Мечтай и действуй!
О Тебе и Твоих возможностях. Блог копирайтера Александры Клименко.
 
  • Главная
  • О проекте
    • Политика Конфиденциальности
    • Карта сайта
  • Моя история
  • Статьи
  • Услуги
    • Договор-оферта. Информация о местонахождении
    • Страница для доступа в личный кабинет Школы копирайтинга для экспертов 2-й поток

Безопасность сайта. Основные настройки

By: Александра Клименко|3 декабря 201238 комментариев

Приветствую вас, друзья!

Безопасность сайта — хорошая вещь, о которой мне пришлось серьёзно задуматься. Сначала просто задуматься, а потом —  пол интернета перерыть. Потому, что очень неприятно видеть в поиске Яндекса под ссылкой на твой сайт такую надпись:

Сайт может угрожать безопасности вашего компьютера или мобильного устройства

Нажимаешь на это сообщение и видишь следующее:

вредоносное ПО

Посетителей сразу как ветром сдуло. Ещё в прошлую субботу я могла любоваться цифрой посещаемости 180-190 уникальных посетителей в сутки. Была мысль, что и до 300 уже недалеко. А в эту субботу счетчик показывал всего 39 человек, непонятно каким образом забредших на зараженный сайт.

Поскольку Яндекс индексирует мой сайт раз в две недели почему-то (а надпись эта появилась после последней индексации), предположила, что будет если эта надпись провисит две недели. Даже если я вылечу сайт. Даже если буду писать статьи. Ну не выгружать же контент с зараженного сайта  в социальные сети?

Решила удалить как можно быстрее, если ничего не поможет. Зачем оставлять в интернете сайт с вредоносным кодом?

Сейчас всё уже позади. Предварительно почистив компьютер от вирусов, я сохранила на жесткий диск архив с директорией сайта (становимся на папку с сайтом — Архиватор -Архивировать — Два щелчка по архиву и он скачивается на компьютер). Проверка файлов сайта показала наличие троянской программы, которую я удалила. Причем, архив до удаления трояна весил 121,1 МБ, а после сего мероприятия вновь сформированный архив — уже 119,4 МБ.

Яндекс снял пометку о вредоносном коде. А у меня остался файл со списком мер безопасности по обеспечению защиты сайта, куда я сохранила найденную в интернете информацию. Вот этим списком и хочу с вами сейчас поделиться, чтобы Вы в отличие от меня даже не попадали в такую неприятную ситуацию.

Кое-что мне не сразу было понятно, но постепенно разобралась, поэтому список будет с пояснениями почему, как и что нужно сделать.

Итак,

Список мер безопасности сайта с пояснениями.

Прежде чем приступить к выполнению действий из этого списка — обязательно сделайте бэкап сайта (сохранение архива директории сайта на жёстский диск компьютера)!

1.Установка плагина для защиты входа в админку:

Login LockDown или Limit Login Attempts — для предотвращения многократных попыток входа в админку

Тут всё просто, загружаем обычным образом, делаем простые настройки и плагин начинают работать.

2.Смена логина и пароля для входа в админку:

По умолчанию логин на вход в админку — admin, об этом все знают, хакеры тоже. Поэтому нужно его сменить, вместе с паролем.

Сделать это через админ-панель можно только одним способом: добавить нового пользователя с другим логином в меню Пользователи, затем, зайдя под логином нового пользователя, удалить старого пользователя. Все записи в момент удаления старого пользователя нужно связать с логином нового пользователя.

пользователи

Есть ещё пара способов сменить логин-пароль через панель phpMyAdmin — открывается она в Вашем хостинг-аккаунте в разделе Управление базами данных MySQL .

вход в панель phpMyAdmin

2.1Смена логина «admin» с помощью SQL запроса

Итак, идём в панель phpMyAdmin, заходим в таблицу базы данных.

Переходим на вкладку SQL и в поле ввода SQL-запроса к БД вводим код:

UPDATE wp_users SET user_login = ‘Здесь пропишите новый логин’ WHERE user_login = ‘admin’;

Нажмите ОК, если всё правильно, будет так:

если всё правильно

Повторяю, этот запрос только для смены логина «admin» на какой-то другой.

Если у Вас изначально был другой логин (то есть если Вы сразу при создании пользователя изменили admin на другой логин) и Вы хотите его сменить, то измените сначала логин в функции user_login = ‘admin’ admin на другой логин.

2.2.Смена логина и пароля путём редактирования таблицы wp_users базы данных SQL.

Заходим в в панель phpMyAdmin, выбираем базу данных нашего сайта/блога.

