Защита WordPress блога от взлома

Защита от взломаНекоторое время назад мне пришлось на несколько дней покинуть Интернет, и каково же было мое неприятное удивление, когда я, вернувшись, обнаружила письмо от моего хостинга, что мой сайт заблокирован за превышение нагрузки на сервер. Заблокированным оказался не только сайт, но и доступ к файлам по FTP, а также вход в админку на сайте хостинга, остался доступным только вход в виртуальный офис. Надо сказать, поначалу я очень возмутилась, в чем искренне каюсь. Доступ к сайту и файлам мне разблокировали по первой же просьбе, и ознакомление с логами показало, что кем-то, заходившим через прокси-IP, были сделаны многократные попытки залогиниться в моем блоге, иначе говоря, была попытка взлома блога. Сотрудники хостинга просто остановили это безобразие, а заодно закрыли доступ к файлам, чтобы злоумышленники не попытались взломать сайт в целом. Правда, для этого им бы пришлось угадать не только пароль, но и логин…

Как только мне вернули доступ к сайту, я сразу приняла ряд мер предосторожности от взлома блога на WordPress, чем и хочу поделиться.

Во-первых, я установила плагин защиты от взлома Login LockDown, блокирующий по IP вход в блог, если количество неудачных попыток залогиниться сравнялось с заданной величиной. Плагин очень легко настраивается, в принципе, подходят значения по умолчанию вполне нормальные.

Настройки Login LockDown

Настройки Login LockDown

Первая настройка — максимальное количество попыток войти (здесь 3 раза). Вторая — период ограничений (здесь 5 минут). Плагин запоминает IP того, кто сделал неудачную попытку залогиниться. Если с момента последней попытки прошло более 5 минут, IP удаляется из памяти. Если же в течение этих 5 минут было сделано заданное число попыток залогиниться, вступает в действие блокировка по IP. Ее длительность задается в следующей настройке (здесь 60 минут). Никакая программа взлома паролей не преодолеет такую блокировку.

Во-вторых, я провела удаление лишних плагинов, в том числе неактивных. Пришлось отказаться даже от тех плагинов, которые раньше мне казались нужными. Многие плагины замедляют загрузку блога, а некоторые создают дыру в его безопасности. На всякий случай лучше обходиться минимумом прибамбасов.

В-третьих, я создала новый админский аккаунт, известный только мне, а статус ника Ариона понижен до автора. Автор не имеет доступа к настройкам, он может только создавать записи и исправлять те из них, которые он сам написал. Еще один жизнеспособный вариант — продолжать писать посты под админским логином, однако логин и ник автора не должны совпадать, а логин не должен быть угадываемым.

В-четвертых, на случай, если, несмотря на все меры предосторожности, произошло нечто нежелательное, у меня почти с момента создания блога установлен плагин WordPress Database Backup, которые осуществляет резервное копирование базы данных. Этот плагин позволяет сохранять архив базы данных на жесткий диск, можно также настроить пересылку архива на е-мэйл с периодичностью каждый час, дважды в день, раз в день или раз в неделю. Если что случится, содержимое блога будет легко восстановить.

Добавить комментарий


Пятый элемент блогосферы © 2015