хакеров должно помочь. Спасибо!

  20. astroloq1:

    Не смогла сразу все запомнить и освоить, поставлю вашу страничку в закладки, очень нужная информация.

  21. Peopletravel:

    Защита сайта — это важный этап в его проектировании и эксплуатации.
    Спасибо за советы

  22. Екатерина:

    Начинающим модератора статья будет весьма интересна. Улыбнул момент с логином Admin 🙂 У самой раньше был такой :)))

  23. Наталья:

    Жень, у меня вопрос по поводу плагина WordPress Database Backup. Его установишь, отметишь, допустим каждый день и он сам будет делать резервное копирование и каждый день присылать на почту и самой больше не надо ничего делать?
    И можно в двух словах о плагине, который у тебя установлен Better WP Security, я просто незнаю, что все таки лучше для защиты поставить.

    • Евгения:

      Да, надо просто указать как часто нужно присылать резервную копию (лучше каждый день) и свой мейл, и плагин все сам будет делать.
      Если установишь его, то WP Database Backup не нужен, так как в Better WP Security есть эта функция. Его возможности очень широки, он хорошо защищает и заменяет несколько плагинов.

    • Наталья:

      Женечка, спасибо большое, буду этим заниматься, потому что очень актуально сейчас.

    • Наталья:

      Спасибо Жень, справилась за час и все установила, дольше думала и боялась. 🙄

    • Евгения:

      У меня так же было. Я несколько раз о плагине читала, но все боялась установить, а потом все же решилась и очень довольна

  24. Наталья:

    Жень, хотела изменить свой логин, но таких файлов не нашла, что у тебя в статье описаны. Думаю, может не так что то поняла, написала в техподдержку, (у меня Спринтхост), и вот что они мне прислали:»Логин автоматически создаётся используя домен указанный при оформлении заказа. Возможность изменения логина, к сожалению, не предусмотрена.» Глупо как то, да?
    Про сохранение резервных копий спрашивать теперь расхотела.. Значит придется все таки плагин устанавливать, чтоб уж точно знать и быть спокойной.

    • Евгения:

      Наташ, мне кажется это они тебе ответили по поводу логина для входа на хостинг, а изменить нужно логин для входа в админ панель WordPress, логин к ней можно поменять в любом хостинге.

    • Наталья:

      Да Жень, наверное так и есть,я что то не подумала что они могли иметь ввиду вход на хостинг. Спасибо тебе за подсказку! 😛

  25. Crepeer:

    Привык защищать сайт с помощью htaccess прописываю доступ к админ-панели, к файлу wp-config.php и к каталогу wp-admin, только с определенного IP-адреса или диапазона адресов.

  26. Маргарита:

    О Readme.txt и License.txt не знала. Посмотрела в корень своего сайта на сервере, нашла License.txt и удалила. А вместо Readme.txt у меня оказался Readme.html — удалила и его ))

    • Евгения Куварина:

      При этом удалять надо после каждого обновления движка, так как после обновления они снова появляются

  27. Денис Скрипник:

    Хорошая статья. Я ещё раз понял, что не зря удалил все пароли от сайтов из всех программ и файлов.
    1. Пароли всегда делаю очень сложные. У меня нет паролей, короче двенадцати символов. Есть даже один пароль, состоящий из пятидесяти символов :-). Я работаю по такому правилу: придумываю текст из Русских слов, после чего записываю в Английской раскладке Русскими буквами.
    Вот раньше я тоже любил сохранять пароли. Несколько дней назад от хостинга и сайта удалил.
    2. Бекап на хостинге сохраняется каждый день, причём один хранится на том же сервере, что и сайт, а другая — на их бекап-сервере, к которому доступа нет. Можно оттуда скачать бекап только через админку.
    Кроме этого я сохраняю бекап к себе на локальный диск «Д» своего компьютера и ставлю пароль на архив.
    3. Логины Admin и Админ никогда не использую, потому что уже где-то год назад об этом узнал.
    4. Так как я WordPress не использую, этой проблемы нет: версия движка, которого я использую, нигде не упоминается.
    5. Плагинов этих нет.

  28. Данил:

    Я бы еще посоветовал регулярно обновлять движок сайта и плагины. Поскольку Вордпресс не совершенен и имеет «дыры» в коде, через которые нехорошие люди взламывают сайты. В новых версиях этих дыр как правило меньше.

    • Евгения Куварина:

      Согласна, сама сразу же обновляю и движок, и плагины.

  29. Наталья:

    Приму к сведению!
    Бывает так, что не обновляю подолгу. 😐

  30. Данил:

    И еще сложный пароль к админке хостинга, ограничение на FTP и хороший антивирус на компьютере. Тогда ваш блог точно защищен

    • Евгения Куварина:

      Данил, а что означает ограничение на FTP?

  31. Антон:

    Начал задумываться о защите своего блога и решали поискать, но не в яндексе, а сначала по блогам которые читаю. Интересный пост. Все вопросы которые себе задавал тут отражены. Будем защищать блог. Спасибо за качественную информацию.

  32. Мозгунова Ирина:

    Самая актуальная статья для меня.
    А то, наделала блогов, а вдруг чей злой глаз не так посмотрит!
    Начинаю изучать и применять!
    Спасибо огромное, Евгения!

  33. Алекс:

    Здравствуйте, Евгения!
    Вижу, на Вашем блоге много хороших статей!
    Буду внимательнее читать, знакомиться, использовать в работе.
    А защита блога — первое дело!

    Хороший блог, интересные статьи, буду чаще заходить в гости!

  34. Наталья:

    Жень подскажи пожалуйста, как чистить логи, если установлен плагин Better WP Security?
    И вообще что такое эти логи, никак не пойму?
    Это длинный список файлов, которые присылают на почту?
    Извини пож. за одни вопросы, но мне нужно за это взяться. 😮

  35. Наталья:

    Женя, большое спасибо за видео, с плагином Better WP Security разобралась, кое что изменила и проставила галочки. И… наконец то почистила логи!!! Там было много чего чистить 😯
    Спасибо тебе!! ну и я молодец тоже, уфффф, гора с плеч!! ❗

    • Евгения Куварина:

      Наташ, рада, что все получилось :)!

  36. Наталья:

    С твоей помощью Женечка все всегда получается 😉

Поделитесь своим мнением

 

Заберите Ваш Подарок!
Блог на ordPress

Дайджест инвестора

Об инвестициях и заработке в Интернете

email рассылки Конфиденциальность гарантирована
email рассылки
Подпишись на мой канал!
Подпишись на канал
Душевные подарки на любой праздник! Заказывайте!
Давайте дружить!
Принимаем Z-Payment
© 2016 Денежный бриз