- Добро пожаловать на блог! Я рада Вашему визиту! И буду очень рада помочь Вам быстро настроить защиту админ панели Вашего сайта или блога!
- Из публикации Вы узнаете, как улучшить безопасность сайта, как защитить веб сайт.
- 1. Установить плагин IThemes Security
- 2. Выполнить настройки плагина — IThemes Security настройки
- 3. Закрыть доступ на сайте ещё одним паролем или использовать IP авторизацию
- 4. Не сохранять пароли от сайта в браузерах
- 5. Посещайте сайты Яндекс.Вебмастер и Google Webmaster
- 6. Установите на компьютер антивирус
- Dr.Web Security Space 11
- 7. Не спешить делать обновление WordPress и плагинов
- 8. Что делать, если сайт взломали?
Добро пожаловать на блог! Я рада Вашему визиту! И буду очень рада помочь Вам быстро настроить защиту админ панели Вашего сайта или блога!
Не хочу Вас расстраивать, но большинство владельцев сайтов даже не догадываются, насколько панель администратора уязвима. И с какой лёгкостью хакеры могут получить доступ к ней. Есть несколько простых, но надёжных способов, как защитить подключение к сайту.
Вы спросите зачем хакерам нужен доступ к сайту? Для того, чтобы использовать Вашу площадку для продажи ссылок или для того, чтобы запускать с него работу так называемых «ботов». Также могут разместить на Вашем сайте рекламу «взрослых» сайтов, за что Ваш сайт могут забанить поисковые системы. Могут украсть контент сайта, конфиденциальные данные, разместить вирусы или даже уничтожить сайт.
Из публикации Вы узнаете, как улучшить безопасность сайта, как защитить веб сайт.
1. Установить плагин IThemes Security
Когда мы с Вами установили WordPress, то автоматически установился пользователь «admin». Мало кто из владельцев сайтов меняет стандартный логин «admin» на свой. Это известно злоумышленникам, таким образом, логин у них есть и остаётся подобрать только пароль. Чтобы им помешать, мы сделаем следующую настройку на сайте.
Для этой настройки необходимо установить плагин IThemes Security. Это лучший плагин для настройки многих мер безопасности для сайтов Вордпресс. Заходим в админку своего сайта. Нажимаем Плагины – Добавить новый. Вводим в поле для поиска плагинов название нашего плагина — IThemes Security и нажимаем Enter.
Затем нажимаем кнопку Установить. И далее – Активировать плагин. Как устанавливать плагины на сайт Вордпресс можете посмотреть в этой статье.
В левой панели нашей Консоли появилась кнопка Security. Нажимаем на эту кнопку левой кнопкой мыши. Затем нажимаем Advanced.
Видим блок Пользователь с правами администратора. И нажимаем на кнопку Configure settings.
Видим сообщение «Эта функция повысит уровень Вашей безопасности установки WordPress».
Напротив «Новое имя пользователя admin» надо ввести новое значение, например, Sasha.
Затем поставить галочку в поле «Изменить ID 1 пользователя.
Если, что-то было непонятно, посмотрите видео, как шаг за шагом выполнить вышеописанную защиту при помощи плагина IThemes Security.
2. Выполнить настройки плагина — IThemes Security настройки
При помощи инструкции в следующем видео мы сделаем все остальные настройки плагина безопасности WordPress — iThemes Security.
Когда будете делать настройки плагина по инструкции в видео, обратите особое внимание на 2 простые, но важные настройки:
1). В закладке Local Brute Force Protection надо поставить галочку напротив «Автоматически запретить пользователя admin». Но ставить её можно только в том случае, если Вы поменяли своего стандартного пользователя с «admin» на другое значение (как было показано в 1-м видео).
Обычно этот стандартный логин (admin) никто не меняет, поэтому злоумышленникам остаётся подобрать только пароль. Вы же поменяли его на другой — такой, который известен только Вам. Если Вы ещё не сделали этого, то сделайте, пользуясь инструкцией и видео предыдущего раздела публикации.
2). Сделайте важную настройку – в закладке «Спрятать страницу входа на сайт» поставьте галочку напротив «Спрятать страницу входа на сайт» и измените стандартную ссылку, по которой Вы заходите в админ панель сайта. Обычно для всех сайтов стандартный путь – это «имя сайта/wp-admin» и хакеры это знают. Вы же измените стандартное «wp-admin» на другое значение, известное только Вам. Для этого в поле напротив «Ссылка на страницу входа» введите Ваше значение, например, NNN. Теперь для входа в свою админку в поисковую строку Вы будете вводить не «имя сайта/wp-admin», а «имя сайта/NNN». NNN должно состоять из латинских букв и цифр. Это ещё один «заборчик» для злоумышленников. Обычно редко кто меняет стандартный URL для входа в админ панель сайта.
