Сайт дня (как попасть): Биржа Liex.ru - эффективный сервис для продвижение сайтов
Дорогие друзья, предлагаю вашему вниманию вторую часть моего цикла статей «Безопасность WordPress». Вы можете прочитать первую часть. Как и в прошлый раз, нашел картинку, которую давно хотел поместить на Shakin.ru, сегодня она отлично подходит по тематике поста и логотип WordPress гармонично поместился 🙂 :
Планирую еще статьи в рамках этого цикла, так как материалов очень много.
Смените имя пользователя admin
По умолчанию на блогах WordPress используется имя администратора «admin», что нежелательно в целях безопасности блога, так как упрощает злоумышленникам подбор пароля. Нужно сменить имя на более длинное и сложное.
Есть несколько способов сменить имя пользователя admin. Советую перед любыми изменениями всегда предварительно сохранять базу данных и файлы вашего блога, а также записывать новые данные (логины, пароли, префиксы и т.д.).
Самый простой способ - воспользоваться плагином WPVN - Username Changer, который позволяет легко менять имя пользователя.
Другой способ - сменить имя пользователя в базе данных. Для этого нужно открыть базу данных блога с помощью phpMyAdmin, затем выбрать таблицу wp_users:
Выбрать ее:
Найти строку user_login:
и в ней заменить имя пользователя admin на другое:
После этого вы сможете заходить на блог под новым именем. Если вы вообще не имеете опыта с работой в phpMyAdmin, то лучше обратитесь к опытному человеку.
Еще вариант - сделать SQL запрос к базе данных (в phpMyAdmin):
UPDATE wp_users SET user_login='admin', user_login='novyi_login';🔥 Кстати! Я провожу платный курс по продвижению англоязычных сайтов SEO Шаолинь seoshaolin.com. Для читателей блога я делаю хорошую скидку. По прокомоду "блог" тариф Про стоит не 50, а 40 тыс. рублей. Тариф Лайт не 25, а 20 тыс. рублей. Тариф Команда не 75, а 60 тыс. рублей. Пишите мне в Telegram @mikeshakin.
Где вместо novyi_login используете нужное имя админа.
Используйте плагин Login LockDown
Этот замечательный плагин записывает все неудачные попытки входа в админку вашего блога, включая IP и время. Кроме этого, плагин блокирует IP после трех неудачных попыток входа в течение 5 минут (можно задать другие настройки). Скачать плагин Login LockDown можно здесь.
Ограничьте доступ к папке wp-admin
Этот совет я подсмотрел на блоге Мэтта Каттса, сотрудника Google. Мэтт советует сделать так, чтобы посторонние вообще не могли зайти на страницу логина вашего блога, тем самым лишив их возможности даже пробовать вводить логин и подбирать пароли.
Для этого нужно создать файл .htaccess с таким кодом:
AuthUserFile /dev/null AuthGroupFile /dev/null AuthName "Access Control" AuthType Basic order deny,allow deny from all # разрешен вход с домашнего IP Мэтта allow from 64.233.169.99 # разрешен вход с рабочего IP Мэтта allow from 69.147.114.210 allow from 199.239.136.200 # временно разрешен вход с IP, когда Мэтт в поездке allow from 128.163.2.27
Затем этот файл нужно поместить в папку wp-admin вашего блога. Таким образом, вход в админку будет возможен только с указанных IP.
Используйте плагин WP Security Scan
WP Security Scan - отличный плагин для WordPress, который сканирует Ваш блог и выявляет возможные недостатки безопасности. После окончания сканирования плагин предлагает сделать необходимые изменения, чтобы повысить степень защиты вашего блога (например, с его помощью можно менять имя пользователя). Скачать плагин WP Security Scan можно по этой ссылке.
Смените префикс базы данных
По умолчанию таблицы в базе данных блогов WordPress имеют префикс wp_, что делает блог уязвимым для SQL-инъекций.
Есть несколько решений для того, чтобы сменить префикс у таблиц в базе данных. Самый простой вариант - воспользоваться вышеупомянутым плагином WP Security Scan, в котором есть эта функция.
После активации плагина WP Security Scan в админке появится пункт Security (Безопасность). Зайдя туда, вы увидите несколько сообщений об уровне безопасности вашего блога, в числе которых будет такое («Ваш префикс не должен быть wp_. Кликните здесь для изменения»):
Смело кликаем по ссылке и меняем префикс на более сложный:
Используйте латинские буквы и цифры, в конце префикса должно быть нижнее подчеркивание «_». Обязательно запишите новый префикс, чтобы не забыть его.
