Безопасность блога — дополнительные мелочи для защиты

03.03.2011 Распечатать запись Распечатать запись Отправить по почте Отправить по почте

lock Безопасность блога   дополнительные мелочи для защитыДля того, чтобы дополнительно обезопасить свой блог нужно сделать несколько небольших шагов, которые позволят Вам быть более уверенным в защите Вашего блога. Это касается файла запуска повторной инсталляции, сообщений о входе в админку и спама.

 

1. Защитите блог от повторной инсталляции.

Может случиться так, что на хостинг-сервере повредится база данных MySQL. Шансы на поражение блога именно в этот момент невелика, но всё же есть. Если в этот момент кто-то обратится к блогу, то WordPress не сможет получить доступ к базе данных. Он может счесть, что блог еще не установлен, а затем выдать страницу для установки (инсталляции) блога.

Недоброжелатели могут этим воспользоваться и запустить установку, в результате которой Вы потеряете контроль надо блогом. Чтобы этого избежать, просто удалите файл “install.php”, находящийся в папке “wp-admin”, либо через файловый менеджер хостинг-провайдера, либо через FTP-клиент. Файл “install.php” нужен всего один раз, когда происходит первичная установка WordPress, поэтому нет никакого смысла сохранять его.

2. Заблокируйте сообщения об ошибке.

Для входа в административную панель блога Вы используете имя пользователя и пароль. Если Вы вводите ошибочное значение этих параметров, то WordPress выдаёт Вам сообщение о конкретной ошибке, к примеру, “пароль неверен”.

Для Вас это подсказка, облегчающая ввод, но для хакеров – указатель на слабое место защиты Вашего блога. Чтобы избежать проблему с выводом нежелательных подсказок, необходимо добавить небольшой код в файл “functions.php” Вашей темы (он находится в папке активной темы). Вставлять нужно второй строчкой после строчки <?php.

add_filter ('login_errors',create_function ('$a', «return null;»));

Это простая мера, но достаточно эффективная. Не пренебрегайте ею, и Ваш блог будет более защищённым. При неверных данных окошко подёргается, но никаких сообщений не выведет.

Единственным минусом этого будет то, что и сообщение об отправке пароля (вдруг Вы его забудете) на Ваш e-mail также не высветится. Также не надо забывать, что если Вы захотите сменить тему, то эту операцию придётся проделать заново.

3. Ограничьте количество попыток входа.

Если кто-то решится подобрать Ваши имя пользователя и пароль для входа в админку блога, то как он будет это делать? Естественно методом проб и ошибок, т.е. неоднократно подбирать комбинацию.

Это возможно, так как WordPress не хранит записи об неудачных попытках войти в систему. Напротив, если Вы, к примеру, ввели несколько раз ошибочный PIN-код в банкомате, то он Вашу кредитку либо “съест”, либо временно заблокирует счёт. В данном случае предусмотрено ограничение на неправильный ввод данных.

Для усиления защиты Вашего блога существуют два удобных и простых плагина, которые справляются с аналогичной задачей: Login LockDown и Limit Login Attempts. Можете, конечно же, выбрать и другие плагины по этой теме.

После их установки, плагины записывают в журнал все попытки входа. Можно заблокировать зловредного посетителя или робота на определённое время, чтобы лишить их возможности непрерывной “работы”, а можно и вообще блокировать продолжающиеся попытки взломать админку.

Первый плагин – англоязычный, но простой в настройках. Второй – доступен на русском и тоже небольшой и понятный. Просто скопируйте название выбранного плагина и найдите его внутри админки блога в разделе “Плагины/Добавить новый”. Установите и активируйте плагин, а затем в “Параметрах” найдите установленный плагин и настройте его по своему желанию.

4. Ограничьте спам.

Начав вести блог, Вы увидите, что в качестве комментариев зачастую приходит откровенный или замаскированный спам. Для вирусной рассылки на блоги спамеры используют программы автоматической рассылки. Они запускаются на различных серверах, после чего шлют свои спам-комментарии куда только можно по многомиллионным спискам.

С этим можно и нужно бороться с помощью плагинов, таких как “Akismet”, или капч, таких как “Я не робот”. Но можно ограничить такие «комментарии», добавив в файл “.htaccess” специальный код, который будет проверять, отправлен комментарий с Вашего блога или нет. Если это не так, а спам-комментатор навряд ли сидит и вбивает свой комментарий вручную на Вашем блоге, то для спам-комментария просто блокируется доступ.

#protect from spam or post comments

<IfModule mod_rewrite.c>
RewriteCond %{REQUEST_METHOD} POST
RewriteCond %{REQUEST_URI} .wp-comments-post\. [NC]
RewriteCond %{HTTP_REFERER} !.*myblog.ru* [OR,NC]
RewriteCond %{HTTP_USER_AGENT} ^$
RewriteRule (.*) — [F,L]
</IfModule>

Примечание: в данном коде “myblog.ru” надо заменить на Ваш домен.

Я также встречал рекомендации вставить другой код для фильтрации комментариев от спам-ботов, которые оставляют свои надоедливые комментарии, переходя на сайт напрямую без так называемых “реферер”. Метод основан на том, что многие спам-боты не передают referer когда передают данные.

