Как защитить свой сайт на WordPress или 12 советов по защите Wp-login.php

Привет читатель блога jonyit.ru.

Последнее время участились атаки хакеров на блоги тысячники и в связи с этим я написал подробную инструкцию, по применению мер безопасности для защиты вашей панели администрирования. Как говориться предупреждён, значит, вооружен. Ведь в будущем когда вы станете блогом тысячником вам понадобиться защита и лучше уж защитить свой блог сейчас, а для этого внимательно прочитайте данную статью “Как защитить свой сайт“, а так же установите себе социальные кнопки wordpress на свой блог.

wp-login.php

wp-login.php

Настоятельно советую применить несколько моих приёмов на своём блоге так как чем больше приёмов вы примените тем труднее будет пробраться в вашу админку хакеру. Перед тем как я перейду к практической части подпишитесь на мою Rss-ку, а то пропустите следующую мою статью по доступу к не своей панели администрирования или как взломать чужой блог 😉

 

Наверно только ленивый  бесплатно не попал в каталог mail.ru

1.Меняем WP-login.php на что-то своё


Совершенно очевидно, что для того, чтобы получить доступ к панели администратора WordPress, все, что нужно сделать, это ввести адрес сайта в WP-login.php.

Теперь если вы используете тот же пароль для входа на других сайты, то считайте что вы поставили ваш блог под угрозу. Плагин под названием Stealth Login позволяет создавать пользовательские URL-адреса для входа в систему, выхода из системы, администрирования и регистрации в вашем блоге WordPress. Так же вы можете включить режим невидимости, который не позволяет пользователям возможность доступа к WP-login.php напрямую. После этого можно настроить свой URL к панели администрирования например “wp-jony” или “wp-toha”. Это не гарантирует полную защиту вашему блогу, но если кто то захочет взломать вашу панель администрирования он уже не будет знать, как войти в ваш блог.

Такой способ также предотвращает доступ к вашей панели администрирования любым ботам использующие вредоносные намерения.

stealthlogin

stealthlogin

2.Выберите надежный пароль


Это очень очевидный шаГ, но давайте поговорим об этом. Поскольку новички не совсем понимают всю серьёзность этого действия. Не используйте этот же пароль на других сайтах. Постарайтесь, чтобы ваш пароль было невозможно угадать. Ещё один момент это периодическое изменение пароля, примерно раз в 3 месяца.

strongpassword

strongpassword

3.Предел попыток для входа в WP-login

Иногда хакер может догадываться о вашем пароле и с помощью нескольких попыток сможет проникнуть в систему. В таком случае вам нужно сделать предел попыток входа в систему. Осуществить это вы можете с помощью плагина названием login-lockdown который будет блокировать вход пользователю, если он исчерпал число попыток или указанное время для входа в систему. Таким образом у вас будет вполне нормальная защита wordpress.

loginlockdown

loginlockdown

4.Использование защищенной SSL Страницы для Входа в wp-login.php

 

sslsecurity

sslsecurity

Вы можете войти в админ-панель wordpress через зашифрованный канал SSL. URL-адрес вашей ссесии уже будет выглядеть так https://. Но вы должны договориться с вашим
хостингом, о том что вы будете использовать зашифрованный канал SSL. После того как хостинг разрешит вам использовать SSL, вставьте следующий код в WP-config.php

define(’FORCE_SSL_ADMIN’, true)

Существует также плагин который называется Admin SSL, который заставит работать SSL на всех страницах блога, но он совместим только с версией 2.7 и выше.

5.Защита паролем WP-Admin каталог


Существует такая штука как два пароля. Просто добавляется ещё один уровень безопасности. Это можно осуществить с помощью плагина AskApache Он шифрует ваш пароль и создаёт Htpasswd файл, а так же утанавливает права для защиты к доступа к файлам.

askapache

askapache

6.Ограничить доступ через IP-адрес

Вы можете ограничить доступ к вашей панели администратора и разрешить только определенным IP-адресам доступ. Все, что нужно сделать, это создать Htaccess файл в WP-admin папке и вставить следующий код:

AuthUserFile /dev/null
AuthGroupFile /dev/null
AuthName "WordPress Admin Access Control"
AuthType Basic
 
order deny,allow
deny from all
# whitelist Syed's IP address
allow from xx.xx.xx.xxx
# whitelist David's IP address
allow from xx.xx.xx.xxx
# whitelist Amanda's IP address
allow from xx.xx.xx.xxx
# whitelist Muhammad's IP address
allow from xx.xx.xx.xxx
# whitelist Work IP address
allow from xx.xx.xx.xxx

Недостаток этого приема в том, что если вы хотите получить доступ к админ-панели из другого места, то вы не сможете сделать этого, если не добавить дополнительный IP в вашем Htaccess файле.

