Защита сайта от взлома

Всем привет! Защита сайта от взлома это  актуальная задача, которую надо попытаться решить, хотя бы частично, на начальном этапе создания сайта. При этом надо понимать, что неприятная, правда в том, что нет никакого способа, чтобы полностью защитить сайт или блог от хакеров и угроз безопасности. Хитроумный  хакер найдет свой путь к сайту, нравится нам это или нет.

Надо, однако, пытаться сделать его работу как можно более сложной, насколько это вообще возможно. К тому же, если для него нет большой финансовой выгоды от взлома вашего сайта, есть хороший шанс, что хакер оставит вас в покое и попробует более простой сайт, если удастся сделать взлом вашего сайта достаточно сложным.

Защита сайта от взлома с помощью плагина

В последней версии WordPress установлен плагин limit-login-attempts, который надо просто активировать, настроить и после этого он начинает работать. Это самое первое действие, с которого начинается защита сайта от взлома. Суть работы плагина в том, что после нескольких неудачных попыток входа IP адрес блокируется. Время блокировки устанавливается  в настройках. Владельцу сайта на электронную почту уходит сообщение о попытке несанкционированного доступа.

Так было и у меня. Уже через месяц существования блога, начали приходить первые сообщение о попытках входа в админку. С каждым днем таких сообщений становилось все больше. В статье о настройке WordPress, я об этом упоминал и даже разместил скриншот лога изоляций. Количество попыток взломать блог росло с каждым днем. Очень быстро достигло 50 и продолжало расти. Вроде как защита сайта от взлома есть, но все равно как-то напрягает. Проблему надо было, как то решать, т.е. пытаться усложнить жизнь этим злодеям.

Попался на глаза плагин, который называется WP Cerber. Говорящее название. Похоже, что плагин хороший. Всяких настроек очень много, гораздо больше, чем в плагине limit-login-attempts. До конца я с ним так и не разобрался потому, что в настройках увидел заголовок….

Смена URL страницы авторизации

Это было уже, что то новенькое, для меня, по крайней мере. Оказалось, что все не так уж и сложно. Всем известно, что в административную панель WordPress можно зайти по адресу https://имя домена/wp-admin либо https://имя домена/wp-login.php. Понятно, что эти адреса, знаем мы с вами, но их знают также и взломщики. Задача, таким образом, сводится к тому, чтобы создать еще один файл, а затем с его помощью попасть на страницу входа в админку. Вся фишка в том, что про эту страницу буду знать только я..

Как создать файл для входа на страницу авторизации

Создание нового файлаЯ уже писал о том, что для работы с одиночными файлами использую ftp клиент тестового редактора Notepad++. Это очень удобно, потому что работать можно непосредственно на сервере.

Итак, открываем корневую папку установки WordPress. На разных хостингах они называются по разному. Иногда это www, иногда public_html, как на хостинге JustHosting, например. После этого жмем правую клавишу мышки и во всплывшем меню выбираем второй пункт — создать файл. В появившемся окне вводим имя файла, которое придумали. Я взял для примера и назвал его cycle.php. Теперь этот файл появился там же, где находится  wp-login.php.

Далее открываем его в редакторе Notepad++. Пока что там нет ни единой строчки записей. В этом же редакторе открываем файл wp-login.php и все содержимое этого файла копируем и вставляем в новый файл cycle.php. Поскольку wp-login.php нам больше не нужен, его можно закрыть. Файл cycle.php сохраняем, и будем работать с ним дальше.

Настройка файла входа на страницу авторизации

Далее действуем следующим образом, в редакторе notepad++ в верхнем меню третий пункт слева жмем поиск, в появившемся окне жмем найти и далее как на Защита сайта от взлома

на этой картинке. Сначала надо заполнить поле, что хотим найти, а хотим wp-login.php, далее жмем на заменить и вводим имя нового файла cycle.php. Когда все ввели, жмем кнопку заменить все. Внизу результат 12 замен. Так и должно быть. Последнее, что надо сделать сохранить файл. Notepad++ сохраняет в то место, из которого он его открывал. Открывали на сервере, значит туда и сохранит. Естественно должно быть соединение с сервером по ftp.

Что имеем в итоге. Имеем три URL для доступа к странице авторизации. Два общеизвестных, а один знаю только я. Если теперь просто удалить (предварительно сделав копию) файл wp-login.php, то по идее будет показывать вместо страницы авторизации, страницу 404. Как вариант, можно использовать, но лично мне не нравится.

Настройка перенаправления с wp-admin и wp-logi.php

Решение вопроса, предлагают многие и на русскоязычных сайтах и на зарубежных. Больше всего мне импонирует решение, предложенное на блоге Максима Зайцева. На этой странице его может скачать любой желающий. Там опубликован код с подробными пояснениями, как и куда надо его ставить. Я использовал его на этом блоге и теперь при наборе в адресной строке браузера имени домена и wp-admin или wp-login.php любой желающий попасть на страницу авторизации, попадает на главную страницу блога.

Защита сайта от взлома на этом не заканчивается. Это, если можно так сказать, закрыт парадный вход на сайт, но есть еще много щелей, которые тоже надо заделывать.

На этом все! Удачи.

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *