безопасность блогаЗдравствуйте, сегодня я хочу попробовать объединить написанные ранее советы по безопасности в один пост, чтобы полноценно собрать 50 советов по защите блога в одну статью. В статье 50 советов я разбил на три группы для лучшего усвоения материала: общие советы по безопасности, советы по безопасности блога и советы по безопасности wordpess сайта.

Советы по безопасности блога

— Необходимо контролировать зарегистрированных пользователей блога, в случае обнаружения очередной бреши пользователь сможет получить доступ к административной части вашего блога.

Рекомендую отключить возможность регистрироваться на блоге.

— Поставить блокировку по IP для входа в FTP.

Для этого необходимо создать новый файл .ftpaccess и в него вставить данный код:

<Limit All>

Order allow, deny

Allow from :: ffff :123.45.67.89

Deny from all

</limit>

Вместо 123.45.67.89 ваш айпи.

— Необходимо периодически проверять свой сайт на наличие вирусов.

Рекомендую проверить свой сайт на наличие вирусов на таких ресурсах: taghosting, iritec.ru и antivirus-alarm.ru.

— Необходимо устранить спам на блоге, так как спам сообщения могут нести в себе ссылки на вирусные сайты.

Для этого необходимо или в ручную удалять спам сообщения или установить плагины для борьбы против спама.

— Создавайте сложный и уникальный пароль для базы данных.

Рекомендую создавать сложные, не повторяющие пароли с более чем 8 символами используя вперемешку буквы и цифры, а так же специальные символы.

— Скачиваем плагины для блога с официального сайта.

Плагин может быть источником заражения Вашего блога, поэтому необходимо скачивать плагины с официального сайта — wordpress.org.

— Обращайте внимание на дату последних изменений файлов на хостинге, чтобы не допустить попадания зловредного кода на ваш сайт.

— Если у вас есть статичный IP, установите блокировку по IP в панели управления сайтом.

— Иногда возникает потребность в закрытии от индексации папок, для этого прописываем в robots.txt следующий код:

Disallow: /wp-*

Вместо wp-* указываете нужный вам файл или папку.

— Не надо хранить пароли в FTP клиентах, так как при расшифровке паролей злоумышленника уже не остановят остальные меры предосторожности сделанные вами.

— Удаляйте плагины, которыми не пользуетесь, они могут нести в себе критическую ошибку для доступа к вашему сайту.

— При возможности используйте SFTP вместо FTP.

— Используйте для своих сайтов надежный хостинг.

Если есть возможность, рекомендую выбирать хостинг с   поддержкой SFTP.

— Настраивайте сервер и ftp клиент на прерывание сессии при бездействии.

— Настраиваем необходимые права доступа на файлы и папки.

Необходимо настроить права доступа на папки — 755, на файлы – 644, для cache и uploads – 777.

— Обязательно выполняйте регулярный бэкап базы данных блога.

Рекомендую использовать плагин WP DataBase Backup.

— При возможности установить пароль на папку wp-admin.

Данным советом можно воспользоваться, если ваш хостинг предоставляет возможность установить пароль на папку.

— Необходимо устанавливать сложные, надежные, длинные, уникальные пароли для входа в административную панель, в ftp, в панель для входа в хостинг.

Советы по безопасности wordpress блога

 - Необходимо устранить возможность повторной установки блога в случае сбоя в базе данных.

Для этого удаляем файл install.php на хостинге в папке с wordpress.

— Необходимо проверять перед установкой нового шаблона/темы наличие в нем вредоносного кода или закодированных ссылок.

Для этого устанавливаем плагин TAC и используем его для анализа шаблонов.

— Убрать с шаблона ссылку на вход в административную панель.

Необходимо максимально затруднить нахождение страницы для входа в административную часть для злоумышленников.

— Устанавливаем блокировку по IP для входа в административную панель блога.

Для этого необходимо в файл .htaccess вписать следующий код:

<Files wp-login.php>

Order deny,allow

Deny from All

Allow from 123.456.789.0

</Files>

Вместо 123.456.789.0 укажите Ваш статичный IP.

— Рекомендую всегда обновлять WordPress и плагины, так как старые версии могут нести бреши в защите, а обновления брать с официальных источников.

Выполнять обновление можно как через административную панель, так и с официального сайта wordpress.org.

— Необходимо защищаться от XSS атак.

Для этого в файл .htaccess вставить следующий код:

Options +FollowSymLinks

RewriteEngine On

RewriteCond %{QUERY_STRING} (\<|%3C).*script.*(\>|%3E) [NC,OR]

RewriteCond %{QUERY_STRING} GLOBALS (=|\[|\%[0-9A-Z]{0,2}) [OR]

RewriteCond %{QUERY_STRING} _REQUEST (=|\[|\%[0-9A-Z]{0,2})

RewriteRule ^(.*)$ index.php [F,L]

— Необходимо защищать блог от зловредных url-запросов.

Для этого воспользуйтесь инструкцией написанной в этом посте.

— Защищаем блог от хотлинка.