7.Никогда не используйте имя пользователя “admin”


Это первый пользователь, который создается при установке WordPress. Вы никогда не должны использовать или держать этого пользователя, воздержитесь от его использования. Создайте другого пользователя и назначьте административные роли ему. Попробуйте придумать нестандартное имя пользователя, чтобы было тяжелее угадать его хакерам. Затем удалить пользователя с Admin чтобы быть в безопасности.  У вас всегда должна быть безупречная защита wordpress.

8. Удалить сообщение об ошибке на странице Wp-login.php

errormessage

errormessage

При вводе неправильного пароля или неверного имя пользователя, вы получаете сообщение об ошибке в Логин странице. Так что, если хакер получает сообщение об ошибке, то он сразу же понимает что вводит не правильные данные. Поэтому рекомендуется удалить сообщение об ошибке полностью. Откройте ваш functions.php который находиться в папке темы и вставьте следующий код:

add_filter('login_errors',create_function('$a', "return null;"));

Плагин под названиемSecure-wordpress также решает эту задачу и имеет другие функции.

9. Использование зашифрованных паролей к WP-login.php


Когда у вас нет SSL, то этот метод может быть полезным. Существует плагин, который позволяет сделать это и он называется Semisecure-login-reimagined . Он повышает безопасность входа с использованием ключа RSA для шифрования пароля на стороне клиента при входе пользователя в систему, а сервер уже расшифровывает зашифрованный пароль и закрывает сессию.

10. WordPress защита от вирусов

Antivirusдля WordPress является умным и эффективным решением для защиты вашего блога от эксплойтов и спам инъекций. Особенность этого плагина является ручное тестирование с немедленным результатом зараженных файлов, а также автоматическая проверка ежедневно с уведомлением по электронной почте. Советую очень.

11. Оставайтесь в курсе последних версии WordPress

И последнее, но определенно не в последнюю очередь это оставаться в курсе последних версий WordPress, потому что после каждой версии, WordPress также выпускает исправленные ошибки предыдущей версии, которая не ставит вашу админку под угрозу, если вы обновлены.

12. One Time Password

One Time Password плагин который позволяет войти в свой блог с использованием паролей, которые активны в течение одной сессии. Одноразовые пароли предотвращают кражи вашего основного пароля WordPress например клавиатурные шпионы

Тоже хочу отметить что это прекрасный плагин.

P.S.
Ну вот и всё дорогой друг теперь ты знаешь как  как защитить свой сайт от атаки хакеров.Чтобы эффективнее оптимизировать свой блог настоятельно рекомендую прочитать мои статьи Тонкая настройка SEO для WordPress и 8 Лучших плагинов кэширования WordPress, чтобы ускорить ваш сайт и продолжаем настройку worpress статьей “трюки настройке Wp-config.php

Не забудь подписаться на мою Rss-ку, а то пропустите следующую мою статью “Как взломать чужой блог”.

И кстати, а как вы защищаете свой WP-login.php от хакеров?;)

Ну и напоследок видео: Как получить бесплатный трафик

 


Разработка сайта
Мы не используем платные CMS и за счет этого мы привлекаем низкой ценой клиентов. Не используем шаблоны у нас только уникальный дизайн. В подарок мы делаем SEO оптимизацию сайта и настройку контекстной рекламы.
Заказать
Продвижение сайта
Частный оптимизатор выходит гораздо дешевле web-студии. Я помогу вам вывести cайт в ТОП-3 и настроить автоматические продажи. В стоимость услуг входит аудит, техническая и seo оптимизация сайта.
Заказать
БЛОГ под КЛЮЧ
Сэкономьте годы возни на созданием и продвижением своего блога. Отдайте это дело блоггеру с пятилетним стажем. В услугу уже входит SEO оптимизация блога. В подарок вы получаете видео-курс «Мой авторитетный блог»
Заказать




84 комментария
  1. 1)Спасибо
    2)Этим комметарием хочу оставить себе закладку вернуться попозжее ещё + получать уведомления о еомментариях здесь

    А нкжно ещё вводить Email в “Получать статьи” или достаточно, что я подписался на комментарии при написании этого?

