А вы обезопасили свой блог?
Безопасность – благо цивилизации, которое мы воспринимаем как само собой разумеющееся в жизни. В Интернете ситуация с точностью до наоборот: повсюду опасности: вирусы, трояны, фишинг.
Однако если мы взглянем на ситуацию по-другому, в жизни нас тоже окружают вирусы, бактерии и инфекции. Как мы боремся с ними? Элементарной гигиеной, прививками, нормами поведения в обществе.
Эта статья открывает новую рубрику статей по безопасности блогов на WordPress и самих блоггеров в Интернете. Цель – выработать у блоггеров определенную культуру поведения в Интернете для профилактики неблагоприятного воздействия кибер-угроз.
WordPress, как и другие CMS – набор файлов + база данных. Если не теоретизировать об изощренных угрозах, наиболее распространено следующее:
Обычно вирус на блоге представляет собой часть кода PHP или JavaScript, который дописывается в конец файла или поста. Опытный программист может найти недавно обновившиеся файлы и вырезать из них вредоносный код.
Но более правильно вместо подобных хирургических вмешательств выполнять ряд рекомендаций, которые можно рассматривать прививку или профилактику.
К каждому файлу или папке на хостинге даны определенные права доступа на запись, чтение и выполнение. В настоящий момент немного осталось программистов-эксперементаторов, которым нужны все права доступа, а в большинстве преобладают обычные владельцы CMS. Но возможности для работы небезопасных скриптов на хостингах остались, часто они используются для заражения фалов блога.
Измените права доступа к файлам темы (Chmod) на 444 (Все пользователи имеют только права на чтения). Этим вы запретите редактировать файлы темы всем типам пользователей, и вписать в файлы темы вредоносный код будет намного сложнее.
Изменить права вы сможете при помощи файлового редактора в панели управления хостингом или с помощью FTP клиента (FileZilla, FlashFXP, Total Commander).
Внимание! Данная настройка не позволит редактировать файлы темы в админ-панели блога.
Существует десятки тысяч плагинов и шаблонов для WordPress, многие блоггеры постоянно меняют, пробуют, тестируют новые. Для таких, очень важно быть аккуратными в выборе мест скачивания оных.
Для злоумышленников очень просто выложить в свободный доступ новые плагины или темы, предварительно вписав в них вирус. Часто такие зараженные архивы передаются из «рук в руки», не подозревая скрытой в них опасности.
Загружайте темы или плагины с WordPress.org или с официальных источников (например, с сайта разработчика популярного плагина или темы).
Если случилось так, что ваш блог заражен вирусом, профессиональный программист сможет «вычистить» файлы. Но любой новичок сможет просто переустановить темы на блог, удалить старые файлы и закачать резервную копию.
Более сложная ситуация с базой данных блога, ее не так просто восстановить. Но если вы регулярно делаете ее резервные копии, вы сможете все восстановить.
Резервная копия файлов темы – zip архив с файлами темы (в таком формате вы сможете обновить тему из админ-панели). Достаточно сделать архив один раз и обновлять его после каждой переделки темы блога.
Резервная копия базы данных – дамп базы данных, который нужно делать регулярно (минимум 1 раз в неделю). Можно вручную через MyPHPAdmin, но более удобно — через специальный плагин (например, WordPress Database Backup).
Каждый сайт стремится научить пользователей выбирать надежные пароли, но по моему опыту, нам еще далеко до всеобщего понимания.
Если у вас логин от блога «admin», а пароль типа «max123» – взлом вашего блога вопрос времени!
Измените стандартный логин от панели администрирования, это не только безопаснее, но и намного приятнее вводить не «admin», а что-то вроде «brilliant», «lucky», «talent».
Измените пароль от блога на надежный, длиной более 7 символов (например «MaX_456#1») и меняйте пароль минимум каждый квартал.
И еще раз повторюсь: намного лучше уметь не восстанавливать блог после атаки, а придерживаться простых правил, чтобы не подхватить заразу.
|
|
Полезная статья. Резервную копию баз данных делаю каждую неделю с помощью плагина.
Очень актуальная тема! Спасибо,Евгений!
Доброго времени суток Евгений.Спасибо за информацию о смене кода доступа к темам движка.Может еще и файл php подскажете, где менять(я сильно новичек)?А установка плагина AntiVirus что-нибудь к безопосности блога реально добавляет?Или можно удалять?Вы про это вообще не упоминаете.
Светлана, если вы «сильно новичок» лучше вначале получить представление о структуре файлов WordPress на хостинге, а потом уже менять права доступа. Иначе % риска что вы сами что-то испортите весьма высок.
Про плагины еще будет пост. Большинство плагинов для WordPress требуют настройки (помимо установки) если их просто установить и ждать что они сами настроятся наилучшим образом — результат может быть хуже чем до установки.
Спасибо,Евгений,за статью.Воспользуюсь вашими советами!
Спасибо, Жень! Полезные советы, уже пошел внедрять ! :) Если еще более подробно опишешь и другие способы избежать вирусных атак, такие как например, прописанный вирус в файл формата exe (эл. книгу), закаченную на хостинге, то будет просто супер. Недавно стал жертвой такой атаки.
С уважением, Денис Панов!
Спасибо за статью! Вовремя и полезно!
Использую шаблоны исключительно собственного изготовления.
Спасибо, Евгений за предупреждение! Резервную копию уже делаю один раз в неделю, обращу внимание и на другие пункты.
Очень хорошая статья, буду теперь следовать всем правилам!
Благодарю за статью. Она помогла понять глюки на компе.
Евгений, спасибо!
Я как раз столкнулся с таким делом. При открытии блога, а затем при открытии любого поста антивирусник выдавал сигнал о заражении трояном. Пришлось менять тему. Сейчас всё нормально. Но так как я долго разбирался с этим, то в поисковых системах начало проходить предупреждение об опасности блога. Как теперь от этого избавиться? Кстати предыдущая тема была от Артёма Беляйкина.
Сергей, тему можно почистить от вредоносного кода и вернуть. Можно просто подождать, пока роботы определят что сайт снова чист, или же в сервисах Яндекс.Вебмастер и Инструменты для веб-мастеров Google подать запрос на проверку сайта.
Я б рекомендовал еще установить несколько плагинов, отвечающих за защиту WP от многократных попыток подбора пароля, для защищенного соединения с админкой и для слежения за изменениями в файлах блога. Если есть регистрация пользователей полезно еще отслеживать также их действия на своих аккаунтах
Евгений, а можно ли проверить блог, на предмет заражения вирусами?
Спасибо за информацию. Она сейчас как никогда актуальна для меня. А сделать бэк-ап сайта — на это много времени уходит?
Читаю на сайтах о смене логина и пароля. Способов предлагают несколько и все труднопонимаемые.Какой способ Вы применяете?