Защита сайта от взлома и заражения.

zashita saitaЗдравствуйте!phil_04

На этот раз, как и обещала, я пишу о способах защиты сайта от вирусов и взломов. Но Вы должны чётко понимать, что 100% гарантии безопасности Вашего сайта (не зависимо от CMS) не может дать никто. Дело лишь за тем, сколько стоит информация на Вашем сайте. Если она стоит значительную сумму,  то для защиты сайта Вам понадобится опытная команда программистов; а если несколько тысяч долларов, то следующие советы помогут значительно улучшить безопасность Вашего WordPress-сайта (хотя общие советы пригодны для любых типов сайтов).
 Чтобы защитить свой сайт от взлома и заражения вирусами, надо соблюдать основные правила безопасности, которые предназначены для большинства сайтов и не зависят от того, на каком движке они сделаны.
1. Защитить доступ к админ-панели.
2. Защитить FTP соединение.
3. Защитить сайт от XSS атак.
4. Следить за чистотой Вашего компьютера, чтобы не закачать на сайт вирус вместе с файлами (И никого не подпускайте к админке!!! Иначе забудьте о безопасности!! если Вы наняли исполнителя для проведения на сайте каких-либо работ, сразу же по окончании этих работ смените пароль, но и это не гарантия, что у Вас на сайте уже не установлено вредоносное ПО).

Основные способы обеспечения защиты сайта.

Обновления.

Постоянно проверяйте обновления Вашего WordPress или другой СМС, т.к. разработчики с помощью патчей устраняют уязвимости системы. Пример — хакер находит уязвимость в движке, и взламывает его. Учитывая, что этот движок стоит на многих сайтах, то используя этот способ, хакер может взломать и эти тысячи сайтов. Это касается также тем и плагинов. Поэтому обновляйте все, что можно обновить.

Подозрительные плагины.

Сейчас появляется огромное количество "разработчиков", которые пишут различные плагины недостаточно грамотно. Такие плагины имеют большое количество дыр в безопасности и являются сюрпризом для хакеров. Устанавливайте на свой сайт только те расширения, которые действительно нужны и смогут улучшить ресурс. Смотрите отзывы об этих расширениях, предварительно посетите и оцените ресурс разработчика.

Хостинг.

Безопасность сайта в целом можно обозначить неразрывную связь CMS и ПО,  установленного  на сервере Вашего хостинг-провайдера. Это ПО тоже имеет дыры и его нужно постоянно обновлять (новые версии, как правило, устраняют какие-либо дыры). Не все хостеры делают это, к сожалению. Также, при DDOS-атаках на сайты, которые находятся на том же сервере, что и Ваш сайт, у плохого хостера будет долгое время недоступен и Ваш ресурс тоже. В общем, выбирайте качественную хостинг-компанию.

Логин и пароль.

Смените стандартный логин admin к консоли Вашего сайта, т.к. это помогает хакеру подобрать пароль к Вашей админке. Следите за тем, чтобы пароль был сложным. И самое главное — не храните логин\пароль в браузере и следите за тем, чтобы на Вашем компьютере не было вирусов (они следят за всем, что вводится с клавиатуры и крадут). Не сохраняйте пароли в FTP-клиентах, регулярно меняйте пароли доступа к FTP, SSH, SQL и админ панели сайта.
Внимательно относитесь к коду, который вы устанавливаете на свой сайт (например, код баннерных сетей, счетчиков и т.д.).
Берегите свой рабочий компьютер от вирусов, регулярно обновляйте и проверяйте его актуальным антивирусом.

Количество попыток входа.

Если хакер предпринимает попытку взломать сайт путем подбора логина и пароля, то теоретически когда-нибудь он это сделает. Помешать этому можно путём ограничения попыток неверного ввода с одного IP-адреса. Для этого используют плагины Limit Login Attempts и Login LockDown.

Темы.

Перед установкой темы обязательно посмотрите кто ее сделал; старайтесь, чтобы это была известная и опытная команда. Запретите редактирование файлов Вашей темы из админ-панели. Это поможет в том случае, если хакер получит доступ к админке. Чтобы это сделать, в файле wp-config.php добавляем следующее:

kode331

 

 

Ключи шифрования.

Следует поменять ключи шифрования, т.к. стандартные могут быть известны взломщикам. Для этого переходим на специальный сервис на официальном сайте WordPress и в свой wp-config.php вставляем значения указанных там переменных. Или же придумайте сами, любые сочетания букв.

Префикс базы данных.

