Фев
50 советов по безопасности блога
Здравствуйте, сегодня я хочу попробовать объединить написанные ранее советы по безопасности в один пост, чтобы полноценно собрать 50 советов по защите блога в одну статью. В статье 50 советов я разбил на три группы для лучшего усвоения материала: общие советы по безопасности, советы по безопасности блога и советы по безопасности wordpess сайта.
Советы по безопасности блога
— Необходимо контролировать зарегистрированных пользователей блога, в случае обнаружения очередной бреши пользователь сможет получить доступ к административной части вашего блога.
Рекомендую отключить возможность регистрироваться на блоге.
— Поставить блокировку по IP для входа в FTP.
Для этого необходимо создать новый файл .ftpaccess и в него вставить данный код:
<Limit All>
Order allow, deny
Allow from :: ffff :123.45.67.89
Deny from all
</limit>
Вместо 123.45.67.89 ваш айпи.
— Необходимо периодически проверять свой сайт на наличие вирусов.
Рекомендую проверить свой сайт на наличие вирусов на таких ресурсах: taghosting, iritec.ru и antivirus-alarm.ru.
— Необходимо устранить спам на блоге, так как спам сообщения могут нести в себе ссылки на вирусные сайты.
Для этого необходимо или в ручную удалять спам сообщения или установить плагины для борьбы против спама.
— Создавайте сложный и уникальный пароль для базы данных.
Рекомендую создавать сложные, не повторяющие пароли с более чем 8 символами используя вперемешку буквы и цифры, а так же специальные символы.
— Скачиваем плагины для блога с официального сайта.
Плагин может быть источником заражения Вашего блога, поэтому необходимо скачивать плагины с официального сайта — wordpress.org.
— Обращайте внимание на дату последних изменений файлов на хостинге, чтобы не допустить попадания зловредного кода на ваш сайт.
— Если у вас есть статичный IP, установите блокировку по IP в панели управления сайтом.
— Иногда возникает потребность в закрытии от индексации папок, для этого прописываем в robots.txt следующий код:
Disallow: /wp-*
Вместо wp-* указываете нужный вам файл или папку.
— Не надо хранить пароли в FTP клиентах, так как при расшифровке паролей злоумышленника уже не остановят остальные меры предосторожности сделанные вами.
— Удаляйте плагины, которыми не пользуетесь, они могут нести в себе критическую ошибку для доступа к вашему сайту.
— При возможности используйте SFTP вместо FTP.
— Используйте для своих сайтов надежный хостинг.
Если есть возможность, рекомендую выбирать хостинг с поддержкой SFTP.
— Настраивайте сервер и ftp клиент на прерывание сессии при бездействии.
— Настраиваем необходимые права доступа на файлы и папки.
Необходимо настроить права доступа на папки — 755, на файлы – 644, для cache и uploads – 777.
— Обязательно выполняйте регулярный бэкап базы данных блога.
Рекомендую использовать плагин WP DataBase Backup.
— При возможности установить пароль на папку wp-admin.
Данным советом можно воспользоваться, если ваш хостинг предоставляет возможность установить пароль на папку.
— Необходимо устанавливать сложные, надежные, длинные, уникальные пароли для входа в административную панель, в ftp, в панель для входа в хостинг.
Советы по безопасности wordpress блога
- Необходимо устранить возможность повторной установки блога в случае сбоя в базе данных.
Для этого удаляем файл install.php на хостинге в папке с wordpress.
— Необходимо проверять перед установкой нового шаблона/темы наличие в нем вредоносного кода или закодированных ссылок.
Для этого устанавливаем плагин TAC и используем его для анализа шаблонов.
— Убрать с шаблона ссылку на вход в административную панель.
Необходимо максимально затруднить нахождение страницы для входа в административную часть для злоумышленников.
— Устанавливаем блокировку по IP для входа в административную панель блога.
Для этого необходимо в файл .htaccess вписать следующий код:
<Files wp-login.php>
Order deny,allow
Deny from All
Allow from 123.456.789.0
</Files>
Вместо 123.456.789.0 укажите Ваш статичный IP.
— Рекомендую всегда обновлять WordPress и плагины, так как старые версии могут нести бреши в защите, а обновления брать с официальных источников.
Выполнять обновление можно как через административную панель, так и с официального сайта wordpress.org.
— Необходимо защищаться от XSS атак.
