Приветствую вас, друзья!
Безопасность сайта — хорошая вещь, о которой мне пришлось серьёзно задуматься. Сначала просто задуматься, а потом — пол интернета перерыть. Потому, что очень неприятно видеть в поиске Яндекса под ссылкой на твой сайт такую надпись:
Сайт может угрожать безопасности вашего компьютера или мобильного устройства
Нажимаешь на это сообщение и видишь следующее:
Посетителей сразу как ветром сдуло. Ещё в прошлую субботу я могла любоваться цифрой посещаемости 180-190 уникальных посетителей в сутки. Была мысль, что и до 300 уже недалеко. А в эту субботу счетчик показывал всего 39 человек, непонятно каким образом забредших на зараженный сайт.
Поскольку Яндекс индексирует мой сайт раз в две недели почему-то (а надпись эта появилась после последней индексации), предположила, что будет если эта надпись провисит две недели. Даже если я вылечу сайт. Даже если буду писать статьи. Ну не выгружать же контент с зараженного сайта в социальные сети?
Решила удалить как можно быстрее, если ничего не поможет. Зачем оставлять в интернете сайт с вредоносным кодом?
Сейчас всё уже позади. Предварительно почистив компьютер от вирусов, я сохранила на жесткий диск архив с директорией сайта (становимся на папку с сайтом — Архиватор -Архивировать — Два щелчка по архиву и он скачивается на компьютер). Проверка файлов сайта показала наличие троянской программы, которую я удалила. Причем, архив до удаления трояна весил 121,1 МБ, а после сего мероприятия вновь сформированный архив — уже 119,4 МБ.
Яндекс снял пометку о вредоносном коде. А у меня остался файл со списком мер безопасности по обеспечению защиты сайта, куда я сохранила найденную в интернете информацию. Вот этим списком и хочу с вами сейчас поделиться, чтобы Вы в отличие от меня даже не попадали в такую неприятную ситуацию.
Кое-что мне не сразу было понятно, но постепенно разобралась, поэтому список будет с пояснениями почему, как и что нужно сделать.
Итак,
Список мер безопасности сайта с пояснениями.
Прежде чем приступить к выполнению действий из этого списка — обязательно сделайте бэкап сайта (сохранение архива директории сайта на жёстский диск компьютера)!
1.Установка плагина для защиты входа в админку:
Login LockDown или Limit Login Attempts — для предотвращения многократных попыток входа в админку
Тут всё просто, загружаем обычным образом, делаем простые настройки и плагин начинают работать.
2.Смена логина и пароля для входа в админку:
По умолчанию логин на вход в админку — admin, об этом все знают, хакеры тоже. Поэтому нужно его сменить, вместе с паролем.
Сделать это через админ-панель можно только одним способом: добавить нового пользователя с другим логином в меню Пользователи, затем, зайдя под логином нового пользователя, удалить старого пользователя. Все записи в момент удаления старого пользователя нужно связать с логином нового пользователя.
Есть ещё пара способов сменить логин-пароль через панель phpMyAdmin — открывается она в Вашем хостинг-аккаунте в разделе Управление базами данных MySQL .
2.1Смена логина «admin» с помощью SQL запроса
Итак, идём в панель phpMyAdmin, заходим в таблицу базы данных.
Переходим на вкладку SQL и в поле ввода SQL-запроса к БД вводим код:
Нажмите ОК, если всё правильно, будет так:
Повторяю, этот запрос только для смены логина «admin» на какой-то другой.
Если у Вас изначально был другой логин (то есть если Вы сразу при создании пользователя изменили admin на другой логин) и Вы хотите его сменить, то измените сначала логин в функции user_login = ‘admin’ admin на другой логин.
2.2.Смена логина и пароля путём редактирования таблицы wp_users базы данных SQL.
Заходим в в панель phpMyAdmin, выбираем базу данных нашего сайта/блога.
В появившемся списке таблиц выбираем wp_users
Нажмите на значок, показанный синей стрелкой. В открывшемся окне нажмите на карандашик (редактирование) рядом с названием пользователя, логин которого Вы хотите изменить:
Открывается таблица, в которой в двух местах — user_login и user_nicename надо изменить логин «admin» на другой, который Вы выбрали. Пароль меняем в строчке user_pass, только из выпадающего списка надо выбрать MD5.
Нажимаем ОК, проверяем возможность входа в админку.