В появившемся списке таблиц выбираем wp_users

таблицы

Нажмите на значок, показанный синей стрелкой. В открывшемся окне нажмите на карандашик (редактирование) рядом с названием пользователя, логин которого Вы хотите изменить:

изменение логина

Открывается таблица, в которой в двух местах — user_login и user_nicename надо изменить логин «admin» на другой, который Вы выбрали. Пароль меняем в строчке user_pass, только из выпадающего списка надо выбрать MD5.

таблица

Нажимаем ОК, проверяем возможность входа в админку.

Честно говоря, я проверяла несколько раз — после такой смены логина и пароля в админку войти не могла. Хотя всё делала согласно инструкциям, которые почерпнула на нескольких сайтах. Что я делала неправильно так и не поняла.

Поэтому сменила логин путем ввода SQL-запроса. Всё прошло нормально.

3.В корневой папке сайта/блога ищем файлы readme.html и license.txt, удаляем их.

Эти файлы в работе не нужны, но ими могут воспользоваться хакеры для выяснения версии движка и других данных.

Также удаляем из файла header.php темы сайта/блога такую строчку:

<meta name=”generator” content=”WordPress <?php bloginfo (’version’); ?>” />

Нашла у себя файл header.php, вот по такому пути public_html/wp-content/themes/striking, но нажав Ctrl + F  я такой строки не обнаружила, поэтому удалять было нечего…

4. Набираем в браузере адреса:

http://ваш сайт.ru/wp-content/

http://ваш блог.ru/wp-content/plugins/

Смотрим, можем ли мы видеть таким образом все файлы и папки, лежащие в этих директориях. Если видим — очень плохо! Создаем пустой файл index.php и закачиваем его сначала в одну директорию, затем в другую. Теперь при открытии в браузере этих директорий мы должны видеть просто чистую страницу.

У меня всё сразу отображалось нормально, то есть ввиде чистой страницы, загружать пустой файл index.php я поэтому не стала.

Также рекомендуется вставить в файл .htaccess строчку:

Options All -Indexes

Это навсегда устранит возможность просмотра директорий на блоге.

Добавила. Вроде ничего не полетело. Всё работает.

5.Установите плагин для бэкапов wp database backup

Очень удобно, плагин делает бэкап Вашей базы данных и отправляет её на Ваш почтовый ящик.

6. А также делайте регулярно проверку файлов Вашего сайта на вирусы, желательно, каждый день.

Может так случиться, что Вы сами того не желая, внесёте в файлы сайта вредоносный скрипт или код — например, устанавливая устаревший плагин или ещё что-нибудь.
Ещё раз как делать такую проверку: находясь в аккаунте хостинга — Файловый менеджер — становитесь на директорию с сайтом — Архиватор — Архивировать — двойной щелчок по полученному архиву и сайт скачивается на компьютер. Потом просто проверяете антивирусником, если всё в порядке — хорошо, Вам всё равно полный архив сайта не помешает.
Или проверяйте на этих ресурсах: taghosting, iritec.ru и antivirus-alarm.ru
Само собой разумеется, что плагины лучше скачивать с официального сайта разработчика, а также важно скачивать только последние версии, поскольку в старых могут быть бреши.

7.Закачивайте файлы на хостинг через панель управления хостинг-аккаунтом, ftp-соединение всё-таки более опасное.

Если всё же без ftp не обойтись — обязательно убирайте пароли из ftp-клиента. Также настраивайте сервер и ftp клиент на прерывание сессии при бездействии.

8.Уберите из шаблона ссылку на вход в административную панель.

 Это необходимо, чтобы пользователи не могли быстро получить доступ к панели входа в админку и подобрать пароли.

9.Обязательно устанавливайте сложные, надёжные, длинные, уникальные пароли для входа в административную панель, в ftp, в панель для входа в хостинг.

Особенно в панель для входа в хостинг!!!

Думаю, понятно, что всё, о чём мы говорили выше, будет абсолютно бесполезно, если злоумышленнки взломают пароль для входа в хостинг…

А логин на хостинге изменить нельзя. У моего хостинг-провайдера по крайней мере.

Зато пароль можно сделать очень длинным — до 30 знаков. Почему бы не воспользоваться этой возможностью и не обезопасить свой хостинг-аккаунт максимальным образом?

Вот пока и всё из основных настроек. Список этот далеко не полный. В следующей статье я расскажу о том, какие ещё дополнительные настройки можно произвести на своём сайте или блоге, чтобы обезопасить его от злоумышленников ещё более качественным образом.

