Защита WordPress блога от взлома
Некоторое время назад мне пришлось несколько дней пожить без Интернета, и каково же было мое неприятное удивление, когда я, вернувшись, обнаружила письмо от моего хостинга, из которого я узнала, что мой сайт заблокирован за превышение нагрузки на сервер. Заблокированным оказался не только сайт, но и доступ к файлам по FTP, а также вход в админку на сайте хостинга. Остался доступным только вход в виртуальный офис.
Надо сказать, поначалу я очень возмутилась, в чем искренне каюсь. Доступ к сайту и файлам мне разблокировали по первой же просьбе, и ознакомление с логами показало, что кем-то, заходившим через прокси-IP, были сделаны многократные попытки залогиниться в моем блоге, иначе говоря, была попытка взлома блога. Сотрудники хостинга просто остановили это безобразие, а заодно закрыли доступ к файлам: мало ли, вдруг злоумышленники попытаются взломать логин на хостинге. Правда, для этого им бы пришлось угадать не только пароль, но и логин.
Как только мне вернули доступ к сайту, я сразу приняла ряд мер предосторожности от взлома блога на WordPress, чем и хочу поделиться.
Во-первых, я установила плагин защиты от взлома Login LockDown, блокирующий по IP вход в блог, если количество неудачных попыток залогиниться сравнялось с заданной величиной. Плагин очень легко настраивается, в принципе, значения по умолчанию вполне нормальные.
Первая настройка — максимальное количество попыток войти (здесь 3 раза). Вторая — период ограничений (здесь 5 минут). Плагин запоминает IP того, кто сделал неудачную попытку залогиниться. Если с момента последней попытки прошло более 5 минут, IP удаляется из памяти. Если же в течение этих 5 минут было сделано заданное число попыток залогиниться, вступает в действие блокировка по IP. Ее длительность задается в следующей настройке (здесь 60 минут). Никакая программа взлома паролей не преодолеет такую блокировку.
Во-вторых, я провела удаление лишних плагинов, в том числе неактивных. Пришлось отказаться даже от тех плагинов, которые раньше мне казались нужными. Многие плагины всего лишь замедляют загрузку страниц блога, а есть и такие, которые создают дыру в его безопасности. На всякий случай, лучше обходиться минимумом прибамбасов.
В-третьих, я создала новый админский аккаунт, известный только мне, а статус ника, который для всех отображается как Ольга К., понижен до автора. Автор не имеет доступа к настройкам, он может только создавать записи и исправлять те из них, которые он сам написал. Еще один жизнеспособный вариант — продолжать писать посты под админским логином, однако логин и ник автора не должны совпадать, а логин не должен быть угадываемым. Никаких логинов admin или administrator быть не должно.
В-четвертых, на случай, если, несмотря на все меры предосторожности, произошло нечто нежелательное, у меня почти с момента создания блога установлен плагин WordPress Database Backup, который осуществляет резервное копирование базы данных. Этот плагин позволяет сохранять архив базы данных на жесткий диск. Он позволяет также настроить пересылку архива на е-мэйл с периодичностью каждый час, дважды в день, раз в день или раз в неделю. Если что случится, содержимое блога будет легко восстановить.