Для этого необходимо в файл .htaccess добавить следующий код:

RewriteEngine On

#Заменяем ?mysite\.ru/ на адрес вашего сайта

RewriteCond %{HTTP_REFERER} !^http://(.+\.)?mysite\.ru/ [NC]

RewriteCond %{HTTP_REFERER} !^$

#Заменяем /images/nohotlink.jpg на название вашей картинки для личера.

RewriteRule .*\.(jpe?g|gif|bmp|png)$ /images/nohotlink.jpg [L]

— Устраняем возможность просматривать директории на блоге.

Для этого необходимо в файл .htaccess и добавить следующий код:

Options -Indexes

— Для повышения безопасности рекомендую изменить префикс БД.

Наиболее простой способ изменить префикс БД, воспользоваться плагином WP Security Scan. Если у вас возникли проблемы после смены БД, эта статья вам поможет решить проблему.

— Необходимо в блоге на wordpress добавить уникальные ключи для аутентификации.

Для этого воспользуйтесь специальным сайтом для автоматической генерации ключей, а после скопируйте их в файл wp— config.php.

— Удаляем следующие файлы для повышения безопасности блога: readme.html, license.txt и install.php.

Первые два файла удалять необходимо, чтобы злоумышленник не узнал версию вашего wordpress движка, а третий, чтобы нельзя было установить заново блог в случае форс-мажора.

— Защищаем файл wp-config, который хранит важную информацию от базы данных.

Для защиты необходимо в файл .htaccess прописать следующий код:

<files wp-config.php>

order allow,deny

deny from all

</files>

— Изменяем расположение файла wp-config.php.

Файл wp-config.php можно перенести на один уровень вверх для  повышения безопасности блога.

— Необходимо убрать ошибку о неверно набранном логине/пароле при попытке злоумышленником подобрать пароль к админке блога.

Для этого необходимо в файле functions.php прописать следующий код:

add_filter ('login_errors',create_function ('$a', «return null;»));

Если возникнут проблемы при входе в административную панель уберите этот код.

— Убираем возможность просмотра версии wordpress.

Самый легкий способ убрать версию вордпресса использовать плагин Secure WordPress.

— Необходимо усложнить логин для входа в административную панель.

Для этого можно воспользоваться плагином WPVN — Username Changer или зайти в БД и изменить через базу данных логин.

— Переносим страницу входа в административную панель.

Для этого надо воспользоваться плагином Stealth Login.

— Ограничиваем количество попыток авторизации в административную панель.

Для этого используем плагин Login Lockdown.

— Защищаем передачу данных через SSL протокол.

Если ваш провайдер поддерживает SSL протокол, тогда вы можете настроить принудительную передачу данных при работе с административной частью блога при внесении кода в файл wp-config.php:

define ('FORCE_SSL_ADMIN', true);

Общие советы по безопасности в интернете

— При работе в интернете на операционной системе Windows необходимо использовать обычную запись, а не административный аккаунт.

Для этого заходим в учетные записи и создаем новый вход в windows с обычными правами.

— Стараться не работать с блогом и другими важными данными через wi fi в публичных местах.

— Следить за последними новостями в мире информационных технологий, часто можно встретить новость про брешь в том или ином известном приложении.

— Периодически проверяем свой компьютер на наличие вирусов.

Рекомендую установить антивирус на компьютер, а так же периодически проверять свой компьютер с помощью бесплатного приложения Dr.Web CureIt.

— Используйте TOR для работы с админкой блога с чужого компьютера.

— Создавайте надежные пароли с помощь пароль-карты.

Для создания пароль-карты необходимо воспользоваться сайтом passwordcard.

— Скачивать программы с официальных или надежных сайтов, чтобы не допустить попадания вируса/трояна на блог.

— Старайтесь пользоваться только защищенными браузерами.

Я не рекомендую использовать ИЕ, который имеет множество уязвимостей и Хром, который признали самым уязвимым приложением 2010 года.

— Не храните пароли в браузерах, их можно легко расшифровать.

— Рекомендую периодически читать bug-traq на сайте разработчиков программного обеспечения.

Прочитать более детально про каждый совет перейдя в статью про безопасность блога:

Безопасность блога (первая часть)

Безопасность блога (вторая часть)

Безопасность блога (третья часть)

Безопасность блога (четвертая часть)

Безопасность блога (пятая часть)

Безопасность блога (шестая часть)

Так же в планах на основе этой статьи написать еще три: руководство для зеленых новичков по безопасности, так же хочу проверить на практике второй способ в получении трафика с помощью торрента, и попытаюсь привлечь на блог более 500 посетителей с одного ресурса. Позднее сделаю аналогичную статью только уже отдельно по плагинам.

Делюсь жирными ссылками, ссылка будет храниться 48 часов, после чего она удалиться, поэтому подпишетесь на RSS ленту, чтобы следить за всеми моими новыми статьями и собирать жирные ссылки.

***.info ТИЦ 950 ПР 4, переходим по ссылки и регистрируемся, заполняем нужные поля и добавляем в аддурилку.

Ролик с собакой, которая сама катается на санках.