Друзья, хорошо бы вам никогда не знать той ситуации, в которой побывала я. Но в вопросах безопасности сайта всё зависит только от вас.

Сделайте всё возможное для защиты Вашего сайта от рук мошенников и сделайте это сегодня!

С уважением,
автор блога Александра Клименко

Друзья, с марта 2017 года я веду ежедневную Email-рассылку, в которой каждый день делюсь полезными фишками о копирайтинге и продажах. Так же рассказываю о том, как справиться со своими страхами и осуществить мечты. С любыми, даже самыми страшными страхами можно справиться, а Личность человека можно полностью поменять (например, из необщительного человека стать общительным, из нерешительного стать смелым и решительным) с помощью простых методик и фишек.

Хотите полностью поменять свою Личность и осуществить мечты?

Укажите адрес, куда присылать фишки:

Прочитал и даю согласие на обработку персональных данных в соотвествии с Политикой конфиденциальности



26 июля 2017 Александра Клименко

38 Responses to Безопасность сайта. Основные настройки

  • Константин 3 декабря 2012

    Напишу шаблонно, но действительно очень полезная информация.

    Ответить
    • Александра Клименко 3 декабря 2012

      Спасибо. Лишь бы пригодилось.

      Ответить
  • Зоя 3 декабря 2012

    Спасибо, Александра! Полезная информация, подробно и доходчива подана. Восстанавливать работоспособность сайта значительно сложнее, чем побеспокоиться заранее о его безопасности.

    Ответить
    • Александра Клименко 3 декабря 2012

      Да, если бы я сразу об этом побеспокоилась, можно было бы кучи проблем избежать…

      Ответить
  • Александр 3 декабря 2012

    Отличный материал, спасибо.

    Ответить
    • Александра Клименко 4 декабря 2012

      Пользуйтесь, Александр.

      Ответить
  • Галина 3 декабря 2012

    Александра, спасибо за подробное описание действий по установлению защиты

    Ответить
    • Александра Клименко 4 декабря 2012

      Это ещё не всё, Галина. Будет продолжение.

      Ответить
  • Ирина 3 декабря 2012

    статью однозначно в закладки для детального изучения! Спасибо за подробные инструкции. уже думала о том, как сменить этого admin, до такого способа не додумалась.

    Ответить
    • Александра Клименко 4 декабря 2012

      В статье три способа описала, как сменить логин admin. Выбирайте тот, который Вам подходит.

      Ответить
  • Ольга 4 декабря 2012

    Я тоже, только летом, оказалась в такой же неприятной ситуации. И меня спас бэкап сайта.Его нужно сделать перед чисткой сайта ОБЯЗАТЕЛЬНО! Спасибо за подробные рекомендации.

    Ответить
    • Александра Клименко 4 декабря 2012

      Согласна, бэкап сайта спасает во многих ситуациях.

      Ответить
  • Юрий 4 декабря 2012

    Я тоже думаю что в моих закладка лишней, эта статья не будет. Спасибо Александра.

    Ответить
    • Александра Клименко 4 декабря 2012

      Иногда «отправил в закладки» имеет продолжение «и забыл». Так что лучше сразу это применить.

      Ответить
  • Михаил 4 декабря 2012

    Благодарю, Александра! Очень подробно расписано человеческим языком. Мои сайты на Joomla, но направление действий понятно, буду заниматься защитой сайта.

    Ответить
    • Александра Клименко 4 декабря 2012

      На Joomla наверняка что-то подобное можно сделать. Успехов!

      Ответить
  • Дмитрий 4 декабря 2012

    Александра, как обычно отличные советы! Спасибо, сделаем все возможное для безопасности сайта!

    Ответить
    • Александра Клименко 6 декабря 2012

      Сделайте, Дмитрий. Чем раньше, тем лучше.

      Ответить
  • Elena Meteleva 4 декабря 2012

    Саша, спасибо за такой подробный алгоритм решения проблемы! Всегда лучше заранее соломки подложить, чем потом страдать от потери наших драгоценных сайтов. Твоя статья очень полезна не только для новичков, иногда и «старожилы» в интернете не знают эту информацию или не придают значения проблеме (пока)))

    Ответить
    • Александра Клименко 6 декабря 2012

      Да нет, старожилы наверняка знают, они ещё больше способов защиты приведут, тут только некоторые.

      Ответить
  • Светлана 5 декабря 2012

    Александра! Если бы Вы знали, как вовремя вы написали этот пост. Она как нельзя кстати. С первых чисел декабря у меня та же проблема.
    Спасибо огромное!

    Ответить
    • Александра Клименко 6 декабря 2012

      Светлана, рада, что помогла. Напишите, удалось ли решить проблему полностью?