    Ответить на комментарий →
    • Антон Краморов 29 августа, 2011 в 01:10

      Лучше всё таки ввести Email и получать статьи.
      Ведь вы же хотите читать статьи, а не комментарии.

      Ответить на комментарий →
  2. Так а способах взлома может расскажите ?

    Ответить на комментарий →
    • Антон Краморов 29 августа, 2011 в 03:29

      Конечно расскажу!)
      подписывайтесь на rss чтоб не пропустить эту статью

      Ответить на комментарий →
  3. Ого, даже о способах взломать расскажешь? Не есть это хорошо, я думаю =)

    Ответить на комментарий →
  4. Вопрос не совсем по теме, но не знаю к кому обратиться:)
    У меня блог о кошках с весьма скромными параматрематрами, нигде в топы не входит. Но недавно яндекс.бар показал в индексе 540 каких-то страниц типа http://cat-mishuta.ru/?daf= и на них не моя всякая ерунда. Как можно от этой гадости избавится?

    Ответить на комментарий →
    • Антон Краморов 30 августа, 2011 в 10:55

      Вам нужно поставить себе на блог robotx.txt

      посмотреть пример вы можете по ссылки
      jonyit.ru/robots.txt

      Ответить на комментарий →
      • Так просто:)))) А не мои фотки, которые цепляются по этим ссылкам нигде удалять на хостинге не надо?

        Ответить на комментарий →
        • Антон Краморов 30 августа, 2011 в 05:24

          у вас там их и не должно быть! если они не ваши.
          robots.txt скажем поисковым системам что нужно индексировать а что нельзя.
          после этого никакие чужие фотки у вас не должны выпадать!

          Ответить на комментарий →
          • В том-то и дело, что картинки каких-то развалин, городов и т.д., но на каждой была отмечена ссылка на мой сайт. Я обновила версию вордпресса и теперь по этим ссылкам переход идет на главную страницу. robots.txt уже закачала – большое спасибо за пример!!! Я так понимаю, что это были просто паразитные ссылки и при следующей индексации они пропадут?

            Ответить на комментарий →
          • Антон Краморов 30 августа, 2011 в 06:15

            когда на вас ссылаються это хорошо.
            может вы когда то заказывали прогон по каталогам на свой блог или что то ещё.
            можете не беспокоиться за это

            Ответить на комментарий →
          • Таки вы просто не понимаете нечего в эстетике распада и археологии – пришлите мне ссылку – буду изучать – ваши развалины

            Ответить на комментарий →
    • Для Saint_Byte – к сожалению борьба с “развалинами” закончилась печально – от всего блога осталась только главная страница, а остальные куда-то пропали и с бэкапа восстановить пока не получается:(((

      Ответить на комментарий →
  5. Спасибо – это успокаивает. У меня это первый блог и я пользуюсь многими советами группы рассылок “Создать свой сайт”. Мог гте-то быть и прогон по каталогам:)

    Ответить на комментарий →
    • Антон Краморов 30 августа, 2011 в 06:34

      подписывайтесь на мой Rss канал.
      Всегда буду рад помочь вам)

      Ответить на комментарий →
  6. Попыталась – но высветило:
    Ошибка синтаксического анализа XML: объявление XML или текста не в начале сущности
    Адрес: http://feeds.feedburner.com/Jonyit
    Строка 2, символ 1:
    ^

    Ответить на комментарий →
  7. Очень полезная информация.добавил эту страницу в закладки, чтобы как можно быстрее приступить к прменению этой информации. А то кроме плагина Anti Xxs-attsk и Antivirus ничего не сделано для защиты ни нового блога, ни старого 🙁 Буду исправляться :)

    Ответить на комментарий →
  8. По поводу пункта
    4.Использование защищенной SSL Страницы для Входа в wp-login.php
    Только комментил этот момент на другом блоге. Это реально эффективно только при покупке сертификата или при ограничении клиентских сертификатов.

