Приветствую вас, друзья!
Сегодня продолжаем разговор о безопасности сайта. Несколько основных настроек, важных для безопасности сайта было дано в статье Безопасность сайта. Основные настройки, а в этой статье — несколько дополнительных настроек, которые помогут улучшить качество защиты сайта.
Список дополнительных настроек для безопасности сайта.
Важно! Перед выполнением настроек сделайте бэкап сайта: сохранение директории сайта на жёсткий диск компьютера, чтобы в случае ошибки или сбоя скриптов быстро восстановить сайт.
1.Сделайте всё для устранения СПАМ-комментариев на сайте!
СПАМ-комментарии могут содержать в себе ссылки на вирусные сайты, сателлиты или ГС. Думаю, эта цитата вас убедит:
Но в интернете полно DOFOLLOW блогов без предмодерации с страницами в километр спам комментариев. В Яндексе они умирают при первом АПе, а вот в Гугле живут в среднем несколько месяцев.
Спам комментарии в любом виде стоит удалять, так как ведут они чаще всего на саттелиты, ГС, варезники и прочий бред. Если поисковые системы увидят такие ссылки у вас на блоге, то реакция будет однозначной, раз сайт ссылается на ГС, значит он и есть ГС.
Так что если Ваш блог или сайт DOFOLLOW (ссылка в поле комментария «сайт» — свободно индексируемая ссылка, впрочем, как и все ссылки, оставляемые в комментариях) — предмодерация здесь лучшее решение.
Чтобы избавить свой блог от спам-комментариев есть множество плагинов, самый популярный Akismet. Есть и другие плагины, а также скрипты (Антиспам например) выберите на свой вкус.
2.Ещё раз о проверке сайта на вирусы:
Иногда делать каждый день бэкап на жесткий диск для проверки файлов сайта, затруднительно. Этот вопрос прекрасно решают специальные сервисы для проверки сайтов на вирусы.
Например, www.taghosting.ru. Вставил URL сайта в специальное поле — и готово:
Есть ещё другой хороший сервис antivirus-alarm.ru, только на нём почему-то медленней сайт проверяется. Но проверку выполняет antivirus-alarm + мировые антивирусные базы, наверное это сказывается на продолжительности.
Проверка закончилась, и вот такой длинющий отчет получился(нажмите, чтобы посмотреть):
Я аж обалдела от количества названий антивирусных программ, которыми проверялся мой сайт.
И там ещё кнопочку вот такую выдают: 
Ну всё, пожалуй хватит эмоций, перейдём к следующему пункту.
3.Защита файла wp-config.
В этом файле хранится важная информация от базы данных. Для его защиты прописываем в него следующий код:
order allow,deny
deny from all
</files>
4.Меняем расположение файла wp-config.
Для повышения безопасности необходимо перенести файл wp-config на один уровень вверх. Например, у меня он был в папке public_html, а папка public_html — в папке директории сайта. Щелкаем дважды по нему — скачиваем таким образом на свой компьютер. Затем закачиваем обратно, но уже не в public_html, а в папку директории, а из public_html этот файл удаляем.
Страшно, но всё работает, ничего не полетело.
5.Меняем ссылку входа в административную панель.
Друзья, нашла такой интересненький плагинчик!!! Называется Stealth Login. Плагин позволяет создавать удобные ссылки для входа в админ-панель, например — http://www.ваш-блог.ru/login вместо http://www.ваш-блог.ru/wp-login.php.
А вход через http://www.ваш-блог.ru/wp-login.php вообще можно запретить, воспользовавшись функцией Stealth Mode.
И тогда, сами понимаете, вход в админку для тех, кто не знает по какой он ссылке находится будет очень затруднительным.
6.Скрываем версию WordPress, а также информацию об ошибках ввода логина.
Для этого есть отличный плагин Secure WordPress. Он скрывает информацию об ошибках на странице ввода логина и пароля. А также добавляет файл index.html в папку с плагинами, исключая тем самым возможность просмотра списка плагинов.
7.Напоследок — несколько общих рекомендаций по работе с блогом на компьютере:
- При работе в интернете на операционной системе Windows используйте обычную запись (Гость например), а не запись пользователя с правами администратора.
- Старайтесь не работать с блогом или другими важными данными, используя wi fi в публичных местах, например, кафе или торговых центрах.
- Регулярно (не реже одного раза в месяц) проверяйте свой компьютер на наличие вирусов. Кроме полной проверки антивирусной программой, которая установлена на компьютере (конечно лучше лицензионная), проверяйте также утилитой, например Dr.Web CureIt, лучше — несколькими утилитами.
- Не храните пароли в браузерах. Думаю, понятно почему, даже объяснять ничего не нужно.
- Если приходится заходить в блог с чужого компьютера, используйте TOR — это бесплатная система для анонимного серфинга в Интернете. Суть её в том, что она использует цепочку из нескольких прокси-серверов. Для удобства использования можно записать её на флэшку или воспользоваться плагином для Mozilla Firefox, который позволяет легко включать и отключать систему.
Хотя существует, конечно, ещё много способов усиления безопасности блога, и ещё больше различных интересных плагинов, созданных специально для этих целей — но, всё же в одну статью (и даже в две) всего не уместить.
Но даже если сделаете всё, что перечислено в этой, а также в предыдущей статье — Ваш блог уже будет серьёзно защищён от рук злоумышленников. Никто не застрахован, конечно, от форс-мажорных обстоятельств, но лучше сделать всё возможное чтобы предотвратить хотя бы часть из них.
Друзья, искренне надеюсь, что эти статьи помогут всем, кто решительно настроен обеспечить надёжную зашиту своих сайтов или блогов.
Желаю всем успехов в этом непростом деле!
С уважением,
автор блога Александра Клименко.
Александра, спасибо за такие профессиональные рекомендации по защите своей информации.
На здоровье, буду рада если пригодится.
Спасибо, Александра, за интересную информацию. Интересно, наши блоги когда — нибудь заинтересуют конкурентов, чтобы они наняли хакеров, а те провели на наши ресурсы doss — атаки?))))
Олег, в моей предыдущей статье как раз описывались подробности взлома моего блога. Какие-никакие блоги, а желающие напакостить всегда находятся.
Александра! Безопасность сайта с учетом Ваших рекомендаций по дополнительным настройкам в папке public_html и входа в административную панель сайта, очень пригодились. В последнее время кто-то постоянно ломится в дверь, но теперь её уже нет!
Теймур, плагин для смены ссылки входа очень хороший, но он несовместим с плагином защиты от XSS атак. Но есть для защиты от XSS атак и другие плагины, кроме того, что я в первой статье описала, напишу о них на днях ещё.
Спасибо,Александра. Обязательно воспользуюсь и поделюсь.
Александра, проверять компьютер раз в месяц маловато будет. Проверять нужно каждый раз после того, как Вы прошлись по блогам с комментариями. Еще лучше запускать браузер в песочнице.
Искандер, спасибо за совет профессионала в этой теме.
Поняла, что мне нужно основательно почистить свой компьютер от лишнего хлама. В его нынешнем состоянии он полдня на вирусы проверяется.
Ещё бы понять, как запускать браузер в песочнице, у меня ESET Smart Security 5
Александра, я не в курсе, есть ли песочница в ESET Smart Security 5. Рекомендую Sandboxie — самая шустрая из всех песочниц. У меня есть статьи по ее использованию, найдете через поиск.
ценная информация, спасибо!!! все больше беспокоит безопасность сайта
Спасибо за информацию. Для своего сайта также купыла сертификат ССЛ на _http://global.uanic.name/digital-ssl-certificate/index.php