Всем привет. Сегодняшняя тема поста, защита от взлома. Здесь речь пойдет не о защите контента. Сегодня поговорим о тех двух уязвимостях, которые на сегодняшний день могут быть использованы злоумышленниками, чтобы зайти к нам на сайт через админку. Тем более, если некто даже создал для этого специальный плагин, значит, защитить сайт от взлома мы просто обязаны. О взломе своего сайта, я писал в этой статье. Итак, защита от взлома вникаем в детали.
Защита от взлома, слабые места.
Первая уязвимость, где злоумышленник может проникнуть на сайт, это наш хостинг. И если в мы довольны его работой, то это не значит, что желающих к нам зайти обязательно постигнет неудача. Причина может заключаться в настройках хостинга, о которых мы и понятия не имеем. Но проверить данный факт мы можем.
Для этого в браузере надо ввести адрес своего домена: https://……, и через слеш приписать к нему название одной из папок корневого каталога, например, /wp-content. Если нашему взору откроется чистая страница или надпись, что-то вроде: “Здесь ничего нет”, с хостингом все в полном порядке, защита надежная.
Если вы увидите список каталогов данной папки, это значит, не все в порядке. Хостер не уделяет вопросу безопасности не только должного, а просто никакого внимания. Пишите ему письмо, либо меняйте хостинг. А вот что надо сделать однозначно, чтобы защитить сайт, заделав возникшую брешь, так это прописать в файле Htaccess следующую функцию: Options All – Indexes
Такая вот несложная мера поможет вам избежать утечки информации.
Вторая уязвимость, слабое место в защите нашего сайта от взлома, это форма входа. Та самая форма, куда мы вводим свой логин и пароль, чтобы попасть в админку. Адрес данной страницы домен/wp-admin может не знать только тот, у кого этой страницы никогда не было. Поэтому, если считать ее входом нашего сайта, то вломиться дальше, уже дело техники.
Существуют скрипты, с помощью которых, перебрав несколько вариантов пароля, можно, в конце концов, выйти на нужный пароль. Пример тому, наши российские хакеры. Поперебирает юноша за компьютером пальцами и готово, пароль найден. Есть даже термин, определяющий данное действо, broodfort, brood переводится несколько странно, сидеть на яйцах. Так что наша с вами задача, если уж не пресечь полностью такие попытки, то сократить их количество до двух-трех, после чего: Извините, товарищ хакер, ваша попытка не удалась. И остается вам, вот на этом самом и сидеть….
Почему, заботясь о защите сайта от взлома, нам в принципе не пресечь подобные попытки? Чтобы, если пароль введен неправильно, осуществлялась полная блокировка входа. От временного забытья никто не застрахован, и мы с вами не исключение. У меня, например, были случаи, когда на одном сайте я вводил пароль от другого. И что теперь, сидеть и целый час ждать, когда заветная дверь откроется?
Плагин login-lockdown.
Как на практике осуществляется эта самая защита сайта от взлома? А осуществляется она, просто. Скачиваем плагин login-lockdown, помещаем его на хостинг в папку плагинов, активируем, заходим в настройки плагина. Что нам здесь предлагают?
Max Login Retries – количество попыток для авторизации. Проще говоря, сколько раз можно вводить пароль, прежде чем плагин вас заблокирует. Кстати, вас это тоже касается.
Retry Time Period Restriction (minutes) – количество минут, в которые должен уложиться злоумышленник. Значит, если мы даем ему на все 5 минут, а он успеет сделать только 2 попытки все, третьей уже не будет?
Lockout Length (minutes) – время, на которое сайт станет недоступен, для нас, в частности, тоже.
Mask Login Errors – наши пожелания: прятать ли сообщения о неправильном вводе логина и пароля (от кого?).
Currently Locked Out – показывать ли время и список IP адресов, с которых были сделаны попытки несанкционированного проникновения на наш сайт.
Вот такие варианты защиты. Но, если учесть, что мой сайт до некоторого времени вообще не был никак защищен, то согласитесь, это хоть какая-то крыша. Думаю, злоумышленники не сидят на …, как в переводе с английского, наверняка изобретают новые методы. Будем надеяться, что и нам со временем предложат что-нибудь такое, что на все 100% сможет защитить наш сайт от взлома. Вопросы безопасности для сайта на WordPress.
Эта статья всего лишь информация к размышлению. Защищать свой сайт от взлома или нет, решать вам. Единственное, что точно не надо делать, это самому проверять его на предмет взлома. Я не пробовал, но люди добрые предупредили, не надо. Ну а если есть какие-то соображения или наработки по вопросу защиты сайта, пишите, пожалуйста, в комментариях. Будем обороняться сообща.
Николай, здравствуйте. А в тренинг центре Твой – Старт вас не учили, что воровать контент с чужих сайтов не прилично. Насколько я помню, автора данной статьи звали Лариса Самборская. Она тоже проходила обучение в школе Старт-Ап. Но сайт она забросила, назывался он: Блог без пробелов. Адрес сайта был: https://www.biznesstart.ru/. Вообще-то, поисковики не любят ворованный контент, сайты попадают под АГС Яндекса, естественно посещаемости нет. Данную статью можно найти в ВЕБ АРХИВЕ: https://web.archive.org/web/20130724043204/https://www.biznesstart.ru/, там сайт ее есть полностью, все статьи ее сайта ранее были проиндексированы Яндексом.
С уважение Иван Полянин.
Здравствуйте, Иван Полянин! Воровством контента никогда не занимался и не собираюсь. Данная статья была приобретена мною на бирже копирайтинга. Все статьи которые я приобретаю, проверяю на антиплагиат. На данный момент статья полностью на 99% принадлежит моему сайту. https://prntscr.com/c0q67y По вашей ссылке не отображается ни какая статья, а только черный квадрат.
Николай, здравствуйте. Согласен с вами, Адвего видит ее как уникальную, но, в Веб Архиве она существует: https://web.archive.org/web/20130131081019/https://www.biznesstart.ru/blogosvedenija/zashhita-ot-vzloma-luchshe-do-chem-posle.html для сайта это плохо, в базе данных Яндекса она есть. Здесь страница автора статьи: https://www.facebook.com/larasamborska она в статьях пишет о взломе сайта и краже папок, запись от 2013 года. А если черный квадрат, попробуйте Яндекс браузер.
С уважение Иван Полянин.
Здравствуйте, Иван Полянин! Посмотрел статью, действительно один в один. Просто нет слов. Нашел в архиве биржи копирайтинга: https://prntscr.com/c180f2
Если устроит, могу в конце статьи добавить: Автор Лариса Самборска.
Здравствуйте, Николай. Да, такая вот нынче тенденция! Автор на бирже, просто находит брошенные сайты в Веб Архиве, крадет статьи как есть, и продает на бирже. Биржа показывает что статья уникальна на 100%, но это не так. В базе Яндекса она есть, за это Яндекс понижает позиции сайта в выдаче, потом АГС. Насчет копирайта в конце статьи, это на ваше усмотрение, думайте сами. Я с Ларисой давно дружу, прекрасный человек она из Латвии. Ее сайт полностью, есть у меня на компьютере, я помогал ей с сайтом. Насколько я знаю, статьи, с Веб Архива брать не возбраняется. Но, статью нужно переписать своими словами, уникализировать полностью. Да, если чем-то Вам помог, буду очень рад. Теперь главное, Иван, мой псевдоним, почта реальная. Не разбрасываюсь своим именем,как некоторые в инете, убедился что могут быть плохие последствия. Имею ввиду карму. Статью нашел по запросу в Яндексе. Досвидания.
С уважение Иван Полянин.