Большинство сайтов и блогов взламываются автоматически, т.е. без прямого участия взломщика. Специальные скрыпты и программы (вирусы) находят уязвимости в системах управления и скриптах сайта, подбирают простые пароли к учетным записям администратора, воруют пароли с помощью троянов и клавиатурных шпионов. Конечно, от всего не убережешься, но если соблюдать несколько простых правил, можно процентов на 90 уменьшить вероятность взлома своего блога. После взлома этого блога я очень забочусь о безопасности :).
Как защитить блог от взлома:
1. Придумать или сгенерировать уникальные сложные пароли для разных сайтов.
Хороший пароль не должен быть похож на осмысленное слово или словосочетание, в нем должны быть спецсимволы, цифры и буквы разных регистров. Такие пароли сложно запомнить, потому их лучше записать на бумаге или использовать для этого специальные программы, которые хранят пароли в зашифрованном виде.
2. Настроить программу хранения паролей в зашифрованном виде.
Конечно, пароли можно хранить в блокноте на рабочем столе. Очень удобно, но очень небезопасно. Рано или поздно ваш компьютер подцепит какую-то заразу и все ваши пароли могут стать достоянием общественности.
У меня был такой файлик и я знаю, как тяжело избавиться от привычки хранить пароли в одном месте в открытом виде. Но в один прекрасный день, после 2х суток исправления последствий заражения моих сайтов злым вирусом по FTP, я потратил 3 часа на установку и переписывание обновленных паролей в специальную программу, которая хранит пароли в зашифрованном виде. Заодно перестал хранить пароли к ftp в Total Commander. Да, нудно и неудобно, зато с тех пор мои пароли не воровались. Нервные клетки мне очень благодарны.
Программ для хранения зашифрованных паролей очень много, есть платные, есть бесплатные. Не буду писать, какой программой пользуюсь я — чем меньше потенциальные взломщики знают о вашей защите, тем лучше ;).
3. Не сохранять пароли в браузерах, ftp-клиентах, почтовиках и т.п.
Если не полениться и поставить программу хранения паролей, как описано во втором пункте статьи, то хранить пароли в браузерах и почтовиках станет необязательно. Это существенно повысит безопасность, так как трояны очень часто воруют сохраненные пароли. А хранение паролей к FTP-серверам в программах типа Total Commander – вообще подарок для взломщика.
4. Обновлять движок WordPress до последней версии.
С этим вроде проблем нет, обновить WordPress можно парой кликов из админки, кликнув на предложении обновить движок и указав пароль к своему ftp. Не ленитесь делать бэкап перед обновлением. Рекомендую настроить плагин WordPress, который будет самостоятельно делать бэкап базы данных и отправлять его на указанный вами e-mail. Называется такой плагин WordPress Database Backup.
5. Установить и настроить плагины безопасности WordPress.
Рекомендую плагины Anti-XSS attack и WP Security Scan. О том, что из себя представляют эти плагины и как их настроить, в интернете написано немало. Я хочу лишь напомнить, что их нужно установить как можно скорее и не откладывать на потом.
6. Учетной записи администратора по умолчанию (admin) дать самые низкие права доступа (подписчик).
Многие скрипты взлома блогов направлены на получение пароля к учетной записи администратора WordPress, которая генерируется по умолчанию (admin). Не рекомендую использовать эту учетную запись для работы с админкой своего блога, лучше сделать нового админа со сложным паролем, а учетную запись admin сделать подписчиком. Тогда, даже получив доступ к этой учетной записи, взломщик не получит права администратора вашего блога.
7. В папку wp-admin по ftp следует залить файл с именем .htaccess, который будет ограничивать доступ по IP-адресу к админке блога WordPress.
Содержимое файла .htaccess:
order deny,allow
deny from all
allow from 94.133.222.12
allow from 95.135.33.
Первые 2 строки запрещают доступ к админке WordPress, которая находится в папке wp-admin. Следующая строка разрешает доступ одному единственному IP-адресу, а 4я строка разрешает доступ всем адресам, которые начинаются с 95.135.33. Точка вконце четвертой строки стоит не просто так. Файл .htaccess с параметрами доступа к админке нужно заливать по ftp не в корень сайта, а в папку wp-admin.
Если у вас стационарный IP или он меняется в пределах определенного диапазона (маски), лучше запретить доступ к админке всем остальным адресам. Правильное положение шлагбаума – закрытый. Как определить свой IP я подробно расписал здесь.