Обязательно выполните все остальные настройки плагина для безопасности сайта, указанные в видео инструкции, и …спите спокойно!
Видео инструкция по настройке лучшего плагина для безопасности сайта. IThemes Security настройки:
3. Закрыть доступ на сайте ещё одним паролем или использовать IP авторизацию
Обратите внимание на эту полезную информацию. Поставив дополнительный пароль к админ панели сайта Вы снижаете риски взлома сайта в разы. Принцип этого способа защиты прост. Обычно, когда Вы набираете в поисковой строке ссылку на Вашу админ панель («название сайта/wp-admin»), Вы попадаете на страницу, где Вам надо ввести логин и пароль. А если Вы установите плагин ADM, то в нём будет указан ещё один пароль. У хакера же данный плагин с паролем отсутствует и если он зайдет по ссылке «название сайта/wp-admin», то появится надпись «Access denied» («В доступе отказано»).
У Вас же данный плагин со 2-м паролем будет установлен, поэтому, когда Вы будете проходить по ссылке доступа к своей админке, у Вас сразу будет появляться окошко с логином и паролем для ввода.
Как настроить этот плагин и 2-й пароль см. в этой полезной статье в подразделе «Авторизация по кодовому слову».
В этой же статье подробно описано, как сделать защиту по IP. Если же IP-адрес у Вас динамический, то этот вариант отпадает.
Рассмотрим другие, доступные и простые способы, как защитить подключение к сайту.
4. Не сохранять пароли от сайта в браузерах
Лучше всего вводить их вручную, используя для легко запоминающегося пароля такой простой метод: вводить в английском регистре русскими буквами какое-то слово, которое знаете только Вы. Например, девичью фамилию матери и дату её рождения. Набор для Вас выглядит так Кудесникова*191258, а для всех это абракадабра (которую сложно подобрать) Reltcybrjdf*191258.
Я понимаю, что никто не любит вводить пароли вручную и на свой страх и риск всё равно все сохраняют пароли от множества программ и сервисов в своём браузере. Здесь я могу порекомендовать Вам классную программу, которой сама пользуюсь, потому что у меня очень много рабочих сервисов и программ. Это Roboform. При помощи этой программы Вы будете создавать очень-очень сложные пароли и надёжно хранить пароли от всех Ваших программ. Начните с бесплатного тарифа (можно хранить 10 паролей). Платный тариф — 495 руб. за год(!).
5. Посещайте сайты Яндекс.Вебмастер и Google Webmaster
Проверка сайта на безопасность нужна для профилактики возникновения проблем. Эти сервисы позволяют увидеть, есть ли на Вашем сайте файлы или код, которые заражены. Вот ссылка на рекомендации Яндекс.Вебмастер. В частности, на рекомендацию подписаться на сервис Яндекс.Вебмастер, чтобы он постоянно проверял страницы Вашего сайта на присутствие вредоносных вирусов.
Вам надо подписаться на уведомление о:
- появлении вредоносного кода на сайте, чтобы сразу принять меры;
- активности, которая выглядит подозрительно (спам в форумах, размещение на страницах спам-ссылок).
6. Установите на компьютер антивирус
Желательно, чтобы это были надёжные и проверенные антивирусные программы. Могу порекомендовать Касперского, Dr.Web и Nod32.
Я пользуюсь антивирусом от Dr.Web для защиты от интернет угроз. Вот его описание.
Dr.Web Security Space 11
Dr.Web Security Space 11 — популярное решение для комплексной защиты ПК от интернет-угроз. Обеспечивает надёжную броню для сетевого доступа, защищая систему от вирусов, руткитов, почтовых червей, хакерских утилит, спама, фишинга, заражённых веб-страниц.
322.50 руб.
7. Не спешить делать обновление WordPress и плагинов
Не делайте обновление WordPress сразу после выхода новой версии (например, версии. 4.0), потому что новая версия, как правило, имеет дыры, которыми могут воспользоваться злоумышленники и ещё требует доработок. Подождите, когда выйдет версия 4.1 или 4.2.
Плагины тоже не надо обновлять каждый раз, когда выходит новая версия (по той же причине).
8. Что делать, если сайт взломали?
