Добрый день, уважаемые читатели блога WPnew.ru! Сегодня мы увеличим безопасность в WordPress. Вордпресс итак неплохо защищен, но дополнительная безопасность нам не помешает.
Для начала закроем доступ к ненужным файлам. Наберите в браузере адрес, например, ваш_блог/wp-content и если, Вы видите белый экран, то все нормально:
Если у Вас вышел список файлов, то необходимо сделать следующие действия (если даже белый экран, лучше выполнить нижеперечисленные действия):
- Открыть файл .htaccess с помощью Notepad++. Он расположен в корне блога, вместе с папками wp-content, wp-admin и т.д.
- Напомню файл .htaccess мы изменяли пока только один раз, в 33-ом уроке. Он у меня выглядел следующим образом:
- И теперь в файл .htaccess добавляем следующий код:
Options All –Indexes
В результате .htaccess будет выглядеть вот так:
<IfModule mod_rewrite.c> RewriteEngine On RewriteBase / RewriteCond %{REQUEST_FILENAME} !-f RewriteCond %{REQUEST_FILENAME} !-d RewriteRule . /index.php [L] </IfModule> Options All -Indexes
- Также настоятельно рекомендую (заставляю!) добавить в первую строчку следующий код:
AddDefaultCharset UTF-8
Это поможет Вам решить многие проблемы с неправильной кодировкой сайта. К примеру, плагин WP Comment Quicktags Plus будет отображать нормальный русский язык, а не крякозабры.
- Окончательно, файл .htaccess у меня выглядит следующим образом:
AddDefaultCharset UTF-8<IfModule mod_rewrite.c> RewriteEngine On RewriteBase / RewriteCond %{REQUEST_FILENAME} !-f RewriteCond %{REQUEST_FILENAME} !-d RewriteRule . /index.php [L] </IfModule> Options All -Indexes
- Если кому-то лень копировать и все это вставлять, то предлагаю скачать уже готовый файл .htaccess и “засунуть” (скопировать) его в корень блога, в папку, где находятся wp-content и т.п.
- Теперь при открытии страницы ваш_блог/wp-content Вы точно должны увидеть белый экран.
Безопасность в WordPress с помощью плагина Login LockDown
Также Ваш блог могут взломать методом подбора пароля к блога. Если Вы поставили совсем легкий пароль, то взломщики с помощью специальных скриптов легко могут “проникнуть” на Ваш блог.
- Для начала нужно скачать плагин Login LockDown:
- Активируйте данный плагин.
- Все, плагин уже работает. Чтобы убедиться в этом, просто зайдите по адресу ваш_блог/wp-admin (если Вас “перебрасывает” в админку WordPress, просто нажмите на “Выход” в правом верхнем углу):
Примечание: Вы должны увидеть следующее “Login form protected by Login LockDown.”
Настройка плагина безопасности Login LockDown
Чтобы попасть в настройки плагина, нужно перейти Админка WordPress –> Настройки –> Login LockDown:
1. Max Login Retries – максимальное количество попыток набора пароля.
2. Retry Time Period Restriction (minutes) – количество минут, за которые считается максимальное количество попыток набора пароля.
3. Lockout Length (minutes) – время блокировки.
То есть, если цифры останутся такими же, как и на картинке выше, то это означает следующее: если за 5 минут, пароль введен неправильно 3 раза подряд, то админка WordPress блокируется на 60 минут.
Настройки плагина Login LockDown я оставил по умолчанию, ничего не трогал, так как они меня полностью устраивают.
Пожалуй, на сегодня про безопасность в WordPress (Вордпрессе) все. До встречи на следующих уроках!
P.s. Не забывайте, свежие полезные уроки выходят каждый будний день, поэтому обязательно подпишитесь на RSS!
Удачи Вам!
Советы хорошие, Но на правах рекламы, мои первые успешные статьи были про безопасность блога, поэтому я тему стал расширять и уже на данный момент в моей сборке 42 совета по безопасности блога и около 25 рассмотренных плагина для безопасности, на этой недели в пятницу опубликую еще 8 советов и в итоге будет пол сотни полезных советов. Если интересна безопасность блога рекомендую почитать и у меня информацию про безопасность.
Login LockDown – это очень хороший плагин, но при этом нужно понимать, что если поставить слишком большое время и Вы ошиблись, то придется ждать то время, которое Вы установили.
Хмм..я тоже писал статью про безопасность, даже две)) Советую надпись “Login form protected by Login LockDow” удалить из плагина, нечего показывать злоумышленникам, какие плагины у вас стоят, упрощаете взлом..
Заметил одну не мало важную вещь!… Счетчик LiveInternet – показывает числа=)… Скажу так, Петр – вы добились многое, если посещаемость выше 300 это уже круто, но сейчас только 14:37 по Украине.. Еще почти половина дня осталась.. Да и вечером больше народу заходит… Короче искренно вас поздравляю с таким количеством посетителей.
