Как защитить сайт от взлома без плагинов

Опубликовано в Безопасность / Сайты
/
17 Ноя 2013

Приветствую всех читателей моего блога, Продолжая тему защиты собственного сайта, я бы хотел дать вам несколько действительно рабочих советов, следуя которым вы не только сможете быстро восстановить свой сайт или блог после взлома, но не допустить подобного в принципе. Так как мой сайт находится на системе WordPress, то большинство написанного будет относиться именно к этой системе. Нои владельцам других CMS уходить не стоит, часть представленных в этой статье способов распространяется на все виды сайтов.

 Для WordPress

WordPress

И так, для начала я постараюсь рассказать о способах, подходящих только для сайтов или блогов которые работают под управлением системы WordPress. Все улучшения будут осуществлены без использования каких-либо плагинов, только изменением исходного кода сайта. Поэтому они никак не будут нагружать ваш сайт.

 1. Файлы readme.html и license.txt

Сами по себе данные файлы не несут на какой угрозы вашему сайту, в них всего лишь содержится справочная информация по пользованию вашим движком, многие хи даже не читали, или вообще ни разу не открывали. Но тем не менее, в этих двух файлах содержится информация о версии WordPress, заполучив подобную информацию злоумышленнику будет намного легче взломать ваш драгоценный сайт. П этому как можно быстрее заходим в корень вашего сайта и удаляем оттуда эти файлы.

 2. Почтовые адреса

Почтовые адреса

Старайтесь указать различные почтовые адреса на сайте и хостинге. Если кто-то плохой узнает e-mail адрес, от имени которого отправляются сообщения с вашего сайта, то взломать его будет очень просто. Таким образом, взломав e-mail злоумышленник получит доступ не только к вашей почте, но и к вашему хостингу и ко всем размещенным на нём файлам.

 3. Вовремя обновляйтесь

3

Как можно чаще проверяйте обновления своего движка и всех работающих плагинов. Почти в каждом обновлении исправляются различные уязвимости вашего сайта, благодаря своевременной заботе о состоянии версии сайта ни один хакер не сможет взломать ваше творение.

С недавнего времени WordPress стал обновляться автоматически (без участия пользователя), но это распространяется только на системные и не очень важные обновления. Когда произойдёт выход обновления для движка или одного из плагинов «шапке» админ панели вашего сайт появится значок обновления, кликнув по нему мышью вы переместитесь на страницу обновления, там вы и сможете произвести необходимые манипуляции с плагинами и движком сайта для установки новой версии. Так же, пред началом установки новой версии рекомендую создать резервную копию сайта, дабы воспользоваться её в случае возникновения каких-либо ошибок.

 4. Search.php и function.php

Защита сайта

Для того что бы хакеры не смогли залазить по сервер с сайтом, нужно им это запретить. Для этого откройте файл function.php и в самом его конце добавьте следующёю строку:

 <!--?php remove_action (’wp_head’, ‘wp_generator’); ?-->

После сохранения всех изменений, найдите файл search.php вашей темы и найдите в нём строку:

 <!--?php echo $_SERVER ['PHP_SELF']; ?-->

И замените её на приведённую ниже:

 <!--?php bloginfo (’home’); ?-->

Теперь при попытке зайти в корень сайта все злоумышленники будут получать отказ, но при этом данные изменения никак не отразится на работе вашего сайта.

 5. Окно с неправильным паролем

Неправильный пароль

Настоятельно рекомендую убрать выплывающее в админке окно с сообщение что пароль неправильный. Вы спросите зачем? Просто данное окно ошибки распространяется не только на неправильный пароль, но и на логин тоже. Благодаря этому хакер может узнать то что логин правильный путём отсутствия ошибки, после этого ему остается только подобрать подходящий пароль.

Для устранения подобной проблемы нужно найти файл funcions.php и вставить много следующую строку:

 add_filter ('login_errors',create_function ('$a', «return null;»));

Данный код предотвратит появление этого окна в случае ввода неправильного пароля.

 Для других движков

С WordPress я пожалуй закончу и перейдём ка мы к общим советам по безопасности сайта, подходящим ко всем CMS без исключений. Наверное, некоторые из них будут звучать довольно банально, но всё же на мой взгляд их нужно знать и соблюдать всем веб мастерам и блоггерам.

 1.Создайте сложные пароли.

Сложный пароль

Как бы банально это не звучало, но старайтесь сосватать как можно сложные пароли. Хороший пароль должен содержать как цифры, так и буквы, а ещё лучше добавьте в него хотя бы несколько специальный символов вроде (#%$@&)., вероятность взлома таких паролей путём подбора практически равна нулю. Так же не стоит забывать о длине вашего пароля, тут работает принцип «чем длиннее тем лучше«. И так, правильный пароль должен быть в длину более восьми символов и содержать не только заглавные и строчные буквы и цифры, но и спец символы.

