Всем привет! Сегодня, продолжая рубрику Безопасность, я расскажу вам о том, какие еще просто необходимо принять меры, чтобы обезопасить блог от неблагоприятных факторов, будь то атаки вирусов или взлом блога. В своей прошлой статье из этой рубрики я рассказывал о необходимости установки нескольких плагинов, таких как,Anti-XSS attack, Login LockDown, Secure WordPress и WP-DB-Backup. Данные плагины способствуют надежной защите вашего блога от взлома и хакерских атак. Помимо установки этих плагинов, я приводил несколько советов для дополнительной защиты блога, ознакомиться с которыми можно здесь.
Проанализировав статьи по защите сайтов, в Интернете, я составил еще несколько мер, для того, чтобы «спать спокойно») Итак, обо всем по порядку.
Во-первых, «планово» меняем логин и пароль для входа в административную часть блога. Периодически я их меняю. А в этот раз, я столкнулся с некоторой проблемой. Изменив логин и пароль, я не мог войти в админку, к тому же плагин Login LockDown меня вообще заблокировал. Теперь я опишу весь процесс смены логина и пароля, включая решение возникших проблем.
Для того, чтобы изменить логин и пароль, переходим в панель управления базами данныхMySQL, а именно в phpMyAdmin. Так как, я использую хостинг mchost (почему я использую именно этот хостинг, я обосновал в статье Выбор хостинг-провайдера), то буду рассказывать о смене логина и пароля на примере этого хостинга. Кстати, как установить блог на этот Хостинг, я писал в статьеЗапускаем блог в Интернет. Итак, как же попасть в phpMyAdmin. В панеле управления mchost, нажимаем Базы данных, в появившемся окне нажимаем Администрирование баз.
Введя свой логин и пароль (такие же, как и при входе панель управления mchost), вы оказываетесь в панеле управления базами данных. Нажимайте на Базы данных, затем выберите свою необходимую базу данных(почти всегда она совпадает с логином на хостинге). Теперь необходимо перейти в wp_users(вместо wp_ может быть другой префикс). Здесь нажать на редактирование пользователя, ввести новые значения – логин и пароль (пароль необходимо зашифровать при помощи MD5, для этого выберите соответствующее значение из выпадающего меню слева), и нажмите сохранить.
А теперь, у меня возникла проблема, о которой я писал выше! Ввожу новые Логин и Пароль, а меня не пускает в админку блога.
Ну а теперь, внимание, виновником оказался … плагин Login LockDown (мне так кажется, и кажется, что я прав)! Сначала подумал, что ошибся в новом пароле, ввел несколько раз и был благополучно заблокирован плагином на энное время. Я не стал ждать истечения этого времени, а вновь зашел в панель управления хостинга mchost и снес этот плагин варварским способом. Для этого, перешел в меню Сайты, затем в открывшемся окне выбрал Файл-менеджер, перешел в папкуhttpdocs, затем wp-content, и, наконец, в папке plugins выбрал папку Login LockDown и удалил её.
И только после этого, я благополучно вошел в админку своего блога под новеньким логином и паролем. Кстати, в меню Плагины появилась следующая запись.
То есть при удалении папки с плагином, сам плагин автоматически отключается, ну или деактивируется. Отсюда напрашивается вывод, прежде чем решите изменить свой логин и пароль, сперва советую отключить плагин Login LockDown. А после того, как измените значения, вновь его включить. Здесь важно отметить, что плагин Login LockDown блокирует вход в админку по ip-адресу, то есть если вы его заново установите, то с тем же айпишником вы не сможете войти некоторое время, указанное в настройках плагина. Если адрес динамический, или у вас есть возможность войти в админку с другого айпишника, то вы войдете без проблем под новым логином.
Во-вторых, в Интернете набрел на интересное понятие – уникальные ключи аутентификации. Они прописываются в файле wp-config.php. Изменить их можно, нажав на редактировать данный файл в файловом менеджере панели управления вашим блогом на хостинге.
Вы можете сами придумать уникальную фразу и вбить её в файл, а можете воспользоватьсяофициальным сайтом wordpress, который сгенерирует уникальные ключи аутентификации автоматически. А затем также вбить их в файл, не забывайте только обновить его! Я так понимаю, что изменять ключи на уникальные необходимо в момент установки wordpress на сервер, тем самым, обезопасив блог. Но думаю, и сейчас, когда блогу уже более полугода, сделать их уникальными лишним не будет!
В-третьих, опять плагины! Советую установить плагин WP Security Scan, и проанализировать безопасность вашего блога и защищенность его от взлома. После того, как я активировал данный плагин, то он сразу же указал мне на слабые места блога.
Первое, это префикс моей таблицы базы данных был проставлен по умолчанию, то есть wp_, тем самым я немного облегчал хакерам работу по доступу к таблице базы данных. Сам плагин предложил изменить этот префикс, что я и сделал, и вам советую! Также этот плагин представил моему вниманию следующую запись – The file .htaccess does not exist in the wp-admin section. Здесь сказано, что файла .htaccess нет в директории wp-admin. Исправил я это, вставив в данную директорию пустой текстовый файл с именем .htaccess. После проделанного мною, все надписи плагина стали зеленого цвета!
После проверки безопасности блога, плагин WP Security Scan можно просто-напросто удалить.
В-четвертых, хотелось бы в данной статье упомянуть о спаме в комментариях. Вообще, я решил ввести комментирование моих статей без модерации (то есть «пускать в эфир» комментарии без моего одобрения). Для этого я установил плагин DCaptcha, который добавляет в комментирование поле текст Это не спам!, без нажатия на которое комментарий «не выйдет в эфир»!
Не давайте хакерам взломать ваш блог! На этом сегодня всё, всем пока и удачи!