Спасибо большое. С общими силами я стараюсь достичь поставленной цели любой ценой…
Петр, все работает, не волнуйся))
А до этого не работало 🙂
Безопасность, важный вопрос! Хорошо, что ты напомнил!
Да, хорошая статья. Установил этот плагин. И напился… попытался войти в блог, неверно набрал пароль. Так меня выкинули на полчаса или час. Все-таки потом вошел в свою админку. Протрезвел и все вспомнил.
К чему я это пишу? Блоггер всегда должен быть в хорошем настроении. Допустим, сегодня люди считают, что твой блог фуфло, но завтра они у тебя сами спросят совета по какой-либо теме )) Короче, респект и уважуха автору reclampa.ru ))
Проделала первую часть (не смотря на то что у меня был белый экран), в итоге все перестало работать выдавая сообщение “ошибка сервера”
Вернула файл в прежний вид и все опять заработало.
В чем может быть проблема?
Что-то не так делали. Можно заново поставить, но при этом удалить тот плагин, который Вы устанавливали себе на блог.
Очень интересный и полезный сайт ,я узнала много новых подробностей,о которых не говорят другие. Спасибо Вам большое буду держать ваш сайт под рукой и ждать новых статей.
У меня аналогично Наталье изначально (до добавления строки Options All -Indexes в файл .htaccess) был белый экран по адресу ваш_блог/wp-admin, а после добавления двух строк в файл вместо страниц сайта появлялся белый экран с ошибкой сервера. Когда вернула файл в прежнее состояние, все заработало.
Потом я добавила лишь верхнюю строчку с кодировкой AddDefaultCharset UTF-8 и обновила файл на сервере – всё работает.
При разработке и переносе блога с локального хостинга на реальный столкнулся с таким же багом. Прописал так как рекомендовано в статье и начало выдавать
“Ошибка 500. Внутренняя ошибка сервера”
Излечил способом вот перед этой строчкой поставил знак # и теперь запись в файле выглядит вот так
#Options All -Indexes
и все начало работать.
Использую хостинг jino.
оу, спасибо и правда работает))
Если хотите что-бы блог работал нормально, не надо не какие плагины ставить, без них работает все хорошо.
Один как-то поставил и из-за проблем с загрузкой блога пришлось убрать.
Возможно это было раньше, сейчас мне кажется это лишнем. Бывает по необходимости 1-2, ну и все.
Петр, у меня к Вам такой вопрос. Я скопировал рекомендуемый Вами файл htaccess и изменил там на данные своего блога. Проверил, все работает нормально. Однако я где-то прочитал, что сайт должен правильно показывать главную страницу при наборе всех 4 возможных адресов сайта. Я стал проверять и обнаружил у себя (и у Вас), что по адресу http://адрес_блога./ru/index.html выдается 404 ошибка. При этом по адресу http://www.адрес_блога./ru/index.html подобной ошибки нет – срабатывает главная страница. Я сам в этом не разбираюсь. Но может быть нужно что-то подправить?
К сожалению, я тоже в этом не силен. Я не “напрягался по этому вопросу”. Вам лучше обратиться к тем, кто “Однако я где-то прочитал, что сайт должен правильно показывать главную страницу при наборе всех 4 возможных адресов сайта.”
Неверно написал в первый раз. Ошибка происходит именно по полному адресу, но не с www, а по адресу http:// ____ /index.html
Владислав, я не профи, на платную платформу перешел недавно, где-то проблема и не знаю где искать. Если подскажешь буду благодарен.
* Устанавливаю плагины (3-8 шт.), пока на блоге, работает нормально, ухожу, хочу зайти снова, выдает ошибку (описать трудно), что-то с адресами связано да. Потом только на хост, нахожу, удаляю плагины и потом опять работает все нормально. Одна странность, на бесплатном ( http://alversch.tw1.ru/) ставлю те-же плагины, там работает.
В какой стороне искать?
Спасибо.
Поздравляю с Рождеством.
И маленький подарок от Яндекса.
По запросу “безопасность вордпресс” WPnew.ru заметно обогнал Шакина.
Только что заметил, удивился и порадовался за автора)))
И вас с Рождеством. Спасибо за внимательность,понравилось:)
А кто знает в чем прикол у одного провайдера-хостинга работает у другого нет lockdown-wp-admin Пишет ошибку к доступу админки.
Надо вбить имя пользователя и пароль в wpconfig
Выяснил, подвохов нет надо просто было ждать 5-10 мин и плагин работает (lockdown-wp-admin) А вот еще как находят сайты и начинают их ковырять для тех кто не верит – inurl:.ru/wp-admin/post-new.php этот запрос появился на свежем вылеченном сайте от вирусов. И, что вы увидите,,,, это доступы к админкам. Теперь знайте
ее надо прятать обязательно.