Права на папки и файлы
В целях безопасности желательно установить на папки права (chmod) 755 (исключение - папки cache и uploads, на них нужны права 777), а на все файлы - 644. На файл .htaccess в корне сайта советую выставить права 444, если хостинг позволяет это сделать. На файлы темы вашего блога для редактирования из админки нужно ставить 666 (я не сторонник редактирования файлов темы из админки, лучше делать это по ftp или ssh). На разных хостингах могут по умолчанию выставляться разные права, поэтому советую проверить их.
Для удобства опять же рекомендую использовать плагин WP Security Scan, который просканирует файлы вашего блога и подскажет, какие права и на какие директории и папки нужно установить.
Если вы не знакомы с тем, как менять права на директории и файлы, то это просто. Зайдите на хостинг через свой ftp клиент и кликните правой мышкой на любой папке или файле, которые находятся на хостинге, и в меню правой мышки выберите пункт Properties (Свойства). Там увидите, какие права выставлены, и сможете их сменить на нужные. Подробно о правах можете почитать здесь.
Желаю Вам хорошего настроения!
Постовой (как попасть): Лучшие плагины WordPress для рейтинга постов
Кисти Photoshop модные ресницы
Выгодно продаем баннеры на блоге
На десерт сегодня - видеоролик с подборкой о том, как повезло некоторым людям. Особенно понравилось про грабителей банка 🙂 :
Подпишитесь на рассылку блога с полезными материалами по SEO
Меня зовут Михаил Шакин, я автор этого блога, занимаюсь SEO с 2006 года. Вы можете заказать у меня
Зачем же столько манипуляций для изменения логина. Можно ведь это сделать всего за две секунды.
Заходим в админу под логином admin, создаем еще одного пользователя с нужным логином и с правами администратора!
Затем заходим с нового логина и удаляем admin ! Вот и вся арифметика - остается один нужный вам логин администратора!
если привлекать других авторов, то закрывать страницу входа нельзя
плагин для смены названия таблиц работает не всегда, наверно это зависит от настроек хостинга, что-то запрещает это делать, что пока не разобрался.
вот жыж. меньше знаешь - крепче спишь.
прошелся плугом по бложеку и о божэжмой! одна сплошная дыра.
буду латать.
спасибо за статью.
Не знал раньше о плагине WP Security Scan.
А не возникнет ли проблем после переименования префикса БД? Метод проверенный?
Спасибо за статью, надо будет протестить плагин Wp security scan
Следующие строки можно (и нужно) убрать:
AuthUserFile /dev/null
AuthGroupFile /dev/null
AuthName "Access Control"
AuthType Basic
Полным параноикам можно добавить:
<Files "wp-login.php">
Order Deny,Allow
Deny from all
Allow from...
Allow from...
</Files>
Если возможность логина заблокирована по IP, то не стОит заморачиваться со сменой имени пользователя-админа и тем более ставить дополнительные плагины, которые не дадут ни чего полезного, кроме отжирания памяти. "На разных хостингах могут по умолчанию выставляться разные права, поэтому советую проверить их" - полностью согласен. Мне кажется, что все рекомендации по изменению прав доступа - не совсем корректное явление, т.к. те, кто понимает, что это и зачем, сами смогут их выставить, а кто не понимает - может поиметь массу неприятностей 😉
Спасибо! а есть такое для joomla ?
Безусловно о безопасности блога надо думать в первую очередь! Лично я пользуюсь плагином WP Security Scan, теперь попробую еще и сделать чтоб только с одного IP-адреса задоить на блог можно было. Хорошая статья, спасибо!
Спасибо за интересные советы, я и понятия не имел, что можно сменить стандартное имя 🙂
Блокировку входа в админ-панель по IP считаю неудобной, так как тем самым ограничиваются возможности входа для самого админа. Особенно, если любитель путешествий 🙂
Спасибо Михаил, идея с плагином WP Security Scan просто класс!
Про префиксы спасибо - как то об этом не думал. И за LockDown плагин - думаю полезным будет
Михаил, вот умеете Вы мотивировать!
Прочитала Ваш пост и первая мысль, которая появилась: "Покой нам только снится".
Спасибо.
Пора начинать применять новые советы, полученные от Вас, ведь скоро появятся следующие рекомендации, поэтому надо успеть дать жизнь этим.
