SEO блог Михаила Шакина

  • Контакты
    • Мои аккаунты и каналы
    • Мои интервью
    • Мои доклады
  • Мои книги
    • Мои приключения в Америке
    • SEO Коллайдер
    • SEO разведка
    • SEO Винчестер
  • Услуги
    • Продвижение сайтов
    • Консультации по продвижению сайтов
    • Консультации по продвижению англоязычных сайтов
  • Лучшее
    • Продвижение сайтов
    • Приключения
    • Видеоуроки
    • WordPress
    • Блоггинг
    • Привлечение посетителей с социальных сетей
    • Саморазвитие и работа в интернете
    • Вебмастеру
  • Мой хостер

Безопасность WordPress - часть 2

13.01.2010

Сайт дня (как попасть): Биржа Liex.ru - эффективный сервис для продвижение сайтов

Дорогие друзья, предлагаю вашему вниманию вторую часть моего цикла статей «Безопасность WordPress». Вы можете прочитать первую часть. Как и в прошлый раз, нашел картинку, которую давно хотел поместить на Shakin.ru, сегодня она отлично подходит по тематике поста и логотип WordPress гармонично поместился 🙂 :

Безопасность WordPress - часть 2

Планирую еще статьи в рамках этого цикла, так как материалов очень много.

Смените имя пользователя admin

По умолчанию на блогах WordPress используется имя администратора «admin», что нежелательно в целях безопасности блога, так как упрощает злоумышленникам подбор пароля. Нужно сменить имя на более длинное и сложное.

Есть несколько способов сменить имя пользователя admin. Советую перед любыми изменениями всегда предварительно сохранять базу данных и файлы вашего блога, а также записывать новые данные (логины, пароли, префиксы и т.д.).

Самый простой способ - воспользоваться плагином WPVN - Username Changer, который позволяет легко менять имя пользователя.

Другой способ - сменить имя пользователя в базе данных. Для этого нужно открыть базу данных блога с помощью phpMyAdmin, затем выбрать таблицу wp_users:

выбрать таблицу wp_users

Выбрать ее:

Выбрать ее

Найти строку user_login:

Найти строку user_login

и в ней заменить имя пользователя admin на другое:

wordpress заменить имя пользователя admin на другое

После этого вы сможете заходить на блог под новым именем. Если вы вообще не имеете опыта с работой в phpMyAdmin, то лучше обратитесь к опытному человеку.

Еще вариант - сделать SQL запрос к базе данных (в phpMyAdmin):

UPDATE wp_users SET user_login='admin', user_login='novyi_login';
🔥 Кстати! Я провожу платный курс по продвижению англоязычных сайтов SEO Шаолинь seoshaolin.com. Для читателей блога я делаю хорошую скидку. По прокомоду "блог" тариф Про стоит не 50, а 40 тыс. рублей. Тариф Лайт не 25, а 20 тыс. рублей. Тариф Команда не 75, а 60 тыс. рублей. Пишите мне в Telegram @mikeshakin.

Где вместо novyi_login используете нужное имя админа.

Используйте плагин Login LockDown

Этот замечательный плагин записывает все неудачные попытки входа в админку вашего блога, включая IP и время. Кроме этого, плагин блокирует IP после трех неудачных попыток входа в течение 5 минут (можно задать другие настройки). Скачать плагин Login LockDown можно здесь.

Ограничьте доступ к папке wp-admin

Этот совет я подсмотрел на блоге Мэтта Каттса, сотрудника Google. Мэтт советует сделать так, чтобы посторонние вообще не могли зайти на страницу логина вашего блога, тем самым лишив их возможности даже пробовать вводить логин и подбирать пароли.

Для этого нужно создать файл .htaccess с таким кодом:

AuthUserFile /dev/null
AuthGroupFile /dev/null
AuthName "Access Control"
AuthType Basic
order deny,allow
deny from all
# разрешен вход с домашнего IP Мэтта
allow from 64.233.169.99
# разрешен вход с рабочего IP Мэтта
allow from 69.147.114.210
allow from 199.239.136.200
# временно разрешен вход с IP, когда Мэтт в поездке
allow from 128.163.2.27

Затем этот файл нужно поместить в папку wp-admin вашего блога. Таким образом, вход в админку будет возможен только с указанных IP.