Когда хакер хочет сделать SQL-инъекцию, то он уже знает, что в стандартном варианте WordPress использует префикс wp_, поэтому желательно его изменить. Сделать это можно или с помощью плагина (легкий путь, но не всегда плагины корректно работают) или через PhpMyAdmin.

wp-config.php

Следует вынести этот файл за пределы папки public_html (или ее аналога, в которой установлен WordPress), например поднять на один уровень вверх.

Админ-панель

Сделайте так, чтобы пользоваться Вашей админ-панелью могли только Вы. Для этого блокируется доступ к папке wp-admin для всех, у кого IP-адрес отличается от Вашего. Чтобы так сделать нужно добавить в эту папку файл .htaccess и вписать в него:
kode332

где "xxx.xx.xxx.xx" — это IP-адрес, с которого можно зайти в админ-панель.

Этот способ подходит только для тех, у кого статический IP-адрес. (можно купить у хостера, если он предусмотрел эту услугу.)

Права на папки.

В классическом варианте нужно установить на все папки — 755, на все файлы — 644. Иногда на папку wp-content ставят права 777, но лучше — 755 (хотя это как правило запрещает добавлять контент для сторонних пользователей).

Компоненты защиты.

KasperskyVirusRemovalTool_2На мой взгляд, для вордпресс есть прекрасные плагины, с помощью которых можно обеспечить безопасность Вашего сайта. Они умеют выполнять практически все вышеперечисленные пункты обеспечения безопасности. Я лично использую прекрасный плагин All In One WordPress Security, который существенно повышает уровень защиты сайта.
Есть и другие не менее хорошие плагины:
— Better WP Security — один из самых популярных плагинов по безопасности с мощным функционалом
— WP Security Scan — проверяет множество параметров безопасности Вашего сайта;
— WP Antivirus — постоянно сканирует файлы сайта на наличие взлома, и при обнаружении присылает сообщение на электронную почту;
— WP File Monitor — выполняет те же функции, что и WP Antivirus ;
— Securi Scanner — сканер сайта на наличие взлома и уязъвимостей.
Если Вы часто закачиваете новые файлы на сайт,
далее советую сделать то, что ни один из этих плагинов пока не может сделать:
Вам необходимо запретить исполнение кода (парализовать пролезший на сайт вирус) с помощью файла .htaccess. Для этого создайте в директориях, куда позволяется закачивание файлов (обычно это uploads, media, images и т.п.), файл с именем .htaccess.
Содержимое файла:

kode333

Загрузите файл в нужную папку и спите относительно спокойно!
Не забывайте не реже одного раза в неделю проверять сайт с помощью сервисов, о чем я уже писала ранее.
Напоминаю, проверить сайт на вирусы можно с помощью Google, сделав запрос в строке браузера вида:
http://www.google.com/safebrowsing/diagnostic?site=доменное имя вашего сайта.

Спокойствия Вам и здоровья Вашему сайту!virus

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 


 

 

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

16 − 5 =

 

https://webdohodrus.ru/wp-content/plugins/wp-monalisa/icons/wpml_bye.gif  https://webdohodrus.ru/wp-content/plugins/wp-monalisa/icons/wpml_good.gif  https://webdohodrus.ru/wp-content/plugins/wp-monalisa/icons/wpml_negative.gif  https://webdohodrus.ru/wp-content/plugins/wp-monalisa/icons/wpml_scratch.gif  https://webdohodrus.ru/wp-content/plugins/wp-monalisa/icons/wpml_wacko.gif  https://webdohodrus.ru/wp-content/plugins/wp-monalisa/icons/wpml_yahoo.gif  https://webdohodrus.ru/wp-content/plugins/wp-monalisa/icons/wpml_cool.gif  https://webdohodrus.ru/wp-content/plugins/wp-monalisa/icons/wpml_heart.gif  https://webdohodrus.ru/wp-content/plugins/wp-monalisa/icons/wpml_rose.gif 
https://webdohodrus.ru/wp-content/plugins/wp-monalisa/icons/wpml_smile.gif  https://webdohodrus.ru/wp-content/plugins/wp-monalisa/icons/wpml_whistle3.gif  https://webdohodrus.ru/wp-content/plugins/wp-monalisa/icons/wpml_yes.gif  https://webdohodrus.ru/wp-content/plugins/wp-monalisa/icons/wpml_cry.gif  https://webdohodrus.ru/wp-content/plugins/wp-monalisa/icons/wpml_mail.gif  https://webdohodrus.ru/wp-content/plugins/wp-monalisa/icons/wpml_sad.gif  https://webdohodrus.ru/wp-content/plugins/wp-monalisa/icons/wpml_unsure.gif  https://webdohodrus.ru/wp-content/plugins/wp-monalisa/icons/wpml_wink.gif