Для этого в файл .htaccess вставить следующий код:
Options +FollowSymLinks
RewriteEngine On
RewriteCond %{QUERY_STRING} (\<|%3C).*script.*(\>|%3E) [NC,OR]
RewriteCond %{QUERY_STRING} GLOBALS (=|\[|\%[0-9A-Z]{0,2}) [OR]
RewriteCond %{QUERY_STRING} _REQUEST (=|\[|\%[0-9A-Z]{0,2})
RewriteRule ^(.*)$ index.php [F,L]
— Необходимо защищать блог от зловредных url-запросов.
Для этого воспользуйтесь инструкцией написанной в этом посте.
— Защищаем блог от хотлинка.
Для этого необходимо в файл .htaccess добавить следующий код:
RewriteEngine On
#Заменяем ?mysite\.ru/ на адрес вашего сайта
RewriteCond %{HTTP_REFERER} !^http://(.+\.)?mysite\.ru/ [NC]
RewriteCond %{HTTP_REFERER} !^$
#Заменяем /images/nohotlink.jpg на название вашей картинки для личера.
RewriteRule .*\.(jpe?g|gif|bmp|png)$ /images/nohotlink.jpg [L]
— Устраняем возможность просматривать директории на блоге.
Для этого необходимо в файл .htaccess и добавить следующий код:
Options -Indexes
— Для повышения безопасности рекомендую изменить префикс БД.
Наиболее простой способ изменить префикс БД, воспользоваться плагином WP Security Scan. Если у вас возникли проблемы после смены БД, эта статья вам поможет решить проблему.
— Необходимо в блоге на wordpress добавить уникальные ключи для аутентификации.
Для этого воспользуйтесь специальным сайтом для автоматической генерации ключей, а после скопируйте их в файл wp— config.php.
— Удаляем следующие файлы для повышения безопасности блога: readme.html, license.txt и install.php.
Первые два файла удалять необходимо, чтобы злоумышленник не узнал версию вашего wordpress движка, а третий, чтобы нельзя было установить заново блог в случае форс-мажора.
— Защищаем файл wp-config, который хранит важную информацию от базы данных.
Для защиты необходимо в файл .htaccess прописать следующий код:
<files wp-config.php>
order allow,deny
deny from all
</files>
— Изменяем расположение файла wp-config.php.
Файл wp-config.php можно перенести на один уровень вверх для повышения безопасности блога.
— Необходимо убрать ошибку о неверно набранном логине/пароле при попытке злоумышленником подобрать пароль к админке блога.
Для этого необходимо в файле functions.php прописать следующий код:
add_filter ('login_errors',create_function ('$a', «return null;»));
Если возникнут проблемы при входе в административную панель уберите этот код.
— Убираем возможность просмотра версии wordpress.
Самый легкий способ убрать версию вордпресса использовать плагин Secure WordPress.
— Необходимо усложнить логин для входа в административную панель.
Для этого можно воспользоваться плагином WPVN — Username Changer или зайти в БД и изменить через базу данных логин.
— Переносим страницу входа в административную панель.
Для этого надо воспользоваться плагином Stealth Login.
— Ограничиваем количество попыток авторизации в административную панель.
Для этого используем плагин Login Lockdown.
— Защищаем передачу данных через SSL протокол.
Если ваш провайдер поддерживает SSL протокол, тогда вы можете настроить принудительную передачу данных при работе с административной частью блога при внесении кода в файл wp-config.php:
define ('FORCE_SSL_ADMIN', true);
Общие советы по безопасности в интернете
— При работе в интернете на операционной системе Windows необходимо использовать обычную запись, а не административный аккаунт.
Для этого заходим в учетные записи и создаем новый вход в windows с обычными правами.
— Стараться не работать с блогом и другими важными данными через wi fi в публичных местах.
— Следить за последними новостями в мире информационных технологий, часто можно встретить новость про брешь в том или ином известном приложении.
— Периодически проверяем свой компьютер на наличие вирусов.
Рекомендую установить антивирус на компьютер, а так же периодически проверять свой компьютер с помощью бесплатного приложения Dr.Web CureIt.
— Используйте TOR для работы с админкой блога с чужого компьютера.
— Создавайте надежные пароли с помощь пароль-карты.
Для создания пароль-карты необходимо воспользоваться сайтом passwordcard.
— Скачивать программы с официальных или надежных сайтов, чтобы не допустить попадания вируса/трояна на блог.
— Старайтесь пользоваться только защищенными браузерами.
Я не рекомендую использовать ИЕ, который имеет множество уязвимостей и Хром, который признали самым уязвимым приложением 2010 года.
— Не храните пароли в браузерах, их можно легко расшифровать.