    Ответить на комментарий →
  9.  Отлтичный вот плагин  login-lockdown я им уже год пользуюсь, однажды сам не мог на блог зайти.. 3 раза неправильно пароль ввёл.. и всё..) 

    Ответить на комментарий →
  10. главное не писать о том, сколько денег зарабатываешь, а то кол-во попыток взлома резко увеличится)

    Ответить на комментарий →
    • Антон Краморов 24 января, 2012 в 03:58

      Кстати отличный своет, а то я знаю что ddos атака на блон борисова была уже

      Ответить на комментарий →
  11. пока взломать никто не пытался плагины не буду ставить, т.к. блог не хочу тормозить. Просто осторожно веду себя и всё.

    Ответить на комментарий →
  12. Скажите, а по пункту 7 вы советуете поменять “Admin”. А как это сделать? Раньше в плагине WP-optimize была такая функция как смена Логина. А теперь нет.

    Ответить на комментарий →
  13. Здравствуйте! Мне интересен пункт 7 и 8. Как поменять админа? Раньше в плагине wp-optimize была такая функция, но ее сейчас нет.
    У меня в файле function.php не сохраняется строка add_filter(‘login_errors’,create_function(‘$a’, “return null;”)); Почему?

    Ответить на комментарий →
  14. Антон Краморов 04 марта, 2012 в 09:53

    Мадина, admin это пользователь созданный по умолчанию.
    Просто создайте нового пользователя со своим именем =)

    Ответить на комментарий →
  15. Как это сделать? И где? У себя в панели инструментов?

    Ответить на комментарий →
  16. Антон Краморов 04 марта, 2012 в 11:55

    ДА.
    Пользователи –> Добавить нового

    и всё)

    Ответить на комментарий →
  17. Скажите, а как заблокировать по IP адресу посетителя?

    Ответить на комментарий →
  18. Антон Краморов 08 марта, 2012 в 03:14

    Мадина, дело в том что у каждого пользователя ip адрес динамический (то есть он генерируеться при подключении сетевой карты к провайдеру). Если вы забаните кого то по ip, то он может просто переподключиться к сети и получить другой ip.

    Ответить на комментарий →
  19. Спасибо..) Этого не стоит делать тогда. Скажите Антон, а вы еще проводите акцию – бесплатный анализ сайта? Мне не понятно просто почему Яндекс не хочет мой сайт индексировать..

    Ответить на комментарий →
  20. Антон Краморов 08 марта, 2012 в 03:42

    Мадина, чуть попозже будет. На прошлой толпу народа набрал.
    У вас рекламы много на блоге, уберите её и напишите в тех. поддержку яндекса

    Ответить на комментарий →
  21. Антон, добрый день! Я смотрю Вы хорошо разбираетесь в настройках WP. У меня такая проблема:после манипуляций в настройках темы, не могу зайти в админку,выдает следующее “Синтаксическая ошибка : синтаксическая ошибка, неожиданный ‘<' в / home/vladimi3/public_html/blog/wp-content/themes/money/functions.php на линии 527" У Вас есть какое-нибудь решение по этой проблеме?
    Заранее благодарен.

    Ответить на комментарий →
  22. Владимир Я вот готов вылечить ваш баг за 10$ пишите на email.

    Ответить на комментарий →
  23. Антон Краморов 23 апреля, 2012 в 06:29

    Вот и фрилансер нашёлся)

    Ответить на комментарий →
  24. Виталий Гребенников 16 июня, 2012 в 05:39

    Антон, здравствуйте.

    Подскажите, какие предпринять шаги, когда уже нет доступа к админ панели сайта?

    Ответить на комментарий →
  25. Виталий Гребенников 16 июня, 2012 в 11:19

    Спасибо за ответ, Антон.
    К сожалению, ни один способ не помог.
    Может быть, есть какие-то другие варианты?

