Приветствую вас, друзья!

Безопасность сайта — хорошая вещь, о которой мне пришлось серьёзно задуматься. Сначала просто задуматься, а потом —  пол интернета перерыть. Потому, что очень неприятно видеть в поиске Яндекса под ссылкой на твой сайт такую надпись:

Сайт может угрожать безопасности вашего компьютера или мобильного устройства

Нажимаешь на это сообщение и видишь следующее:

вредоносное ПО

Посетителей сразу как ветром сдуло. Ещё в прошлую субботу я могла любоваться цифрой посещаемости 180-190 уникальных посетителей в сутки. Была мысль, что и до 300 уже недалеко. А в эту субботу счетчик показывал всего 39 человек, непонятно каким образом забредших на зараженный сайт.

Поскольку Яндекс индексирует мой сайт раз в две недели почему-то (а надпись эта появилась после последней индексации), предположила, что будет если эта надпись провисит две недели. Даже если я вылечу сайт. Даже если буду писать статьи. Ну не выгружать же контент с зараженного сайта  в социальные сети?

Решила удалить как можно быстрее, если ничего не поможет. Зачем оставлять в интернете сайт с вредоносным кодом?

Сейчас всё уже позади. Предварительно почистив компьютер от вирусов, я сохранила на жесткий диск архив с директорией сайта (становимся на папку с сайтом — Архиватор -Архивировать — Два щелчка по архиву и он скачивается на компьютер). Проверка файлов сайта показала наличие троянской программы, которую я удалила. Причем, архив до удаления трояна весил 121,1 МБ, а после сего мероприятия вновь сформированный архив — уже 119,4 МБ.

Яндекс снял пометку о вредоносном коде. А у меня остался файл со списком мер безопасности по обеспечению защиты сайта, куда я сохранила найденную в интернете информацию. Вот этим списком и хочу с вами сейчас поделиться, чтобы Вы в отличие от меня даже не попадали в такую неприятную ситуацию.

Кое-что мне не сразу было понятно, но постепенно разобралась, поэтому список будет с пояснениями почему, как и что нужно сделать.

Итак,

Список мер безопасности сайта с пояснениями.

Прежде чем приступить к выполнению действий из этого списка — обязательно сделайте бэкап сайта (сохранение архива директории сайта на жёстский диск компьютера)!

1.Установка плагина для защиты входа в админку:

Login LockDown или Limit Login Attempts — для предотвращения многократных попыток входа в админку

Тут всё просто, загружаем обычным образом, делаем простые настройки и плагин начинают работать.

2.Смена логина и пароля для входа в админку:

По умолчанию логин на вход в админку — admin, об этом все знают, хакеры тоже. Поэтому нужно его сменить, вместе с паролем.

Сделать это через админ-панель можно только одним способом: добавить нового пользователя с другим логином в меню Пользователи, затем, зайдя под логином нового пользователя, удалить старого пользователя. Все записи в момент удаления старого пользователя нужно связать с логином нового пользователя.

пользователи

Есть ещё пара способов сменить логин-пароль через панель phpMyAdmin — открывается она в Вашем хостинг-аккаунте в разделе Управление базами данных MySQL .

вход в панель phpMyAdmin

2.1Смена логина «admin» с помощью SQL запроса

Итак, идём в панель phpMyAdmin, заходим в таблицу базы данных.

Переходим на вкладку SQL и в поле ввода SQL-запроса к БД вводим код:

UPDATE wp_users SET user_login = ‘Здесь пропишите новый логин’ WHERE user_login = ‘admin’;

Нажмите ОК, если всё правильно, будет так:

если всё правильно

Повторяю, этот запрос только для смены логина «admin» на какой-то другой.

Если у Вас изначально был другой логин (то есть если Вы сразу при создании пользователя изменили admin на другой логин) и Вы хотите его сменить, то измените сначала логин в функции user_login = ‘admin’ admin на другой логин.

2.2.Смена логина и пароля путём редактирования таблицы wp_users базы данных SQL.

Заходим в в панель phpMyAdmin, выбираем базу данных нашего сайта/блога.