— Рекомендую периодически читать bug-traq на сайте разработчиков программного обеспечения.
Прочитать более детально про каждый совет перейдя в статью про безопасность блога:
Безопасность блога (первая часть)
Безопасность блога (вторая часть)
Безопасность блога (третья часть)
Безопасность блога (четвертая часть)
Безопасность блога (пятая часть)
Безопасность блога (шестая часть)
Так же в планах на основе этой статьи написать еще три: руководство для зеленых новичков по безопасности, так же хочу проверить на практике второй способ в получении трафика с помощью торрента, и попытаюсь привлечь на блог более 500 посетителей с одного ресурса. Позднее сделаю аналогичную статью только уже отдельно по плагинам.
Делюсь жирными ссылками, ссылка будет храниться 48 часов, после чего она удалиться, поэтому подпишетесь на RSS ленту, чтобы следить за всеми моими новыми статьями и собирать жирные ссылки.
***.info ТИЦ 950 ПР 4, переходим по ссылки и регистрируемся, заполняем нужные поля и добавляем в аддурилку.
Ролик с собакой, которая сама катается на санках.
04 Фев 2011 в 21:54
полезная статья 😉
[Ответить]
Ahawks Reply:
февраля 4, 2011 at 22:09
Угу) Мне аж страшно подумать, сколько часов я её клепал)
[Ответить]
04 Фев 2011 в 22:41
[...] Здравствуйте, в своей статье я собрал 50 советов по безопасности блога, советы собирал с ноября и наконец то смог соединить все во едино. В конце поста размещены ссылки на 6 статей в которых более детально можно прочитать про тот или иной совет представленный в статье. Через время планирую сделать аналогичный пост, но уже с большим числом плагинов для безопасности блога на wordpress. Читать про безопасность блога. [...]
04 Фев 2011 в 23:27
Сейчас буду изучать, статья очень полезная
[Ответить]
Ahawks Reply:
февраля 4, 2011 at 23:35
Давай изучай) В принципе эта статья плагиат, потому что я её собрал из 6 написанных ранее статей)) Правда не знаю удачно все оформил или нет...
[Ответить]
Strikestar Reply:
февраля 4, 2011 at 23:44
да нет, не плагиат, а подведение итогов большой работы) Единственное, может лучше было промаркировать список советов числовой нумерацией, а не тире... или вообще таблицей сделать, но в принципе и так хорошо, главное содержание!
[Ответить]
Ahawks Reply:
февраля 5, 2011 at 00:11
я думал числовой, но некоторые советы я соединил воедино поэтому точно 50 не получиться если посчитать по черточкам)
[Ответить]
Strikestar Reply:
февраля 5, 2011 at 00:25
ну тогда все нормально, пускай так будет)
[Ответить]
Ahawks Reply:
февраля 5, 2011 at 01:00
Во втором аналогичном посте постараюсь более интересную модель придумать) Главное как ты заметил содержание ) Или в некоторых советах я сильно мало развернул информацию относительно оригинала...
[Ответить]
05 Фев 2011 в 00:44
Благодарю за ценные советы! многие пункты полезны — обязательно стоит заняться безопасностью своего блога.
[Ответить]
Ahawks Reply:
февраля 5, 2011 at 01:01
Рад, что дал хорошие советы. Безопасностью не пренебрегайте надеюсь пару советов возьмете на заметку)
[Ответить]
05 Фев 2011 в 07:48
Очень много полезного написано. Всем советую, большую часть по безопасности придется проверяйте на практике
[Ответить]
Ahawks Reply:
февраля 5, 2011 at 13:13
Спасибо, можно выбрать просто основные моменты и их придерживаться, сама по себе cms блога не сильно и дырявая.
[Ответить]
05 Фев 2011 в 08:21
Неплохо, но где же «От себя»?)) Хочется и новой информации =)
[Ответить]
Ahawks Reply:
февраля 5, 2011 at 09:47
Часть советов и от меня и от моего друга. Хочешь сказать ты на сколько профессионал данном вопросе, что из 50 советов для себя ничего полезного не вынес?
[Ответить]
05 Фев 2011 в 22:24
спасибо=)
мы за безопасный блоггинг
[Ответить]
Ahawks Reply:
февраля 5, 2011 at 22:33
Не за что) Безопасность превыше всего) Надеюсь, что на этих советах не остановлюсь и продолжу постепенно писать новые)
[Ответить]
06 Фев 2011 в 18:01
будем ждать=)
[Ответить]
06 Фев 2011 в 18:59
Артур, Я думаю ты здесь собрал максимально много полезных и нужных «приколюх» по защите блога. Мой тебе респект и благодарность.