    Ответить на комментарий →
  26. Владимир, тоже была такая проблема после внесения изменений в файл function.php. Решил так: на свой второй блог поставил такую же тему, через FTP-соединение скачал из папки с темой файл function.php, зашел через FTP-соединение на сайт с ошибкой и просто заменил старый function.php скачанным со второго сайта(получается заменил измененный файл исходным)

    Ответить на комментарий →
  27. Благодарность… *BRAVO*

    Ответить на комментарий →
  28. Салют Антон! Интересует вопрос по замене логина “admin” через присвоение другому пользователю административные роли, пункт 7. Случайно не исчезнет все то, что уже написано и создано пользователем “admi”? Если не исчезнет, то что будет написано вместо “опубликовано admin”? Боюсь потерять столько потраченного времиени!

    Ответить на комментарий →
  29. Антон Краморов 23 октября, 2012 в 06:00

    Victor, да нет конечно ничего не исчезнет. Вы просто измените имя пользователя с admin на новое.
    А всё что было переименуетсья автоматически [:–_)]

    Ответить на комментарий →
  30. Спасибо за хорошие советы ! Из них я только 2 применяла. Надо усилить методы безопасности :) Кстати, про логин, у меня стоит admin с самого начала и изменить не могу. Я пыталась его поменять, но там написано, что логин изменить невозможно. 🙁

    Ответить на комментарий →
    • Возможно..) Я поменяла..!

      Ответить на комментарий →
      • Да? Мадина, каким образом у вас это получилось? У меня в профиле в админ панели написано, что логин невозможно менять. Я не знаю , как это сделать 🙁

        Ответить на комментарий →
        • Петр Балашов 03 ноября, 2012 в 02:15

          Оля, вот пришло 10 минут назад.Как раз вам в помощь http://tvoy-start.com/novosti/kak-zashhitit-kompyuter-ot-virusov. Там все просто описано.

          Ответить на комментарий →
        • Ольга, я это делала в админ панели. Там есть слева где функции такой раздел “Пользователи”. Вам нужно добавить нового пользователя под другой маил, затем передать этому нику права администратора при удалении старого и все! А если вы захотите вернуть тот маил, который был прежде, то надо опять добавить нового пользователя и удалить предыдущий передав ему права администратора. Так просто когда добавляете нового пользователя система требует новый маил прицеплять… Удачи!

          Ответить на комментарий →
  31. Петр Балашов 03 ноября, 2012 в 01:25

    Антон, крайне нужная информация. Стоило бы каждый раздел расписать более подробно- настройка, установка и т.д. У меня возникла пара вопросов, которые мучают постоянно. Первый- на один из моих сайтов повадился спамер-комментатор, я постоянно удаляю эти комменты, но появляются новые. Заблокировать по IP, судя по статье, не удастся. Есть ли какой-либо еще вариант. Плагины против спама отправляют эти комменты в спам исправно, но надоело вручную их удалять.
    И вопрос два- скорее всего, через админку,в черновики попадает много спамерских материалов. Черновики сам практически не делаю, так что это их работа. Сами черновики удаляю вручную, но их бывает очень много. Поменял пароли входа в админку на очень надежные, но проблемы продолжаются.Какие меры предпринять еще?

    Ответить на комментарий →
    • Антон Краморов 04 ноября, 2012 в 02:28

      от спамеров я защищаюсь плагином
      Invisible Captcha и вам его тоже рекомендую

      Ответить на комментарий →
      • Петр Балашов 04 ноября, 2012 в 05:05

        Антон, не помогает. Они делают якобы комментарий из пары слов, это попадает в спам и я удаляю. Но мне это так надоело, что убил бы. Я уже и по IP пытался блокировать, не вышло. Вот привязался как банный лист. Не понимаю, какая выгода, если я все удаляю до публикации. Не понимаю…

        Ответить на комментарий →
  32. Спасибо, Пётр, но там совсем про другое . Мне нужно сменить логин в wordpresse на своём блоге. А в статье ,которую вы посоветовали, речь идёт об учётных записях на компьютере.

    Ответить на комментарий →
    • Петр Балашов 03 ноября, 2012 в 02:51

      У меня тоже нет возможности это изменить, удалить тоже нельзя. Думаю, это можно сделать только на хостинге, по запросу туда. Можно добавить нового пользователя, но не знаю, как удалить админа.