Честно говоря, я проверяла несколько раз — после такой смены логина и пароля в админку войти не могла. Хотя всё делала согласно инструкциям, которые почерпнула на нескольких сайтах. Что я делала неправильно так и не поняла.
Поэтому сменила логин путем ввода SQL-запроса. Всё прошло нормально.
3.В корневой папке сайта/блога ищем файлы readme.html и license.txt, удаляем их.
Эти файлы в работе не нужны, но ими могут воспользоваться хакеры для выяснения версии движка и других данных.
Также удаляем из файла header.php темы сайта/блога такую строчку:
<meta name=”generator” content=”WordPress <?php bloginfo (’version’); ?>” />
Нашла у себя файл header.php, вот по такому пути public_html/wp-content/themes/striking, но нажав Ctrl + F я такой строки не обнаружила, поэтому удалять было нечего…
4. Набираем в браузере адреса:
http://ваш сайт.ru/wp-content/
http://ваш блог.ru/wp-content/plugins/
Смотрим, можем ли мы видеть таким образом все файлы и папки, лежащие в этих директориях. Если видим — очень плохо! Создаем пустой файл index.php и закачиваем его сначала в одну директорию, затем в другую. Теперь при открытии в браузере этих директорий мы должны видеть просто чистую страницу.
У меня всё сразу отображалось нормально, то есть ввиде чистой страницы, загружать пустой файл index.php я поэтому не стала.
Также рекомендуется вставить в файл .htaccess строчку:
Options All -Indexes
Это навсегда устранит возможность просмотра директорий на блоге.
Добавила. Вроде ничего не полетело. Всё работает.
5.Установите плагин для бэкапов wp database backup
Очень удобно, плагин делает бэкап Вашей базы данных и отправляет её на Ваш почтовый ящик.
6. А также делайте регулярно проверку файлов Вашего сайта на вирусы, желательно, каждый день.
7.Закачивайте файлы на хостинг через панель управления хостинг-аккаунтом, ftp-соединение всё-таки более опасное.
8.Уберите из шаблона ссылку на вход в административную панель.
Это необходимо, чтобы пользователи не могли быстро получить доступ к панели входа в админку и подобрать пароли.
9.Обязательно устанавливайте сложные, надёжные, длинные, уникальные пароли для входа в административную панель, в ftp, в панель для входа в хостинг.
Особенно в панель для входа в хостинг!!!
Думаю, понятно, что всё, о чём мы говорили выше, будет абсолютно бесполезно, если злоумышленнки взломают пароль для входа в хостинг…
А логин на хостинге изменить нельзя. У моего хостинг-провайдера по крайней мере.
Зато пароль можно сделать очень длинным — до 30 знаков. Почему бы не воспользоваться этой возможностью и не обезопасить свой хостинг-аккаунт максимальным образом?
Вот пока и всё из основных настроек. Список этот далеко не полный. В следующей статье я расскажу о том, какие ещё дополнительные настройки можно произвести на своём сайте или блоге, чтобы обезопасить его от злоумышленников ещё более качественным образом.
Друзья, хорошо бы вам никогда не знать той ситуации, в которой побывала я. Но в вопросах безопасности сайта всё зависит только от вас.
Сделайте всё возможное для защиты Вашего сайта от рук мошенников и сделайте это сегодня!
С уважением,
автор блога Александра Клименко
Напишу шаблонно, но действительно очень полезная информация.
Спасибо. Лишь бы пригодилось.
Спасибо, Александра! Полезная информация, подробно и доходчива подана. Восстанавливать работоспособность сайта значительно сложнее, чем побеспокоиться заранее о его безопасности.
Да, если бы я сразу об этом побеспокоилась, можно было бы кучи проблем избежать…
Отличный материал, спасибо.
Пользуйтесь, Александр.
Александра, спасибо за подробное описание действий по установлению защиты
Это ещё не всё, Галина. Будет продолжение.
статью однозначно в закладки для детального изучения! Спасибо за подробные инструкции. уже думала о том, как сменить этого admin, до такого способа не додумалась.
В статье три способа описала, как сменить логин admin. Выбирайте тот, который Вам подходит.
Я тоже, только летом, оказалась в такой же неприятной ситуации. И меня спас бэкап сайта.Его нужно сделать перед чисткой сайта ОБЯЗАТЕЛЬНО! Спасибо за подробные рекомендации.
Согласна, бэкап сайта спасает во многих ситуациях.
