Что делать если взломали блог? 5 способов защиты

защита блога от взлома

На днях прошлась DOC атака на мой блог Blogowed.ru, и он был взломан! Технически поработали, да кстати WordPress очень дырявый,  из — за многочисленных скриптов он является очень уязвимым CMS . Если кто — то был у меня на блоге с 5 до 7 вечера мог наблюдать ошибки на сайте, и не открывалась ни одна статья, я проводил откат Б/Д, и мне пришлось пожертвовать одной статьей за что прошу извинения, советую прочитать эту статью полностью я буду говорить полезные вещи.

Начну я с того что при очередной проверки исходника, обнаружил непонятный список сайтов, которые периодически менялись. Число их составляло около 200 штук.

Взломали блог WordPress

Это не весь список а только часть него, позже я узнал что распространение WordPress  используют для развертки вспомогательных дроно-сайтов, куда в блогроллы выкидываются индексы сайтов под индексацию. То есть мой блог использовали как  линка — помойку. Другими словами  я был конвейером.

Ладно это мелочь я ее решил  с помощью отката базы данных, можно было  обойти иными путями и просто обновить WordPress до последней версии.  Дело в том что хакеры взламывают сервер и в index. php добавляют произвольный код html, такой же способ может произвести  трой который ворует данные дял доступа к серверам с FTP- менеджеров вроде Total Commander  и отправляет их куда надо, где в автоматическом режиме скрипт сканирует корневую директорию на наличие index.php , index.html  и добавляет туда свой код.

Как защитить блог на wordpress от взлома?

В первую очередь нужно задуматься как обезопасить свой блог от взлома, я уже убедился что WordPress очень дырявый , давайте разберем все возможные решения и попробуем как можно больше закрыть  дыр на блоге.

Решение 1.  При попытке залогиниться в WordPress , Если Вы сделаете ошибку , то движок скажет Вам об этом, эти подсказки можно спрятать от хакера, зачем ему знать правильно он вел пароль или нет.
Для этого в файле functions.php в самом низу вставьте строчку:
[sourcecode language=’php’]add_filter(‘login_errors’,create_function(‘$a’, «return null ; » ));[/sourcecode]

Сохраняем файл, теперь ни каких подсказок….

Решение 2 . Поменяйте логин и пароль на сайте, в место Admin пропишите например свой ник , делать это мы будем с помощью phpMyAdmin . Заходим в панель управления хостингом  и находим там phpMyAdmin

Далее ищем таблицу “wp_users” и жмем кнопку “Обзор” , выбираем пользователя Админ:

Пароль от взлома

  1. Стираем admin в поле user_login и ставим свой ник или Любое другое имя
  2. Стираем все иероглифы  в поле user_pass  и прописываем свой пароль 20-25 символов для надежности
  3. В поле User_pass из выпадающего меню выбираем шифрование  MD5
  4. Нажимаем ок
Решение 3.Установите на своем блоге несколько важных плагинов:

BulletProof Security — Защитит Ваш блог от кросс-серверных скриптов, SQL-инъекций, base64, CSRF, а также надежно сохранить жизненно важные файлы вашего сервера, такие как .htaccess и php.ini.

Login Lock Down или  Limit Login Attempts — это плагины, которые предотвращают многократные попытки входа в админку , работают они по принципу 3 раза не правильно ввел, ЖДИ!  Вы можете в настройках установить количество попыток и время блокировки.

 Anti-XSS attack — Плагин для защиты от XSS-атак

Решение 4  Находим файл .htaccess в корне нашего сайта и добавляем следующий код:
[sourcecode language=’php’]

order allow,deny

deny from all

[/sourcecode]

wp-config.php содержит все данные, необходимые для подключения к серверу MySQL и базе данных. Защищать это файл нужно в первую очередь.

Решение 5 На сайте существуют бесполезные файлов, по сути они не нужны, за то для взломщиков они несут полезную информацию. Просто удалите эти файлы: readme.html и license.txt.

А также строчку в файл header.php (строка показывает версию wordpress)

[sourcecode language=’php’]” />[/sourcecode]

И на последок обязательно установите плагин wordpress database backup , он нужен для восстановления базы данных.

На этом пока все! Обновляйте постоянно свою версию сайта, а также не забывайте следить за своими исходниками,  враг не дремлет.

10 комментариев

  1. Юрий
  2. Роман
  3. Roman
  4. Zis
  5. Roman
  6. Кот Шрёдингера
  7. Тимур
  8. Алекса
  9. Алекса
  10. Виктория

Leave a Reply