      Ответить на комментарий →
  33. Петр Балашов 03 ноября, 2012 в 02:56

    Оля, все же я нашел, как это сделать. Все описание здесь http://webmastering.uz/rabota-s-wordpress/hacks/kak-bystro-izmenit-imya-polzovatelya-v-wordpress/

    Ответить на комментарий →
    • Пётр, спасибо огромное !! Надеюсь, что теперь смогу это сделать, благодаря Вам !! :)

      Ответить на комментарий →
  34. Петр Балашов 03 ноября, 2012 в 03:24

    Оля, не стоит. Всегда рад помочь тем, чем могу. Вижу в этом взаимную пользу, поскольку такие вопросы заставляют напрягать редкие извилины ;-)

    Ответить на комментарий →
  35. Петр Балашов 03 ноября, 2012 в 05:40

    Мадина, специально проверил возможность указанных действий. Добавить нового пользователя и дать ему права администратора несложно, но вот удалить прежнего админа не представляется возможным. В результате может получиться ситуация, когда вход в админку может быть осуществлен и тем, и другим пользователем. Но проблему это не решает.

    Ответить на комментарий →
    • Я спокойно удаляла прежнего админа. Правда перед тем, как удалить он спрашивал “Передать права пользователя новому администратору?” Я помечала, что да и удаляла. И всё!!!

      Ответить на комментарий →
      • Петр Балашов 03 ноября, 2012 в 08:38

        Мадина,реально проверил возможные варианты удаления админа. Не получается никаким способом. Возможно, дело в теме. Но реально не удалить, я долго пробовал это сделать. Против админа активна только функция изменить, но при изменении пишет, что имя пользователя изменить нельзя.Если ставить галочку в чекбоксе против админа и действия-удалить- применить тоже ни к чему не приводят. Иных функций просто НЕТ!!!

        Ответить на комментарий →
        • А вы сначала добавили нового пользователя с логином “не админ”? Я не знаю как у вас, но у меня когда я добавила нового пользователя вордпресс дал мне удалить старого пользователя где написано админ. Я своим опытом поделилась.. Тогда вам надо другой способ искать. Удачи!

          Ответить на комментарий →
  36. Мадина, что то этот вариант какой то замудрённый , на мой взгляд . . . :) Хотя , можно попробовать. Займусь этими опытами уже завтра :) Спасибо за помощь 😉

    Ответить на комментарий →
    • Вы не пробовали..) Это самый легкий вариант. У вас же есть запасной другой маил для регистрации нового админа?

      Ответить на комментарий →
      • Попробовала по вашему методу, но у меня старый пользоваель не удаляется. Вордпресс не даёт этого сделать. Так что это способ мне не подходит, к сожалению. Буду пробовать способ Петра, который он выше написал в ссылке.

        Ответить на комментарий →
  37. Петр Балашов 04 ноября, 2012 в 08:47

    Мадина, и я , и Оля все это сделали, но ничего от этого не изменилось. Мало того, я параллельно решил защитить компьютер и изменил учетную запись администратора. Но сделал это коряво и в результате не смог войти в свою систему под прежним именем. Хорошо, что рядом был ноутбук и я нашел способ вернуть себе права админа, но 30 минут времени и комок нервов потеряны. Так что прежде. чем что-либо менять кардинально, лучше изучить заранее пути возврата в исходное состояние.

    Ответить на комментарий →
  38. Я наконец то изменила логин admin на более сложный. :) Нашла видео с подробной инструкцией у Олега на сайте http://blogibiznes.ru/kak-izmenit-login-polzovatelya-admin-v-wordpress.html#comment-28484
    Он предлагает несколько способов , и тот, про который Мадина говорила. Но мне было проще через хостинг поменять. ;-)

    Ответить на комментарий →
  39. Петр Балашов 07 ноября, 2012 в 10:31

    Оля, я нашел ,как мне кажется, самый простой вариант- при помощи плагина. Имя можно менять хоть десять раз в день.Кидаю адрес сайта с описанием
    http://grafchita.ru/blog/2011/05/16/kak-izmenit-svoj-login-v-adminpaneli-wordpress/

    Ответить на комментарий →
  40. Благодарю за подробнейший урок по поводу плагина.