- Если Вас взломали, то в 1-ю очередь надо посмотреть наличие спам ссылок на Вашем сайте. Надо посмотреть соответствующий шаблон. Например, если спам ссылки взломщики разместили в подвале Вашего сайта, то искать надо в шаблоне подвала. Информация о спам-ссылках есть на сервисах Яндекс Вебмастер и Гугл Вебмастер.
- Когда Вы заметили взлом, необходимо сразу записать дату.
- Проверить свои компьютеры на вирусы.
- Сменить пароли от FTP, хостинга и административной консоли сайта. Пароли обязательно должны быть сложными.
- Попробовать восстановить резервную копию сайта. Мой блог расположен на хостинге SprintHost. Очень удобно, что сам хостинг делает полную копию сайта, бэкап (сайт, базы, почта и настройки) 1 раз в сутки. Хранит шесть последних копий, при этом пространство моего эккаунта эти копии не занимают. Если понадобится откат – нужен запрос в службу поддержки на восстановление. Уточните, делает ли Ваш хостер бэкап сайта.
- Скачать все данные с сайта и проверить их антивирусом, который установлен на Вашем компьютере.
- Проверить сайт сканером AI-Bolit. Как это сделать рассказывается в этой статье.
- Срочно сделать обновление WordPress и Ваших плагинов.
- Изучить лог файлы. Запросить их у хостинга и попросить техподдержку, чтобы они их посмотрели.
Выше мы рассмотрели способы поиска и решения проблемы со взломом, которые Вы можете выполнить самостоятельно. Например, можно самостоятельно удалить вирусы с сайта.
Но IT-безопасность — это сложная техническая область и зачастую самостоятельно решить проблему полностью сложно.
В этом случае можно обратиться к профессионалам. Компания Revisium имеет репутацию надёжного профессионала, специализируется на лечении сайтов, защите от взлома, проверке сайтов на безопасность. У них очень много клиентов. Думаю, поэтому, им удаётся не «задирать» цену. Стоимость услуги лечения и защиты от взлома – от 3000 до 5000 руб за сайт. Думаю, это небольшая сумма, чтобы избавиться от своей текущей проблемы и обеспечить надёжную защиту на будущее.
В публикации мы рассмотрели советы по защите блога или сайта. Эти советы очень помогли мне. Думаю, у Вас теперь тоже есть достаточно полное представление о том, как выполнить настройки по защите панели администратора своего сайта. А также Вы вооружены знаниями, что делать, если сайт взломали. Но этого, конечно, не случится, потому что Ваш сайт теперь надёжно защищён.
Желаю Всем творить и радоваться!
Желаю вдохновения для всех Ваших дел и проектов!
Алёна Краева
P.S. Не забывайте делиться информацией в соц сетях!
Пишите в комментариях вопросы и свои фишки для защиты сайта.
Подписывайтесь на обновления блога — форма для подписки внизу.
Спасибо большое. Начинаю во всем разбиратся
Олеся, я рада, что начало положено! Желаю хорошего дня и успехов в Вашем проекте. Если возникнут вопросы — пишите!
Здравствуйте, Алена! Прошла успешно 8 шагов по вашей инструкции » Как быстро начать вести свой блог или сайт». Девятым шагом решила защитить админ панель WordPress и поставить плагин безопасности IThemes Security. Столкнулась с проблемой в пункте «Заменить jQuery безопасной версией»
В видео уроке в этом пункте нет проблем. У меня выскочила такая запись:
Your current jQuery version is undetermined. Please check your homepage to see if you even need this feature
Note that this only checks the homepage of your site and only for users who are logged in. This is done intentionally to save resources. If you think this is in error click here to check again. This will open your homepage in a new window allowing the plugin to determine the version of jQuery actually being used. You can then come back here and reload this page to see your version.
(Ваша Текущая версия jQuery не определен. Пожалуйста, проверьте вашу домашнюю страницу, чтобы увидеть, если вы даже нужна эта функция Обратите внимание, что это только проверяет страницы вашего сайта и только для пользователей, вошедших в систему. Это сделано специально для экономии ресурсов. Если вы считаете, что это ошибка нажмите здесь, чтобы еще раз проверить. Это откроет страницу в новом окне, что позволяет плагин для определения версии jQuery на самом деле используется. Затем вы можете вернуться сюда и перезагрузите эту страницу чтобы увидеть вашу версию).
Не подскажите, как наладить версию jQuery ? Я, как новичок — чайник совсем не представляю о чем идет речь.
Танечка,
Я с такой проблемой не сталкивалась, поэтому помочь сама Вам не смогу. Что можно сделать и как я обычно решаю такие технические проблемы:
1) сначала я «спрашиваю у Гугла». Вот нашла статью по этой теме. На этом сайте опубликован е-мейл вебмастера — владельца сайта, можно написать ему. Обычно за бесплатно, а некоторые за символическую плату отвечают на вопрос.