В появившемся списке таблиц выбираем wp_users

таблицы

Нажмите на значок, показанный синей стрелкой. В открывшемся окне нажмите на карандашик (редактирование) рядом с названием пользователя, логин которого Вы хотите изменить:

изменение логина

Открывается таблица, в которой в двух местах — user_login и user_nicename надо изменить логин «admin» на другой, который Вы выбрали. Пароль меняем в строчке user_pass, только из выпадающего списка надо выбрать MD5.

таблица

Нажимаем ОК, проверяем возможность входа в админку.

Честно говоря, я проверяла несколько раз — после такой смены логина и пароля в админку войти не могла. Хотя всё делала согласно инструкциям, которые почерпнула на нескольких сайтах. Что я делала неправильно так и не поняла.

Поэтому сменила логин путем ввода SQL-запроса. Всё прошло нормально.

3.В корневой папке сайта/блога ищем файлы readme.html и license.txt, удаляем их.

Эти файлы в работе не нужны, но ими могут воспользоваться хакеры для выяснения версии движка и других данных.

Также удаляем из файла header.php темы сайта/блога такую строчку:

<meta name=”generator” content=”WordPress <?php bloginfo (’version’); ?>” />

Нашла у себя файл header.php, вот по такому пути public_html/wp-content/themes/striking, но нажав Ctrl + F  я такой строки не обнаружила, поэтому удалять было нечего…

4. Набираем в браузере адреса:

http://ваш сайт.ru/wp-content/

http://ваш блог.ru/wp-content/plugins/

Смотрим, можем ли мы видеть таким образом все файлы и папки, лежащие в этих директориях. Если видим — очень плохо! Создаем пустой файл index.php и закачиваем его сначала в одну директорию, затем в другую. Теперь при открытии в браузере этих директорий мы должны видеть просто чистую страницу.

У меня всё сразу отображалось нормально, то есть ввиде чистой страницы, загружать пустой файл index.php я поэтому не стала.

Также рекомендуется вставить в файл .htaccess строчку:

Options All -Indexes

Это навсегда устранит возможность просмотра директорий на блоге.

Добавила. Вроде ничего не полетело. Всё работает.

5.Установите плагин для бэкапов wp database backup

Очень удобно, плагин делает бэкап Вашей базы данных и отправляет её на Ваш почтовый ящик.

6. А также делайте регулярно проверку файлов Вашего сайта на вирусы, желательно, каждый день.

Может так случиться, что Вы сами того не желая, внесёте в файлы сайта вредоносный скрипт или код — например, устанавливая устаревший плагин или ещё что-нибудь.
Ещё раз как делать такую проверку: находясь в аккаунте хостинга — Файловый менеджер — становитесь на директорию с сайтом — Архиватор — Архивировать — двойной щелчок по полученному архиву и сайт скачивается на компьютер. Потом просто проверяете антивирусником, если всё в порядке — хорошо, Вам всё равно полный архив сайта не помешает.
Или проверяйте на этих ресурсах: taghostingiritec.ru и antivirus-alarm.ru
Само собой разумеется, что плагины лучше скачивать с официального сайта разработчика, а также важно скачивать только последние версии, поскольку в старых могут быть бреши.

7.Закачивайте файлы на хостинг через панель управления хостинг-аккаунтом, ftp-соединение всё-таки более опасное.

Если всё же без ftp не обойтись — обязательно убирайте пароли из ftp-клиента. Также настраивайте сервер и ftp клиент на прерывание сессии при бездействии.

8.Уберите из шаблона ссылку на вход в административную панель.

 Это необходимо, чтобы пользователи не могли быстро получить доступ к панели входа в админку и подобрать пароли.

9.Обязательно устанавливайте сложные, надёжные, длинные, уникальные пароли для входа в административную панель, в ftp, в панель для входа в хостинг.

Особенно в панель для входа в хостинг!!!

Думаю, понятно, что всё, о чём мы говорили выше, будет абсолютно бесполезно, если злоумышленнки взломают пароль для входа в хостинг…

А логин на хостинге изменить нельзя. У моего хостинг-провайдера по крайней мере.

Зато пароль можно сделать очень длинным — до 30 знаков. Почему бы не воспользоваться этой возможностью и не обезопасить свой хостинг-аккаунт максимальным образом?

