Здравствуйте уважаемые читатели!

Хочу поделиться с вами своим недавним опытом о том, как можно РЕАЛЬНО защитить свой блог от взлома. Он был построен на одном из мной курируемых проектов фотографов. В статье я приведу все методы, которые я накопил при попытках выгнать хакеров с сервера и прекратить их попытки взлома. Все статьи, которые я находил в интернете были не достаточны для того, что бы сделать комплексную защиту, в следствии чего проблемы взлома постоянно повторялись. Если и вы подвергаетесь хакерским атакам на ваш блог wordpress — читайте данную статью далее..

Все материалы содержат свежую информацию и помогут в большинстве случаев от взлома блога на wordpress. Данные способы собирались и тестировались мной в течении месяца и избавить сайт фотографов от шеллов и прочей нечисти помог только их комплекс.

Предыстория

Около полугода назад мной был создан простенький фото-блог на платформе wordpress. Задача для такого вида сайта проста — возможность размещения фотографий и текста. Естественно, что такого вида сайт создается за один вечер, тем более если за основу брать уже готовый шаблон. Кстати, рекомендую вам для этих целей пользоваться сайтом — morestyle.ru.

Т.к. сайт создавался «на коленке», то не о какой защите речи не шло, о чем в дальнейшем я пожалел. Итак, после создания прошло около 3 месяцев и я решил зайти на сайт, проверить на работоспособность, и тут я вижу страницу заблокированного сайта. Быстро связываюсь с админами, а те говорят что он уже давно так… мол меня отвлекать не хотели…. Конечно я на них поругался и начал трясти техподдержку, мол что и как. Те в свою очередь скинули список шеллов и различных сендеров.

Список был вычищен и сайт запущен, я рад, админы рады, пляшем. Буквально через 3-4 дня сайт снова блокируют по той же проблеме и с предупреждением — «Если еще раз повторится — мы будем вынуждены заблокировать заказ». Вот тут то мне и прошлось искать способы защиты от шеллов. Я надеюсь моя инструкция по защите сайта wordpress от взлома поможет вам избавиться от «лишней головной боли»! Инструкция отлично подойдет для сайтов, работающих на системе wordpress, частично для других: Joomla, DLE, Drupal и другие.

Защита wordpress

Инструкция по защите сайта WordPress от взлома.

1. Если у вас установлен «нуленный» шаблон. Перед установкой любого шаблона я рекомендую вам проверять его на вирусы, достаточно много хакеров для простоты взлома «вшивают» в шаблон shell и звонилку. После того, как вы установили шаблон на сайт, звонилка сообщает хакеру адрес вашего сайта и тот в свою очередь получает полный доступ к нему. Для проверки вы можете воспользоваться, как обычным компьютерным антивирусом, так и специальным от сайта morestyle — здесь. Если вы уже установили шаблон и удалили его с компьютера, то вы можете скачать его при помощи ФТП менеджера  из /wp-content/themes/ и за архивировав в формате zip, загрузить его на проверку.

2. Проверить все файлы, содержащиеся на сайте на антивирус. Возможно, что хакеры уже успели загрузить на ваш сайт вредоносные скрипты и теперь имеют доступ к сайту, что бы избежать этого есть 3 пути:

2.1. Вы находитесь на хостинге. У большинства уважающих себя хостеров на серверах установлены антивирусные системы. Обратившись в техническую поддержку вы можете попросить своего хостера проверить ваш сайт на предмет содержания на нем вредоносных файлов. Если такие будут найдены, в зависимости от хостера, вам удалят их самостоятельно или предоставят эту возможность вам.

2.2. Вы находитесь на собственном сервере/VPS/дедике. Если на вашем сервере не установлено антивирусное ПО, то вы можете воспользоваться отличным бесплатным скриптом «Ай болит«. AI-Bolit — это уникальный бесплатный скрипт для поиска вирусов, троянов, backdoor, хакерских активностей на хостинге. Инструкция по настройке и работе со скриптом лежит на сайте, думаю проблем с ним не возникнет. Единственное о чем хочу предупредить — скрипт находит не только вредоносные файлы, но и вполне безобидные, поэтому при очистке будьте аккуратнее.