Добавил пост в соц. закладки. И знаю если, что куда посылать людей на необходимый любомо блоггеру контент.
[Ответить]
Ahawks Reply:
февраля 6, 2011 at 19:38
Спасибо Владимир) Но я надеюсь еще на пару десятков методов защиты хватит меня)
[Ответить]
08 Фев 2011 в 17:20
Дельные советы. Только конечно по IP блокировка не совсем удачно, IP -шник выделенный нужен иначе может поменяться, во вторых иногда использую на разных компах. Тут конечно на удобство!
[Ответить]
Ahawks Reply:
февраля 8, 2011 at 19:06
Но тут да как повезет, я с другого компьютера не захожу на блог и айпи выделенный есть и совет дельный, а те кто заходит и с дома и с работы им уже не выгодно... хотя если и там и там айпи статичный можно прописать несколько
[Ответить]
09 Фев 2011 в 11:53
Хорошо написано...
[Ответить]
Ahawks Reply:
февраля 9, 2011 at 17:16
Спасибо, старался.
[Ответить]
11 Фев 2011 в 15:43
Благодарю ! Очень полезно и познавательно для меня . Изучу .
[Ответить]
Ahawks Reply:
февраля 11, 2011 at 15:50
Удачи в изучении)
[Ответить]
28 Фев 2011 в 06:46
Хорошие и полезные советы.
[Ответить]
Ahawks Reply:
февраля 28, 2011 at 11:02
Спасибо)
[Ответить]
01 Мар 2011 в 13:48
Спасибо! Очень полезная статья. Сегодня попытались взломать мой блог, вот теперь попробую сделать всё что тут написано=)
[Ответить]
Ahawks Reply:
марта 1, 2011 at 14:05
Не за что, а какие факторы тебе сказали о взломе?
[Ответить]
Scrat48 Reply:
марта 13, 2011 at 18:35
Плагин который блокирует вход в админку после нескольких неудачных попыток.
[Ответить]
Ahawks Reply:
марта 13, 2011 at 21:00
В этом плагине советую накрутить цифру повторных попыток для входа на максимум. В крайнем случае, если плагин тебя сам заблокирует можно будет это обойти. Через фтп или панель хостинга удалить плагин, войти и заново установить.
[Ответить]
Webliberty Reply:
марта 1, 2011 at 14:10
Тоже интересно, какие признаки попытки взлома?
[Ответить]
05 Мар 2011 в 23:16
Спасибо за информацию. Давно искала такие рекомендации по безопасности.
[Ответить]
Ahawks Reply:
марта 6, 2011 at 14:40
Рад был помочь, в будущем буду стараться дополнять данный материал
[Ответить]
07 Мар 2011 в 11:51
[...] рассказывает про безопасность блога и варианты его защиты. Категория: Продвижение [...]
09 Апр 2011 в 02:24
> Я не рекомендую использовать ИЕ, который имеет
> множество уязвимостей и Хром, который признали
> самым уязвимым приложением 2010 года.
мне интересно, что курил автор этого блога, написав такую ахинею про Хром? Я бы еще поверил об ИЕ, но Хром самым уязвимым приложением? Отсыпьте, я тоже хочу покурить вашу траву. И да, не мешало бы вам разобраться, есть разница между «приложение» и «браузер», а то вводите людей взаблуждения... копипастим советы с других сайтов, то хоть читайте и думайте, что копипастите.
[Ответить]
Ahawks Reply:
апреля 9, 2011 at 10:23
Первая ссылка www.xakep.ru/post/53937
Вторая ссылка www.securitylab.ru/news/399685.php
Третья ссылка news.softodrom.ru/ap/b8938.shtml
Или поискать еще забугорные заметки про ваш хром?
Значит хотите сказать, что браузер это не приложение? ru.wikipedia.org/wiki/Приложение
[Ответить]
18 Апр 2011 в 22:15
[...] читать про защиту wordpress блога > [...]
07 Июл 2011 в 14:08
Спасибо за статью, очень поучительно!
[Ответить]
07 Июл 2011 в 14:10
Подскажите пож. как создать такую же страничку какая появляется у вас после отправки комментария?
[Ответить]
Ahawks Reply:
июля 7, 2011 at 14:20
Плагин comment Redirect для вордпресс вам в помощь... позволит после первого комментария пользователя перенаправить на специальную страницу
[Ответить]
07 Июл 2011 в 14:35
Установил, что делать дальше?