P.S. Со старым новым годом Вас! Вдохновения, творчества и Успехов!
Спасибо вам Михаил что публикуете статьи о безопасности wp, а то я уже давно задался таким вопросом как поменять стандартное имя но теперь я знаю 🙂
Глобатор, спасибо за пояснение.
Я так понимаю, что изменение пароля через pma аналогично и для многопользовательской версии Wp - WPMU ?
Михаил, спасибо за выпуск! Особенно за плагин WP Security Scan. Вопрос по имени пользователя - есть ли особый смысл, если при отписывании комментов имя пользователя итак станет известным?
Да, безопасность, пожалуй, немаловажная вещь. Я и сам, меняя логин администратора подумывал о том, что в 95% этот самый логин остается неизменным. Думаю, рекомендациями твоими теперь воспользуются многие.
Михаил, у меня созрел вопрос...
Например я поменял префикс базы данных на: wp_database
А как потом будет выглядеть ссылка в админку блога?))
Я просто не понял. и поэтому не решился пока кликать по ссылочке в плагине:)
Объясните плиzz
Заранее благодарствую..
Михаил, хотелось бы все таки получить ответ на первых комментарий SEOinSoul-а.
Так как его способ я тоже использую и если он не так надежен, то почему?
Советы отличные. Но имеет ли смысл менять логин админа, если пароль весьма сложноватый? Думаю, что не стоит, так как подобрать сложновато. 🙂 За плагин спасибо - потестим.
Если у вас на сайте много зарегистрированных пользователей то при смене префикса через плагин возможны проблемы.У меня около 230 пользователей,замучался вручную править базу.
Вот советую почитать у кого после смены префикса не будет пускать в админку ky6uk.ugatu.net/when-wordpress-dont-ident-me-on-owner
PS.Блог не мой,так что это не реклама себя 🙂
Блокировка по IP наиболее оптимальна, а любителей путешествовать выручит SSL-шифрование. Статей по настройке доступа к админке по протоколу HTTPS полным-полно.
Имя базы данных не имеет отношение к ссылке на админку, как и количество пользователей к изменению имени базы данных 🙂
Честное слово, очень странно, что люди задают миллион раз обмусоленные вопросы. Есть ведь замечательные блоги и форумы по WordPress, содержащие тонны полезной информации. Или безопасность WordPress имеет субъективный характер? Скорее всего, я чего-то не понимаю 🙂
Да-а-а-а... Видео роскошное. Грабители банка - это круто, точнее им очень и очень повезло. А в пикапе интересно есть ремни безопасности - а то парнишка, так запросто и вылетел через верх. Теперь о деле. Нередко мы задумываемся о безопасности тогда, когда небезопасность уже на пороге, и стучится к нам в дверь. Вот давеча вчерась переставлял семерку. А все оттого, что вовремя не поставил антивирус, все потом, да потом, и все... капэць менi. Плагины обязательно попробую особенно первый и очень заинтересовало "Ограничьте доступ к папке wp-admin". Пробуем! Пасиба за пост. 5 баллов!
Полностью согласен с Seo In Soul? это реально быстрее и понятнее, тем более если не обладаешь знаниями в этой области!
Кое чем, уже пользуюсь, но как всегда, из ваших статей, узнал пару новых "заклинаний".
Спасибо за наводку по изменению доступа wp-config. Еще хотелось бы почитать пост о безопасности в ДЛЕ 🙂
У ВП версий 2.8 и выше с безопасностью все отлично...
Факторы риска стандартные:
- слабый пароль (решается простой задержкой в 1-3 секунды на авторизации)
- уязвимый плагин (перед тем как добавить плагин, прочитайте отзывы)
- доступ 0777 для папок wp-content ( в некоторых случаях позволяет модифицировать дизайн блога + выполнение команд в системе, если safe mode PHP в режиме off)
Что касается префиксов таблицы, то это не критично. Ведь пароль WP хранит в шифрованном виде, скорость перебора хэша очень низкая...
У меня после изменения префиксов таблиц возникла проблема с базой. Я не мог залогинится в систему.
Полечилось это заменением одного значения в таблице wp_usermeta (учтите что префикс будет уже новый). Делал так:
update prefix_usermeta set meta_key='prefix_capabilities' where meta_key='wp_capabilities';
Я ещё пароль ставлю на доступ к wp-admin. И не забываем о простых паролях которые подбором ломаются.