2.3. Для обоих вариантов. Все вирусы (в том числе веб) прекрасно распознаются обычными антивирусами. Поэтому вы можете скачать все файлы вашего сайта на свой компьютер и просто про сканировать их антивирусом.

Итак, после проделанных вами пунктов мы должны были максимально снизить возможность оставшихся вирусов на сайте. Теперь необходимо защититься от возможных будущих угроз взлома сайта, для этого читаем статью далее.

3. Защищаем файл wp-config с помощью .htaccess.

Думаю, что не для кого не секрет, что wp-config содержит всю основную информацию о сайте, в том числе данные для доступа к БД. Защитить wp-config одна из важнейших наших задач, поэтому

Находим файл .htaccess в корне нашего сайта и добавляем следующий код:

[highlight bg=»#DDFF99″ color=»#000000″]<files wp-config.php>[/highlight]

[highlight bg=»#DDFF99″ color=»#000000″]order allow,deny[/highlight]

[highlight bg=»#DDFF99″ color=»#000000″]deny from all[/highlight]

[highlight bg=»#DDFF99″ color=»#000000″]</files>[/highlight]

Теперь никто, кроме владельца не сможет получить доступ к файлу.

4. В связи с тем, что некоторые сервера настроены некорректно любой желающий сможет получить содержимое того или иного каталога. Что бы предотвратить это вам необходимо в файл .htaccess в корне нашего сайта и добавить следующий код:

[highlight bg="#DDFF99" color="#000000"]Options All -Indexes[/highlight]

Эти действия также помогают защитить сайт, поскольку предотвращают просмотр директорий через браузер.

5. Защитите админку путем доступа в нее только с нужных IP. Чаще всего сайты на wordpress используются блоггерами, точнее одним блоггером. Зная свой IP (если он не динамический) вы с легкостью сможете закрыть админку:

Замените xx.xx.xx.xx на свой IP адрес

[highlight bg="#DDFF99" color="#000000"]AuthUserFile /dev/null[/highlight]
[highlight bg="#DDFF99" color="#000000"]AuthGroupFile /dev/null[/highlight]
[highlight bg="#DDFF99" color="#000000"]AuthName «Wordpress Admin Access Control»[/highlight]
[highlight bg="#DDFF99" color="#000000"]AuthType Basic[/highlight]
[highlight bg="#DDFF99" color="#000000"]<LIMIT GET>[/highlight]
[highlight bg="#DDFF99" color="#000000"]order deny, allow[/highlight]
[highlight bg="#DDFF99" color="#000000"]deny from all[/highlight]
[highlight bg="#DDFF99" color="#000000"]allow from xx.xx.xx.xx[/highlight]
[highlight bg="#DDFF99" color="#000000"]</LIMIT>[/highlight]

Что бы узнать свой IP вам необходимо перейти на сайт: http://2ip.ru/, где вы можете увидеть IP-адрес:

 

После этого заменяете в строке [highlight bg="#DDFF99" color="#000000"]allow from xx.xx.xx.xx[/highlight], значение xx.xx.xx.xx на ваш IP адрес.

6. Сканер изменения содержимого ФТП. Достаточно крупный шаг в очистке сайта от шеллов мне помог сделать сканер — WP File Monitor. Не требует никаких мудреных настроек, вам всего лишь нужно установить его и в настройках забить адреса, на которые будут валиться ошибки. Именно благодаря сканеру я смог отслеживать любые изменения на сайте и быстро их исправлять, таким образом я и вышел на шелл.
WP File Monitor Rus (Русская версия)скачать.
Ну вот, уважаемые читатели, таким образом мне удалось защитить сайт фотографов от взломов. На данный момент, благодаря всему выше описанному, не было не одного взлома. Рекомендую и вам провести оптимизацию и настройку своего блога и спать спокойно!
Уважаемые друзья, приглашаю вас поучаствовать в моем новом конкурсе и получить уникальную рамку + возможность выиграть главный приз -МР3 плеер! Результаты будут оглашены на следующей недели, если вы хотите узнать о них, то подпишитесь на рассылку моего блога!

Раздел: Сайтостроение
Тема: Как защитить свой блог от взлома
Протраффик.RU: www.protraffik.ru