Вот пока и всё из основных настроек. Список этот далеко не полный. В следующей статье я расскажу о том, какие ещё дополнительные настройки можно произвести на своём сайте или блоге, чтобы обезопасить его от злоумышленников ещё более качественным образом.

Друзья, хорошо бы вам никогда не знать той ситуации, в которой побывала я. Но в вопросах безопасности сайта всё зависит только от вас.

Сделайте всё возможное для защиты Вашего сайта от рук мошенников и сделайте это сегодня!

С уважением,
автор блога Александра Клименко

Хочешь начать новую жизнь?Начни с исполнения Мечты!

Введи свое имя и свой E-mail в эту форму и получи бесплатную книгу
«Мечтай и Действуй!»

25 практических заданий бесплатно
и плюс ко всему — несколько бонусов

Ваш e-mail: *
Ваше имя: *

 

Об авторе

Друзья, рада приветствовать вас на страницах своего проекта! Это проект о понимании себя и своих возможностей. Главная тема здесь — это мы сами, люди, наши огромные возможности и кратчайшие способы их реализовать. Мне очень не хотелось бы, чтобы кто-то из вас упустил свои шансы в жизни. Так бывает, мы часто откладываем наши желания и возможности их реализовать на потом. Иногда нам кажется, что наши возможности очень ограниченны из-за недостатка финансов или других ресурсов. На самом же деле ресурсов достаточно для всех. Наши Мечты остаются нереализованными не из-за недостатка ресурсов, а из-за недостатка действий. В результате получается такой дисбаланс: с одной стороны наши, такие огромные, Мечты, а с другой стороны наши, такие маленькие, действия. И как раз тому, чтобы выровнять баланс Мечт и Действий я хочу посвятить этот проект сейчас. Мы ни в коем случае не будем уменьшать наши огромные Мечты. Но мы каждый раз и в каждом конкретном случае будем увеличивать наши Действия. И придём, таким образом, к идеальному балансу. Я в прошлом главный бухгалтер, поэтому мысль об идеальном балансе мне особенно близка, бухгалтера меня поймут)). Сейчас я коуч, тренер и действующий предприниматель, читайте мою историю здесь>> Моя история Итак, да пребудет с нами сила. А так же — безграничное счастье наряду с безграничными возможностями!

38 Responses to Безопасность сайта. Основные настройки

  • Константин

    Напишу шаблонно, но действительно очень полезная информация.

    • Александра Клименко

      Спасибо. Лишь бы пригодилось.

  • Зоя

    Спасибо, Александра! Полезная информация, подробно и доходчива подана. Восстанавливать работоспособность сайта значительно сложнее, чем побеспокоиться заранее о его безопасности.

    • Александра Клименко

      Да, если бы я сразу об этом побеспокоилась, можно было бы кучи проблем избежать…

  • Александр

    Отличный материал, спасибо.

    • Александра Клименко

      Пользуйтесь, Александр.

  • Галина

    Александра, спасибо за подробное описание действий по установлению защиты

    • Александра Клименко

      Это ещё не всё, Галина. Будет продолжение.

  • Ирина

    статью однозначно в закладки для детального изучения! Спасибо за подробные инструкции. уже думала о том, как сменить этого admin, до такого способа не додумалась.

    • Александра Клименко

      В статье три способа описала, как сменить логин admin. Выбирайте тот, который Вам подходит.

  • Ольга

    Я тоже, только летом, оказалась в такой же неприятной ситуации. И меня спас бэкап сайта.Его нужно сделать перед чисткой сайта ОБЯЗАТЕЛЬНО! Спасибо за подробные рекомендации.

    • Александра Клименко

      Согласна, бэкап сайта спасает во многих ситуациях.

  • Юрий

    Я тоже думаю что в моих закладка лишней, эта статья не будет. Спасибо Александра.

    • Александра Клименко

      Иногда «отправил в закладки» имеет продолжение «и забыл». Так что лучше сразу это применить.

  • Михаил

    Благодарю, Александра! Очень подробно расписано человеческим языком. Мои сайты на Joomla, но направление действий понятно, буду заниматься защитой сайта.

    • Александра Клименко

      На Joomla наверняка что-то подобное можно сделать. Успехов!

  • Дмитрий

    Александра, как обычно отличные советы! Спасибо, сделаем все возможное для безопасности сайта!