      Ответить
  • Алла 5 декабря 2012

    Саша, спасибо, что поделились своим опытом. Надо будет проработать все по пунктам.

    Ответить
    • Александра Клименко 6 декабря 2012

      Да, это надо обязательно сделать тем, кто ещё не сделал.

      Ответить
  • Александр Кириллов 5 декабря 2012

    Полезная информация для тех, кто начинает вести свой блог.

    Ответить
    • Александра Клименко 6 декабря 2012

      Спасибо, Александр!

      Ответить
  • Андрей 5 декабря 2012

    Александра, спасибо за полезные рекомендации по настройке безопасности сайта

    Ответить
    • Александра Клименко 6 декабря 2012

      Старалась, лучше в такие ситуации конечно не попадать.

      Ответить
  • Елена 6 декабря 2012

    Добрый вечер, Александра. Вступила в вашу группу в Контакте. Она показалась мне интересной и полезной. Посмотрела сайт. Понравился — лаконично и со вкусом. Видимо мы учились на одних и тех же курсах. У меня аналогичный сайт с аналогичным дизайном. И теперь тоже возникла необходимость оформить группу. Прошу помощи. Нужна пошаговая инструкция по созданию группы. Чем вы руководствовались? Может есть учебный материал? Или напишите пошагово что за чем делать? Долго это? Помогите пожалуйста.

    Ответить
    • Александра Клименко 7 декабря 2012

      Здравствуйте, Елена!
      Про группу ответила в почту.
      Посмотрела Ваш сайт — тоже очень интересный!
      Фавикончик такой …клёвый 🙂 ))
      И рецепты полезные.

      Ответить
  • Светлана 11 декабря 2012

    Ура! Яндекс снял пометку о вредоносном коде с моего сайта. Теперь начну предпринимать меры безопасности по Вашему списку. Огромное спасибо за поддержку!
    Удачи Вам во всем!

    Ответить
  • Искандер 22 декабря 2012

    Александра, плагин Anti-XSS attack, насколько мне известно, устарел . Настоятельно рекомендую обязательно поставить Firewall 2. Также необходимы плагины, мониторящие изменения в файлах типа WordPress File Monitor Plus

    Ответить
    • Александра Клименко 31 января 2013

      Спасибо, Искандер!

      Ответить
  • Оксана 21 апреля 2013

    Александра, спасибо а полезную информацию. Буду делать все по вашей инструкции. Недавно сайт полностью взломали, и гугл разместил на нем банер «Внимание опасный сайт». Служба поддержки хостинга все исправила. Ну роботы до сих пор каждый день атакуют мой сайт, пытаются подобрать пароли. Сайт через раз недоступен. И посещаемость просто катастрофически падает. Сейчас попробую запоролить по вашему рецепту. Спасибо большое

    Ответить
    • Александра Клименко 6 июля 2013

      Оксана, здравствуйте! Как дела с сайтом?
      Если ничего не помогает, можно заказать лечилку за деньги: http://antivirus-alarm.ru/antivirus_cleaning/

      Ответить
  • Светлана 5 июля 2013

    Здравствуйте, Александра! У меня появилась точно такая ссылка на мой сайт. Прощу расскажите подробней, как Вы проверяли файлы сайта. Это был какой-то антивирусник или Вы искали вручную? Если искали вручную, подскажите какие файли нужно проверить?
    Я проверила антивирусником NOD32 — он показывает, что вируса нет. Проверила некоторые файлы доктором вебом — показывает, что все чисто. Как же мне найти этого гада? Если не сложно, подскажите! Спасибо!

    Ответить
    • Александра Клименко 6 июля 2013

      Здравствуйте, Светлана!
      Я искала антивирусом NOD32, также как и Вы. Проверяла скачанный с хостинга архив директории сайта со всеми папками и файлами, нашла там файл, поименованный непонятным набором цифр и букв — троянскую программу, как антивир показал.
      Попробуйте проверить сервисом http://antivirus-alarm.ru/proverka/ — сервис хороший, антивирусные мировые базы. Там же и полечить можно, только стоит дорого.

      Ответить
  • Светлана 6 июля 2013

    Спасибо Вам большой, буду искать!

    Ответить

Написать ответ Cancel reply

Your email address will not be published. Required fields are marked *

Copyright © 2011-2017 А. Клименко Заполняя любую форму на этом сайте, вы соглашаетесь с Политикой конфиденциальности.
Мы используем куки для наилучшего представления нашего сайта. Если Вы продолжите использовать сайт, мы будем считать что Вас это устраивает.Ok