Используйте плагин WP Security Scan

WP Security Scan - отличный плагин для WordPress, который сканирует Ваш блог и выявляет возможные недостатки безопасности. После окончания сканирования плагин предлагает сделать необходимые изменения, чтобы повысить степень защиты вашего блога (например, с его помощью можно менять имя пользователя). Скачать плагин WP Security Scan можно по этой ссылке.

Смените префикс базы данных

По умолчанию таблицы в базе данных блогов WordPress имеют префикс wp_, что делает блог уязвимым для SQL-инъекций.

Есть несколько решений для того, чтобы сменить префикс у таблиц в базе данных. Самый простой вариант - воспользоваться вышеупомянутым плагином WP Security Scan, в котором есть эта функция.

После активации плагина WP Security Scan в админке появится пункт Security (Безопасность). Зайдя туда, вы увидите несколько сообщений об уровне безопасности вашего блога, в числе которых будет такое («Ваш префикс не должен быть wp_. Кликните здесь для изменения»):

wordpress Ваш префикс не должен быть wp_. Кликните здесь для изменения

Смело кликаем по ссылке и меняем префикс на более сложный:

wordpress меняем префикс на более сложный

Используйте латинские буквы и цифры, в конце префикса должно быть нижнее подчеркивание «_». Обязательно запишите новый префикс, чтобы не забыть его.

Права на папки и файлы 

В целях безопасности желательно установить на папки права (chmod) 755 (исключение - папки cache и uploads, на них нужны права 777), а на все файлы - 644. На файл .htaccess в корне сайта советую выставить права 444, если хостинг позволяет это сделать. На файлы темы вашего блога для редактирования из админки нужно ставить 666 (я не сторонник редактирования файлов темы из админки, лучше делать это по ftp или ssh). На разных хостингах могут по умолчанию выставляться разные права, поэтому советую проверить их.

Для удобства опять же рекомендую использовать плагин WP Security Scan, который просканирует файлы вашего блога и подскажет, какие права и на какие директории и папки нужно установить.

Если вы не знакомы с тем, как менять права на директории и файлы, то это просто. Зайдите на хостинг через свой ftp клиент и кликните правой мышкой на любой папке или файле, которые находятся на хостинге, и в меню правой мышки выберите пункт Properties (Свойства). Там увидите, какие права выставлены, и сможете их сменить на нужные. Подробно о правах можете почитать здесь.

Желаю Вам хорошего настроения!

Глобатор

Постовой (как попасть): Лучшие плагины WordPress для рейтинга постов

Кисти Photoshop модные ресницы

Выгодно продаем баннеры на блоге

На десерт сегодня - видеоролик с подборкой о том, как повезло некоторым людям. Особенно понравилось про грабителей банка 🙂 :

Подпишитесь на рассылку блога с полезными материалами по SEO


Категория: Wordpress Теги: Wordpress, вебмастеру, советы

Меня зовут Михаил Шакин, я автор этого блога, занимаюсь SEO с 2006 года. Вы можете заказать у меня консультации по продвижению вашего сайта в рунете или англоязычном интернете. Мои контакты.

Комментарии:

  1. SEOinSoul говорит

    13.01.2010 at 16:34

    Зачем же столько манипуляций для изменения логина. Можно ведь это сделать всего за две секунды.
    Заходим в админу под логином admin, создаем еще одного пользователя с нужным логином и с правами администратора!
    Затем заходим с нового логина и удаляем admin ! Вот и вся арифметика - остается один нужный вам логин администратора!

  2. vVv говорит

    13.01.2010 at 17:02

    если привлекать других авторов, то закрывать страницу входа нельзя

    плагин для смены названия таблиц работает не всегда, наверно это зависит от настроек хостинга, что-то запрещает это делать, что пока не разобрался.

  3. Ganin говорит

    13.01.2010 at 17:19

    вот жыж. меньше знаешь - крепче спишь.
    прошелся плугом по бложеку и о божэжмой! одна сплошная дыра.
    буду латать.
    спасибо за статью.

  4. sMiles говорит

    13.01.2010 at 17:38

    Не знал раньше о плагине WP Security Scan.
    А не возникнет ли проблем после переименования префикса БД? Метод проверенный?