    • Александра Клименко

      Сделайте, Дмитрий. Чем раньше, тем лучше.

  • Elena Meteleva

    Саша, спасибо за такой подробный алгоритм решения проблемы! Всегда лучше заранее соломки подложить, чем потом страдать от потери наших драгоценных сайтов. Твоя статья очень полезна не только для новичков, иногда и «старожилы» в интернете не знают эту информацию или не придают значения проблеме (пока)))

    • Александра Клименко

      Да нет, старожилы наверняка знают, они ещё больше способов защиты приведут, тут только некоторые.

  • Светлана

    Александра! Если бы Вы знали, как вовремя вы написали этот пост. Она как нельзя кстати. С первых чисел декабря у меня та же проблема.
    Спасибо огромное!

    • Александра Клименко

      Светлана, рада, что помогла. Напишите, удалось ли решить проблему полностью?

  • Алла

    Саша, спасибо, что поделились своим опытом. Надо будет проработать все по пунктам.

    • Александра Клименко

      Да, это надо обязательно сделать тем, кто ещё не сделал.

  • Александр Кириллов

    Полезная информация для тех, кто начинает вести свой блог.

    • Александра Клименко

      Спасибо, Александр!

  • Андрей

    Александра, спасибо за полезные рекомендации по настройке безопасности сайта

    • Александра Клименко

      Старалась, лучше в такие ситуации конечно не попадать.

  • Елена

    Добрый вечер, Александра. Вступила в вашу группу в Контакте. Она показалась мне интересной и полезной. Посмотрела сайт. Понравился — лаконично и со вкусом. Видимо мы учились на одних и тех же курсах. У меня аналогичный сайт с аналогичным дизайном. И теперь тоже возникла необходимость оформить группу. Прошу помощи. Нужна пошаговая инструкция по созданию группы. Чем вы руководствовались? Может есть учебный материал? Или напишите пошагово что за чем делать? Долго это? Помогите пожалуйста.

    • Здравствуйте, Елена!
      Про группу ответила в почту.
      Посмотрела Ваш сайт — тоже очень интересный!
      Фавикончик такой …клёвый 🙂 ))
      И рецепты полезные.

  • Светлана

    Ура! Яндекс снял пометку о вредоносном коде с моего сайта. Теперь начну предпринимать меры безопасности по Вашему списку. Огромное спасибо за поддержку!
    Удачи Вам во всем!

  • Искандер

    Александра, плагин Anti-XSS attack, насколько мне известно, устарел . Настоятельно рекомендую обязательно поставить Firewall 2. Также необходимы плагины, мониторящие изменения в файлах типа WordPress File Monitor Plus

    • Александра Клименко

      Спасибо, Искандер!

  • Оксана

    Александра, спасибо а полезную информацию. Буду делать все по вашей инструкции. Недавно сайт полностью взломали, и гугл разместил на нем банер «Внимание опасный сайт». Служба поддержки хостинга все исправила. Ну роботы до сих пор каждый день атакуют мой сайт, пытаются подобрать пароли. Сайт через раз недоступен. И посещаемость просто катастрофически падает. Сейчас попробую запоролить по вашему рецепту. Спасибо большое

  • Светлана

    Здравствуйте, Александра! У меня появилась точно такая ссылка на мой сайт. Прощу расскажите подробней, как Вы проверяли файлы сайта. Это был какой-то антивирусник или Вы искали вручную? Если искали вручную, подскажите какие файли нужно проверить?
    Я проверила антивирусником NOD32 — он показывает, что вируса нет. Проверила некоторые файлы доктором вебом — показывает, что все чисто. Как же мне найти этого гада? Если не сложно, подскажите! Спасибо!

    • Александра Клименко

      Здравствуйте, Светлана!
      Я искала антивирусом NOD32, также как и Вы. Проверяла скачанный с хостинга архив директории сайта со всеми папками и файлами, нашла там файл, поименованный непонятным набором цифр и букв — троянскую программу, как антивир показал.
      Попробуйте проверить сервисом http://antivirus-alarm.ru/proverka/ — сервис хороший, антивирусные мировые базы. Там же и полечить можно, только стоит дорого.

  • Светлана

    Спасибо Вам большой, буду искать!

Написать ответ

Your email address will not be published. Required fields are marked *