[Ответить]
Ahawks Reply:
июля 7, 2011 at 15:11
Создать к примеру новую страницу на сайте, оформить как надо её, потом зайти в настройки плагина через административную панель и там выбрать нужную нам страницу и все.
[Ответить]
14 Июл 2011 в 00:57
Как создать файл ftpaccess? Учусь... Спасибо
[Ответить]
Ahawks Reply:
июля 14, 2011 at 21:54
Для этого создаем любой файл к примеру блокнот, заливаем его на хостинг, и через панель управления хостингом или через total commander переименовываем файл в .htaccess, при том что изменится и расширение файла, а потом уже добавляем в него нужный код или заранее как описано в статье
[Ответить]
Илья Reply:
августа 17, 2011 at 15:34
а подскажите как организовать защиту от хотлинка для .doc и .rar файлов? чтобы не ставили ссылки на мой сайт?
[Ответить]
Ahawks Reply:
августа 18, 2011 at 13:25
С данным я не сталкивался и помочь не смогу к сожалению. Возможно банальная необходимость в регистрации пользователя, чтобы только определенному типу зарегистрированных можно было скачивать файлы
[Ответить]
18 Авг 2011 в 14:48
Спасибо.Очень полезная статья.Буду рекомендовать ее друзьям.
[Ответить]
18 Сен 2011 в 06:47
Отлично, Артур)))
[Ответить]
11 Окт 2011 в 12:21
Чрезвычайно полезная статья. Надежда, что теперь все прикрыто.
[Ответить]
28 Ноя 2011 в 11:24
Сколько много нового узнал!Сколько дыр на моем сайте пойду побыстрей устранять. А то жалко своей работы!
[Ответить]
Ahawks Reply:
ноября 30, 2011 at 11:01
Делайте бекап, у меня есть на блоге пару статей, как настроить полный бекап сайта, тогда важные данные не пропадут)
[Ответить]
30 Дек 2011 в 11:51
Спасибо за подборку, о некоторых моментах не знал.
[Ответить]
Ahawks Reply:
января 25, 2012 at 11:25
пожалуйста, тема очень обширная и с каждым днем находятся новые уловки, поэтому все моменты сложно учесть в безопасности.
[Ответить]
10 Янв 2012 в 10:48
Здравствуйте, уважаемые господа и дамы уделившие время этому вопросу. У меня тут такая проблема, точнее просьба. Не могли бы Вы подсказать мне, вот есть у меня сайт (tehno-site.ru). Так вот недавно решил проверить сколько страниц в индексе, так мне гугл вывел что 200 с чем то страниц, я был удивлен когда яндекс показал всего лишь 28. А материала было на страниц 30 максимум. Но беда не в том, я решил проверить просмотреть эти страницы, и обнаружил что одна из них оказалось вообще не с моего ресурса и с названием «Kosova Hacker's Security!». Начал капать в эту сторону так оказалось что таких сайтов как мой (с такой страницой) свыше 600 и с одинаковой ссылкой после названия сайта, мой например tehno-site.ru/~bilousco/h4ck3d.html, (вот список на который я наткнулся pastebin.com/JmN5ZNVg), и мой сайт среди них. Вроде бы на работу сайта не влияет, Не вылетает никаких банеров, ничего не удаляется, но посещаемость с гугла упала, а может и нет, так как посещаемость была слабая, 1-3 человека в день, после того как проверил запросы, на которых я был на 6 месте, на каких выше, оказалось что я вообще по ним не отображаюсь. В общем вот такая вот история, прошу помощи, может что то Вы подскажите, вредный код это или что? Еще что интересное поковырял я на уровни своих возможностей, и решил проверить что это такое, и взял удалил всю папку PUBLIC.HTML, где хранится мой сайт, и все равно эта ссылка отображается, если ее вводить напрямую, так так что вот такая вот фигня, и не знаю что думать. Ах да сайт сделан на WordPresse. Заранее спасибо откликнувшимся, надеюсь вместе мы сможешь разобраться в этой ситуации.
[Ответить]
10 Фев 2012 в 10:38
Спасибо, очень важная для меня статья
В этом повросе я пока плохо разбираюсь
Пошла укреплять позиции
[Ответить]
03 Авг 2013 в 14:10
Привет, Артур!
Делаю новый сайт на WP, когда встал вопро о защите, конечно, сразу вспомнился твой сайт.
Заглянул в гости, почитал, взял полезное.
Жаль, что ты больше не публикуешь новый контент. Но догадываюсь почему...
[Ответить]