Всё это я уже нстроил. Блог защищён.
Петр подскажите, если сайт не wp, а самописный (делал знакомый, сейчас его нет).
Как можно защитить его. т.к. при просмотре кода видны ссылки на скрипты и пароли.
Как это все скрыть?
К сожалению, не знаю..
Подскажите, пожалуйста! У меня в корневой папке нет файла “.htaccess”. А при установке скачанного с урока файла, на сайте пропадают все картинки, сайдбары. В общем все кроме текста. Пробовала вставить файл “.htaccess” внутрь темы, чуть лучше, но сайт полностью нарушается. В чем может быть причина?
Елена я могу помочь Вам в вашей проблеме.
такая же проблема
После того как скачал ваш файл .htaccess, на моем сайте отвалился весь js. После открытия увидел сомнительные записи в конце:
Options All -Indexes
RewriteEngine on
RewriteCond %{HTTP_REFERER} !^$
RewriteCond %{HTTP_REFERER} !^http://(www\.)?reclampa.ru/.*$ [NC]
RewriteRule \.(gif|jpg|js|png|css)$ – [F]
RewriteCond %{HTTP_HOST} ^www\.reclampa\.ru$ [NC]
RewriteRule ^(.*)$ http:// reclampa.ru/$1 [L,R=301]
А сомнительные они, потому что на Вашем скриншоте этих строк нет и часто проскальзывает слово reclampa.ru…
версия wordpress 3.4.2
Нельзя так, много времени потратил на поиск проблемы…
вместо reclampa ставите свой домен.
это стандартные настройки htaccess с дополнением хотлинка (чтобы картинки не тырили).
js полезть не мог, т.к. его тут не затрагивает, если только у вас не напутано с редиректами www и без них
тема переходит в блуд. После февральской атаки я учил все так бысто на тот момент было уже 15 сатов, а безопасности ноль. Теперь готов помоч в этих вопросах. Стал профи.
Виталик любой сайт хакернерну от 20 до 40 минут – дам посказку и программу и ты сможеш
чувак спасибо тебе я сам только что заметил я думал блогу капец
Заметил, что мои сайты (их три) начали тормозить, упала посещаемость. Выяснил, что кто-то ломится в админку, нагружая сервер. В htaccess ставил запрет на ip, с которых ломали. Но через несколько дней начинали ломиться уже с других ip.
Установил Login LockDown. Но ситуация та же. В связи с этим как понимать слова “если за 5 минут, пароль введен неправильно 3 раза подряд, то админка WordPress блокируется на 60 минут”. По ходу, ничего не блокируется, с одного ip могут заходить на POST /wp-login.php HTTP/1.0″ 200 3806 по несколько сот раз в день. (Хостер джино).
У кого была такая ситуация? Спасибо.
limit-login-attempts попробуй этот, а если поставить еще better-wp-security (аккуратней с настройками) найди как его настроить и не лезь после 15 пункта
Спасибо, а Login LockDow, почему не работает?
lockdown-wp-admin этим можно спрятать вход в админку на 95% – на почему ответ
После взлома -плагин удалить и по новому поставить.
если я поставлю дополнительно плагин Limit logins Attempts, как будет себя вести плагин Login LockDown, глюков не будет???
Здравствуйте.У меня такая проблема:я не могу выйти с сайта,приходиться закрывать браузер и только тогда я выхожу из своей учетной записи.Я где то читал что это может быть из-за файла .htaccess но поменял его на ваш и нечего не изменилось
Вы пытаетесь выйти с сайта ,,,,,,мой сайт.ru
Вы действительно хотите выйти?
Жму выйти но он все еще на этой станице
помогите пожалуйста
Попробуйте на время выключить плагины и попробовать еще раз.
Петь, подскажи пожалуйста! У меня на сайте регистрируются пользователи. Но формы регистрации на сайте нет! Есть форма подписки на новости, но в FeedBurner нет подписавшихся! Я конечно на 99,9% подозреваю, что это боты, но как они попадают в пользователи в wordpress ???? Пароль в админку сложный, буквы, цифры, символы, довольно длинный. Пользователя по умолчанию «admin» убрал ещё на первом шаге при знакомстве с wordpress.
Набирают адреа_сайта/wp-login.php, а там уже есть кнопка “Регистрация”. Чтобы избавиться от этого уберите галочку в “Настройки” -> “Любой может зарегистрироваться”
А как проверить работу данного плагина? (LockDown)
Введите раза 5 неправильный пароль и все увидите 🙂
На локалке не работает?
Я раз 10 вводил)
не) На локалке не пройдет скорей всего)