Я тоже думаю что в моих закладка лишней, эта статья не будет. Спасибо Александра.
Иногда «отправил в закладки» имеет продолжение «и забыл». Так что лучше сразу это применить.
Благодарю, Александра! Очень подробно расписано человеческим языком. Мои сайты на Joomla, но направление действий понятно, буду заниматься защитой сайта.
На Joomla наверняка что-то подобное можно сделать. Успехов!
Александра, как обычно отличные советы! Спасибо, сделаем все возможное для безопасности сайта!
Сделайте, Дмитрий. Чем раньше, тем лучше.
Саша, спасибо за такой подробный алгоритм решения проблемы! Всегда лучше заранее соломки подложить, чем потом страдать от потери наших драгоценных сайтов. Твоя статья очень полезна не только для новичков, иногда и «старожилы» в интернете не знают эту информацию или не придают значения проблеме (пока)))
Да нет, старожилы наверняка знают, они ещё больше способов защиты приведут, тут только некоторые.
Александра! Если бы Вы знали, как вовремя вы написали этот пост. Она как нельзя кстати. С первых чисел декабря у меня та же проблема.
Спасибо огромное!
Светлана, рада, что помогла. Напишите, удалось ли решить проблему полностью?
Саша, спасибо, что поделились своим опытом. Надо будет проработать все по пунктам.
Да, это надо обязательно сделать тем, кто ещё не сделал.
Полезная информация для тех, кто начинает вести свой блог.
Спасибо, Александр!
Александра, спасибо за полезные рекомендации по настройке безопасности сайта
Старалась, лучше в такие ситуации конечно не попадать.
Добрый вечер, Александра. Вступила в вашу группу в Контакте. Она показалась мне интересной и полезной. Посмотрела сайт. Понравился — лаконично и со вкусом. Видимо мы учились на одних и тех же курсах. У меня аналогичный сайт с аналогичным дизайном. И теперь тоже возникла необходимость оформить группу. Прошу помощи. Нужна пошаговая инструкция по созданию группы. Чем вы руководствовались? Может есть учебный материал? Или напишите пошагово что за чем делать? Долго это? Помогите пожалуйста.
Здравствуйте, Елена!
Про группу ответила в почту.
Посмотрела Ваш сайт — тоже очень интересный!
Фавикончик такой …клёвый 🙂 ))
И рецепты полезные.
Ура! Яндекс снял пометку о вредоносном коде с моего сайта. Теперь начну предпринимать меры безопасности по Вашему списку. Огромное спасибо за поддержку!
Удачи Вам во всем!
Александра, плагин Anti-XSS attack, насколько мне известно, устарел . Настоятельно рекомендую обязательно поставить Firewall 2. Также необходимы плагины, мониторящие изменения в файлах типа WordPress File Monitor Plus
Спасибо, Искандер!
Александра, спасибо а полезную информацию. Буду делать все по вашей инструкции. Недавно сайт полностью взломали, и гугл разместил на нем банер «Внимание опасный сайт». Служба поддержки хостинга все исправила. Ну роботы до сих пор каждый день атакуют мой сайт, пытаются подобрать пароли. Сайт через раз недоступен. И посещаемость просто катастрофически падает. Сейчас попробую запоролить по вашему рецепту. Спасибо большое
Оксана, здравствуйте! Как дела с сайтом?
Если ничего не помогает, можно заказать лечилку за деньги: http://antivirus-alarm.ru/antivirus_cleaning/
Здравствуйте, Александра! У меня появилась точно такая ссылка на мой сайт. Прощу расскажите подробней, как Вы проверяли файлы сайта. Это был какой-то антивирусник или Вы искали вручную? Если искали вручную, подскажите какие файли нужно проверить?
Я проверила антивирусником NOD32 — он показывает, что вируса нет. Проверила некоторые файлы доктором вебом — показывает, что все чисто. Как же мне найти этого гада? Если не сложно, подскажите! Спасибо!
Здравствуйте, Светлана!
Я искала антивирусом NOD32, также как и Вы. Проверяла скачанный с хостинга архив директории сайта со всеми папками и файлами, нашла там файл, поименованный непонятным набором цифр и букв — троянскую программу, как антивир показал.
Попробуйте проверить сервисом http://antivirus-alarm.ru/proverka/ — сервис хороший, антивирусные мировые базы. Там же и полечить можно, только стоит дорого.
Спасибо Вам большой, буду искать!