 2. Выберите хороший хостинг

Старайтесь не доверять сомнительным предложениям, тем белее бесплатным хостингам. Перед выбором хостинга под ваш сайт поищите отзывы о его работе, внимательно прочитайте все жалобы по его работе, ведь ни какие плагины не способны защитить ваш сайт при взломе сервера на котором он находится. Особенно не доверяйте бесплатным хостинг-компаниям, на них не только не оказывается своевременная тех поддержка, но и их очень легко взломать в силу плохой защиты.

Лично я пользуюсь хостингом Hostia.ru, за весь год использования не было ни каких проблем.

 3. Проверка на вирусы

проверка сайта на вирусы

Как можно чаще проверяйте свой сайт на наличие вредоносного кода. Это можно сделать при помощи сервиса 2ip. Для проверки своего сайта на вирусы, перейдите по этой ссылке и вставьте в поле «URL» адрес своего сайта. После нажатия кнопки «Проверить» начнется сканирование, по завершении под этой формой появятся его результаты. Если на вашем сайте будут найдены вирусы вы можете удалить из самостоятельно, либо заказать лечение своего сайта у профессионалов.

 4. Запретите HTML код в комментариях

Постарайтесь запретить публикацию любого HTML кода в комментариях вашего сайта, это не только спасёт вас от открытых к индексации ссылок, но и предотвратит публикацию на вашем сайта любого вредоносного кода. Так же можно запретить встраивание только определённых кусков кода, это даст возможность посетителям публиковать ссылки и форматировать текст комментариев, без возможности навредить сайту.

 5. Проверяйте компьютер на вирусы

Проверка на вирусы

Установите на свой компьютер антивирусы с самыми последними вирусными базами, ведь взлом сайта не всегда начинается именно с него. Блуждая по интернету вы можете подхватить троян, который украдет логин и пароль для FTP соединения и отправит его хакеру. FTP клиенты с возможностью хранения пароля в зашифрованном виде, так злоумышленнику будет гораздо труднее разгадать ваши данные для соединения по FTP.

Вот статья и подошла к концу, очень надеюсь, что вы нашли для себя несколько хороших советов по безопасности и будите им придерживаться. Не забываем подписываться на страницу В контакте и rss ленту. До встречи на моём блоге!

комментариев 13 Добавить комментарий

  • Классный блог, автору респект:)

  • Осветлил все-таки дизайн.. Поздравляю!

    • Спасибо! По моему, так выглядит лучше.

  • Отличная статья. Пойду к себе в блог реализовывать 🙂

  • Кирилл, очень полезная статья. Оказывается и без плагина можно защитить сайт!

    Насчёт обновлений движка вордпресс: Как ты считаешь, обновляться нужно сразу же или подождать недели две три, после выхода нового обновления?

    Просто, читала как то, что нужно немного подождать, пока исправят все «новые косяки». Иногда старые версии получше новых оказываются на практике. Как ты считаешь?

    • Я обычно сразу же обновляюсь, но наверно правильней будет немного подождать, а то мало ли что.
      Сейчас все технические обновления устанавливаются автоматически, так что при переходе на новую «глобальную» версию все косяки должны исчезнуть сами.
      Но дабы избежать недоработок лучше немного подождать.

    • Лара, обновлять нужно сразу, так как бывают критические ошибки в движке, с помощью которых проводят массовые взломы блогов wordpress. Только недавно прошла волна на 150к взломов.

      Чтобы уберечь себя от проблем, перед обновлением сделайте резервную копию всех файлов и БД. Так вы сможете защититься от «дыр» и взломов.

  • Тимур, спасибо! Обычно я всегда делаю резервную копию(плагин стоит), да и на хостинге делают тоже.

    Просто, что касается всех обновлений в целом.. Не в эту тему, конечно.

    Как то обновила Андроид, и немного стало не то (не то, чтобы хуже…) Кстати, на Андроиде автообновления приложений надо отключать, так как трафик съедают, и скорость интернета снижается. У меня идёт обновление, когда сеть Вай Фай ловит( обычно это дома).

    • Вчера так же обновил андроид на планшете, помимо того что все значки на главном экране слетели, ещё и сам дизайн изменился не в лучшую сторону.
      Радует только одно, планшет стал заметно лучше загружать веб страницы.

  • Спасибо, очень полезная информация!!!

    • Пожалуйста, рад стараться!)

  • Нужно будет попробовать, а плагин удалить! Неплохо_спасибо!

Оставить комментарий