2) можно написать вопрос в техподдержку хостинга.
3) можно написать вопрос на биржу фриланса (самая недорогая из всех — work-zilla), там работают в основном студенты, бюджет для такого вопроса можно поставить минимальный — от 150 до 250 руб.
Здравствуйте, Алена! Плагин безопасности IThemes Security в разделе «Логи» несколько раз выдавал сообщения такого типа:
Функция Приоритет Время Хост Ссылка Реферрер
Ошибка 404 3 2017-04-20 08:55:58 89.44.149.29 /admin.php
А сейчас выдал 4 раза сообщения такого типа:
Функция Приоритет Время Хост Ссылка
Ошибка 404 3 2017-04-23 01:24:38 37.204.56.120 /not_found
Реферрер — длинный код
Не подскажите, что значит в разделе «Реферрер» не пустое поле, а такой длинный код?
Здравствуйте, Татьяна.
Еще одна функция плагина состоит в обнаружении ошибок с кодом 404. Состоит она в сборе инфо, каким хостам многократно отдается ошибка 404, и в их блокировке. Такой анализ важен, чтобы предотвратить сканирование роботами-ботами на предмет имеющихся уязвимостей сайта.
Также эта функция помогает вам найти скрытые проблемы сайта, которые вызывают ошибки 404. Это могут быть нерабочие внутренние ссылки или «битые» картинки. В логах у Вас будет много таких записей. Это норм.
Алена, большое спасибо за пояснение!
Татьяна, Ваши слова благодарности были сегодня очень кстати и можно сказать сделали мой день — вдохновили на новые статьи!
Алена, было бы здорово, если бы новые статьи подробнее рассказали об обнаружении ошибок с кодом 404 и о том, как обнаружить скрытые проблемы сайта.
Ок, я как раз планирую разместить статью о техническом аудите своего сайта.
Здравствуйте, Алёна! Вопрос такой: Можно ли в IThemes Security сменить имя пользователя ещё раз? Как это сделать?
Да, можно. Как сделать см. в этом видео https://www.youtube.com/watch?time_continue=210&v=JgCXZAQbuBg
Алена, добрый день! В адресной строке сайта выскакивает «Не защищено». Как это убрать? IThemes Security установила, настройки выполнила.
Еще обратила внимание, что на вашем блоге точно так же в адресной строке написано «не защищено» и при нажатии мышкой выпадает текст «не сообщайте этому сайту конфиденциальную информацию. К ней могут получить доступ злоумышленники»
Подскажите, что делать, боюсь злоумышленников))))!!
Здравствуйте, Олеся!
Вы видите эту надпись «не защищено», так как адрес Вашего сайта (и моего) начинается с «http». Как только Вы перейдете на защищенное соединение «https» — эта надпись исчезнет. Зайдите на любой сайт, доменное имя которого начинается с http и Вы увидите эту надпись.
У меня всё руки не доходят перейти на https. Как перейти? Надо написать в тех поддержку своего хостера и они помогут сделать переход.
Спасибо за вопрос.
Хорошего дня!
Алёна
Алена, я только из вашего блога узнала о защите панели админа. Я это обязательно сделаю, но вот уже есть проблема. На сайте появились посторонние записи на англ языке. Кликаю по ним, при переходе пишет, что страница не найдена. В записях их нет, я в отчаянии и, не подскажите, что делать? С ув. Юлия
О, это сложно. Тут нужен технарь. Я в таких случаях либо ищу кого-то среди знакомых своих знакомых, либо можно найти специалиста на Воркзилле (если не знаете, как давать задание на Work-Zilla (это биржа недорогих фрилансеров, в основном, студентов) — описание есть в моей статье на блоге (можете найти статью по слову Воркзилла).
В названии задания напишите «Нужен вебмастер исправить ошибку на сайте», цену установите 500руб.
Лучше пусть заходит на Ваш сайт удаленно через программку удаленного доступа, например, TeamViewer (ее надо загрузить с их сайта, она бесплатная). Тогда Вы будете видеть, что он делает на Вашем сайте («как водит мышкой»).
Удачи!
Спасибо, так и сделаю!
Алена, а я после установки плагина IThemes Security и смены имени не могу войти на сайт. Не подскажите, что это может быть?
Такой проблемы не должно возникать. Надеюсь Вы ее уже решили.
Да, решила, оказывается нужно сразу правильно настраивать плагин.