    Ответить на комментарий →
  41. Петр Балашов 20 ноября, 2012 в 08:00

    Если это ко мне, то пожалуйста. всегда рад помочь.

    Ответить на комментарий →
  42. Stealth Login – этот плагин уже недоступен

    Ответить на комментарий →
  43. информация в статье очень нужная и полезная, но к сожелению не очень подробно, новичкам я думаю будет не понятно.

    Ответить на комментарий →
  44. Спасибо за полезные советы!

    Ответить на комментарий →
  45. Александр Василенко 24 мая, 2013 в 05:38

    С недавнего времени очень актуальная для меня информация, мой новенький сайт взломали и размещали скрипт с ссылками, хорошо что хостер вовремя известил меня об этом.

    Ответить на комментарий →
  46. Так ведь можно просто удалять файл wp-login.php, а перед тем как добавить запись его обратно закачивать.

    Ответить на комментарий →
  47. Виталий Капля 09 августа, 2013 в 03:03

    Полагаю, мой новый плагин позволит поднять планку безопасности вашего WordPress: http://wordpress.org/plugins/apache-password-protect/

    Ответить на комментарий →
  48. Антон Краморов 09 августа, 2013 в 03:37

    Виталий Капля, в чем его преимущество? [:–_)]

    Ответить на комментарий →
  49. Виталий Капля 09 августа, 2013 в 03:54

    в его простоте. перерыв множество плагинов, я так и не нашел инструмента, который позволил бы в три клика обезопасить консоль wp.

    Ответить на комментарий →
  50. Читала комментарии и решила вставить своих пару слов. Антон, Вы молодец! Тема защиты наших ресурсов очень актуальна, много нехороших людей пытаются навредить нам, зачем спрашивается…
    Ещё про защиту читала У Бас Андрея, где мне понравилось решение по защите админки http://inetmi.ru/zashhita-bloga/zashhita-wordpress-zashhita-adminki-wordpress.html
    Таким людям, как Вы я очень рада – всегда пытаетесь помочь нам. Спасибо :)

    Ответить на комментарий →
  51. Здравствуйте,
    Столкнулась с проблемой атак и приняла несколько мер против этого. Включая этот. Все получилось, и заменить и войти. Проблема вылезла с неожиданной стороны. Теперь не могу добавить фото ни на страницу, ни в статью. То есть, когда кликаешь на кнопку “добавить медиафайл” галерея не загружается. Меняю все обратно – работает. Не подскажете, в чем проблема?

    Ответить на комментарий →
    • Антон Краморов 29 марта, 2015 в 08:44

      Вы как-то размазано описали проблему. Нужно конкретика. Какую меру применили? Что меняете обратно?

      Ответить на комментарий →
      • Извините, попытаюсь объяснить. Я имела ввиду “меняем WP-login.php на что-то своё” Я изменила имя файла, и где встречается wp-login в файле на новое имя. Изменила стандартное имя пользователя ADMIN на другое. Все работает. Войти-выйти не проблема. НО, теперь при редакции поста или страницы не могу поставить картинки. Ни новые, ни те, что уже загружены. А если все вернуть как было на wp-login и тд, то все работает. Открывается галерея медиафайлов без проблем, выбирай любой файл. Я не вижу связи, но вот такая ситуация. Может знаете, что с этим делать?

        Ответить на комментарий →
  52. А как от всяких грабов сайтов спастись, говорят надо создать php файл в начале с какой-той командой

    Ответить на комментарий →
    • есть такая команда делается из под рута на вашем серваке: iptables -i INPUT -j DROP

      Ответить на комментарий →
  53. Защиту сайта нужно всегда ставить на первое место. Помню, как только сделал свой сайт, ко мне в админ панель постоянно кто-то пытался войти. А возможно, что это даже какой-то робот запросы посылал. Потом сделал двухфакторную аутентификацию, и проблема пропала. :)

    Ответить на комментарий →
Оставь свой первый комментарий и получи:
:) :-D ;-) :-| [star] [good] [present] [flower] [:-))] [:))] [:--_)] [:-|]