  5. copymasto говорит

    13.01.2010 at 17:52

    Спасибо за статью, надо будет протестить плагин Wp security scan

  6. SergeySL говорит

    13.01.2010 at 18:13

    Следующие строки можно (и нужно) убрать:
    AuthUserFile /dev/null
    AuthGroupFile /dev/null
    AuthName "Access Control"
    AuthType Basic
    Полным параноикам можно добавить:
    <Files "wp-login.php">
    Order Deny,Allow
    Deny from all
    Allow from...
    Allow from...
    </Files>
    Если возможность логина заблокирована по IP, то не стОит заморачиваться со сменой имени пользователя-админа и тем более ставить дополнительные плагины, которые не дадут ни чего полезного, кроме отжирания памяти. "На разных хостингах могут по умолчанию выставляться разные права, поэтому советую проверить их" - полностью согласен. Мне кажется, что все рекомендации по изменению прав доступа - не совсем корректное явление, т.к. те, кто понимает, что это и зачем, сами смогут их выставить, а кто не понимает - может поиметь массу неприятностей 😉

  7. Николай говорит

    13.01.2010 at 18:38

    Спасибо! а есть такое для joomla ?

  8. karp говорит

    13.01.2010 at 19:26

    Безусловно о безопасности блога надо думать в первую очередь! Лично я пользуюсь плагином WP Security Scan, теперь попробую еще и сделать чтоб только с одного IP-адреса задоить на блог можно было. Хорошая статья, спасибо!

  9. Ptah говорит

    13.01.2010 at 20:00

    Спасибо за интересные советы, я и понятия не имел, что можно сменить стандартное имя 🙂
    Блокировку входа в админ-панель по IP считаю неудобной, так как тем самым ограничиваются возможности входа для самого админа. Особенно, если любитель путешествий 🙂

  10. Казанский татарин говорит

    13.01.2010 at 20:23

    Спасибо Михаил, идея с плагином WP Security Scan просто класс!

  11. Sherman говорит

    13.01.2010 at 21:13

    Про префиксы спасибо - как то об этом не думал. И за LockDown плагин - думаю полезным будет

  12. Ольга Ларская говорит

    13.01.2010 at 21:52

    Михаил, вот умеете Вы мотивировать!
    Прочитала Ваш пост и первая мысль, которая появилась: "Покой нам только снится".
    Спасибо.
    Пора начинать применять новые советы, полученные от Вас, ведь скоро появятся следующие рекомендации, поэтому надо успеть дать жизнь этим.
    P.S. Со старым новым годом Вас! Вдохновения, творчества и Успехов!

  13. Kras говорит

    13.01.2010 at 22:29

    Спасибо вам Михаил что публикуете статьи о безопасности wp, а то я уже давно задался таким вопросом как поменять стандартное имя но теперь я знаю 🙂

  14. Dream говорит

    13.01.2010 at 23:06

    Глобатор, спасибо за пояснение.
    Я так понимаю, что изменение пароля через pma аналогично и для многопользовательской версии Wp - WPMU ?

  15. Ua-Blogger говорит

    13.01.2010 at 23:14

    Михаил, спасибо за выпуск! Особенно за плагин WP Security Scan. Вопрос по имени пользователя - есть ли особый смысл, если при отписывании комментов имя пользователя итак станет известным?

  16. Вовка говорит

    14.01.2010 at 00:15

    Да, безопасность, пожалуй, немаловажная вещь. Я и сам, меняя логин администратора подумывал о том, что в 95% этот самый логин остается неизменным. Думаю, рекомендациями твоими теперь воспользуются многие.

  17. Артур Ахмедьянов говорит

    14.01.2010 at 01:05

    Михаил, у меня созрел вопрос...
    Например я поменял префикс базы данных на: wp_database
    А как потом будет выглядеть ссылка в админку блога?))
    Я просто не понял. и поэтому не решился пока кликать по ссылочке в плагине:)
    Объясните плиzz
    Заранее благодарствую..

  18. alvarvas говорит

    14.01.2010 at 01:08

    Михаил, хотелось бы все таки получить ответ на первых комментарий SEOinSoul-а.
    Так как его способ я тоже использую и если он не так надежен, то почему?

  19. Yarunya говорит

    14.01.2010 at 03:12

    Советы отличные. Но имеет ли смысл менять логин админа, если пароль весьма сложноватый? Думаю, что не стоит, так как подобрать сложновато. 🙂 За плагин спасибо - потестим.