Этот код проверяет поле referrer и затем блокирует отправку комментария, если при обращении к файлу “wp-comments-post.php” отсутствуют соответствующие записи.

# protect from spam or post comments

RewriteEngine On
RewriteCond %{REQUEST_METHOD} POST
RewriteCond %{REQUEST_URI} .wp-comments-post.php*
RewriteCond %{HTTP_REFERER} !.*myblog.ru.* [OR]
RewriteCond %{HTTP_USER_AGENT} ^$
RewriteRule (.*) ^http://%{REMOTE_ADDR}/$ [R=301,L]

Примечание: в данном коде “myblog.ru” надо заменить на Ваш домен.

Какой код работает лучше, сказать не могу, но второй в сети рекомендуется чаще. Попробую работоспособность обоих, посмотрю сколько спама проходит через Аkismet (а это пока происходит регулярно) после установки дополнительного кода.

Присоединяйтесь к обсуждению или поделитесь с друзьями:

 
 
 
 
 
 
 
 
 
 
 
 

В Социальной Сети Facebook:


Если Вам понравилась моя статья, то Прямо Сейчас нажмите выше на кнопку Мне нравится или присоединяйтесь ниже к обсуждению непосредственно на Фейсбуке!

В Социальной Сети Twitter:


Если Вам понравилась моя статья, то Прямо Сейчас нажмите выше на кнопку Твитнуть и в открывшемся окошке напишите Ваш отзыв!

В Социальной Сети ВКонтакте:


Если Вам понравилась моя статья, то Прямо Сейчас нажмите выше на кнопку Это интересно или присоединяйтесь ниже к обсуждению непосредственно ВКонтакте!

В Социальной Сети Мой Мир:

Нравится

Если Вам понравилась моя статья, то Прямо Сейчас нажмите выше на кнопку Нравится и в открывшемся окошке напишите Ваш отзыв!

В Социальной Сети Одноклассники:


0

Если Вам понравилась моя статья, то Прямо Сейчас нажмите выше на кнопку Класс и в открывшемся окошке напишите Ваш отзыв или же нажмите ниже на кнопку Поделиться, чтобы разместить ссылку на статью без личной оценки!

Добавить в Google+:

Если Вам понравилась эта статья, то Прямо Сейчас нажмите кнопку +1 выше и в открывшемся окошке напишите Ваш отзыв!

Добавить в блог на Blogger.com:

Если Вам понравилась эта статья, то Прямо Сейчас нажмите выше на кнопку Опубликовать на Blogger.com и в открывшемся окне напишите Ваш отзыв!

Добавить в блог на Liveinternet.ru:

Если Вам понравилась эта статья, то Прямо Сейчас нажмите выше на кнопку Опубликовать в LiveInternet.ru и в открывшемся окне напишите Ваш отзыв!

Добавить в блог на Livejournal.com:

Если Вам понравилась эта статья, то Прямо Сейчас нажмите выше на кнопку Опубликовать в LiveJournal и в открывшемся окне напишите Ваш отзыв!

Добавить в закладки Yandex:

Если Вам понравилась эта статья, то Прямо Сейчас нажмите выше на кнопку Добавить в Яндекс.Закладки и в открывшемся окне напишите Ваш отзыв!

Добавить в закладки Google:

Если Вам понравилась эта статья, то Прямо Сейчас нажмите выше на кнопку Сохранить в закладках Google и в открывшемся окне напишите Ваш отзыв!

Добавить в Evernote:

Если Вам понравилась эта статья, то Прямо Сейчас нажмите выше на кнопку Добавить в Evernote и в открывшемся окне сохраните Ваши заметки или содержание всей страницы!

Или прокомментируйте ниже прямо на блоге!

С уважением, Игорь Блохин!

Другие статьи по этой теме

  • Рейтинг статьи: оцените, насколько она была полезна для Вас?
    1 звезда2 звезд3 звезд4 звезд5 звезд (Еще не оценили)

  • Метки: , , , ,   Рубрики: Блог на WordPress  2 комментария

    2 комментария

    1. Игорь Блохин - 18.03.2011

      На счет спама — проверяю. То работает, то не работает. Буду тестировать дальше. Пока код не совсем корректно работает.

      Ответить

    2. Игорь Блохин - 28.03.2011

      Меня удивляет как информация дублируется в сети без проверки. Я неоднократно встречал в сети код для блокировки спама. Везде писали — измените 4-ю строчку, где нужно указать свой ресурс. Я пробовал по разному, но либо блокировались все комментарии, либо спам всё-таки проходил.

      Поэтому я установил математическую защиту от спама. Принцип простой — нужно ввести сумму двух чисел. Программа или робот этого сделать не смогут, только если какой-нибудь спамер не сидит и не распространяет спам по блогам вручную.

      Может показаться, что это дополнительная нагрузка для комментирующих, и их количество может уменьшится. Но я считаю, что если человек ввёл в обязательные для заполнения поля свое имя и адрес электронной почты, то еще немножко «пошевелить мозгами» ему не повредит.

      Для владельцев блогов: если хотите подобную защиту, то установите плагин «Math Comments Spam Protection».

      Ответить

    Написать комментарий

    Страница 1 из 11