  20. Рамин говорит

    14.01.2010 at 06:16

    Если у вас на сайте много зарегистрированных пользователей то при смене префикса через плагин возможны проблемы.У меня около 230 пользователей,замучался вручную править базу.
    Вот советую почитать у кого после смены префикса не будет пускать в админку ky6uk.ugatu.net/when-wordpress-dont-ident-me-on-owner

    PS.Блог не мой,так что это не реклама себя 🙂

  21. SergeySL говорит

    14.01.2010 at 12:00

    Блокировка по IP наиболее оптимальна, а любителей путешествовать выручит SSL-шифрование. Статей по настройке доступа к админке по протоколу HTTPS полным-полно.

  22. SergeySL говорит

    14.01.2010 at 15:50

    Имя базы данных не имеет отношение к ссылке на админку, как и количество пользователей к изменению имени базы данных 🙂
    Честное слово, очень странно, что люди задают миллион раз обмусоленные вопросы. Есть ведь замечательные блоги и форумы по WordPress, содержащие тонны полезной информации. Или безопасность WordPress имеет субъективный характер? Скорее всего, я чего-то не понимаю 🙂

  23. woldemar говорит

    14.01.2010 at 19:32

    Да-а-а-а... Видео роскошное. Грабители банка - это круто, точнее им очень и очень повезло. А в пикапе интересно есть ремни безопасности - а то парнишка, так запросто и вылетел через верх. Теперь о деле. Нередко мы задумываемся о безопасности тогда, когда небезопасность уже на пороге, и стучится к нам в дверь. Вот давеча вчерась переставлял семерку. А все оттого, что вовремя не поставил антивирус, все потом, да потом, и все... капэць менi. Плагины обязательно попробую особенно первый и очень заинтересовало "Ограничьте доступ к папке wp-admin". Пробуем! Пасиба за пост. 5 баллов!

  24. Андрей Степанов говорит

    14.01.2010 at 22:52

    Полностью согласен с Seo In Soul? это реально быстрее и понятнее, тем более если не обладаешь знаниями в этой области!

  25. Сергей говорит

    15.01.2010 at 02:54

    Кое чем, уже пользуюсь, но как всегда, из ваших статей, узнал пару новых "заклинаний".

  26. BackSpark говорит

    18.01.2010 at 15:47

    Спасибо за наводку по изменению доступа wp-config. Еще хотелось бы почитать пост о безопасности в ДЛЕ 🙂

  27. Al говорит

    19.01.2010 at 14:44

    У ВП версий 2.8 и выше с безопасностью все отлично...

    Факторы риска стандартные:
    - слабый пароль (решается простой задержкой в 1-3 секунды на авторизации)
    - уязвимый плагин (перед тем как добавить плагин, прочитайте отзывы)
    - доступ 0777 для папок wp-content ( в некоторых случаях позволяет модифицировать дизайн блога + выполнение команд в системе, если safe mode PHP в режиме off)

    Что касается префиксов таблицы, то это не критично. Ведь пароль WP хранит в шифрованном виде, скорость перебора хэша очень низкая...

  28. boffin говорит

    22.01.2010 at 17:52

    У меня после изменения префиксов таблиц возникла проблема с базой. Я не мог залогинится в систему.

    Полечилось это заменением одного значения в таблице wp_usermeta (учтите что префикс будет уже новый). Делал так:

    update prefix_usermeta set meta_key='prefix_capabilities' where meta_key='wp_capabilities';

  29. Bitman говорит

    25.01.2010 at 04:31

    Я ещё пароль ставлю на доступ к wp-admin. И не забываем о простых паролях которые подбором ломаются.

Подписывайтесь

Youtube - канал на YouTube
t.me/shakinru - SEO в рунете
t.me/burzhunet - англоязычное SEO
vk.com/globator - ВК
vk.com/video/@globator - ВК Видео
tenchat.ru/mikeshakin - TenChat
dzen.ru/shakin - Дзен
rutube.ru/24777621/ - Rutube

Категории

Продвижение сайтов
Приключения
Видеоуроки
SEO ответы
Wordpress
Интервью
Блог-шоу

Полезное

Что я использую в работе

Моя книга про Америку

Книга Михаила Шакина про приключения в Америке

В случае перепечатки материалов обязательно мое письменное разрешение и прямая индексируемая ссылка на Shakin.ru
© 2007-2025 Shakin.ru
Политика конфиденциальности
Пользовательское соглашение