Всем привет. Сегодняшняя тема поста, защита от взлома. Здесь речь пойдет не о защите контента. Сегодня поговорим о тех двух уязвимостях, которые на сегодняшний день могут быть использованы злоумышленниками, чтобы зайти к нам на сайт через админку. Тем более, если некто даже создал для этого специальный плагин, значит, защитить сайт от взлома мы просто обязаны. О взломе своего сайта, я писал в этой статье. Итак, защита от взлома вникаем в детали.
Защита от взлома, слабые места
Первая уязвимость, где злоумышленник может проникнуть на сайт, это наш хостинг. И если в мы довольны его работой, то это не значит, что желающих к нам зайти обязательно постигнет неудача. Причина может заключаться в настройках хостинга, о которых мы и понятия не имеем. Но проверить данный факт мы можем.
Для этого в браузере надо ввести адрес своего домена: http://……, и через слеш приписать к нему название одной из папок корневого каталога, например, http://sait.ru/wp-content. Если нашему взору откроется чистая страница или надпись, что-то вроде: “Здесь ничего нет”, с хостингом все в полном порядке, защита надежная.
Если вы увидите список каталогов данной папки, это значит, не все в порядке. Хостер не уделяет вопросу безопасности не только должного, а просто никакого внимания. Пишите ему письмо, либо меняйте хостинг. А вот что надо сделать однозначно, чтобы защитить сайт, заделав возникшую брешь, так это прописать в файле Htaccess следующую функцию: Options All – Indexes
Такая вот несложная мера поможет вам избежать утечки информации.
Вторая уязвимость, слабое место в защите нашего сайта от взлома, это форма входа. Та самая форма, куда мы вводим свой логин и пароль, чтобы попасть в админку. Адрес данной страницы домен/wp-admin может не знать только тот, у кого этой страницы никогда не было. Поэтому, если считать ее входом нашего сайта, то вломиться дальше, уже дело техники.
Существуют скрипты, с помощью которых, перебрав несколько вариантов пароля, можно, в конце концов, выйти на нужный пароль. Пример тому, наши российские хакеры. Поперебирает юноша за компьютером пальцами и готово, пароль найден. Есть даже термин, определяющий данное действо, broodfort, brood переводится несколько странно, сидеть на яйцах. Так что наша с вами задача, если уж не пресечь полностью такие попытки, то сократить их количество до двух-трех, после чего: Извините, товарищ хакер, ваша попытка не удалась. И остается вам, вот на этом самом и сидеть….
Почему, заботясь о защите сайта от взлома, нам в принципе не пресечь подобные попытки? Чтобы, если пароль введен неправильно, осуществлялась полная блокировка входа. От временного забытья никто не застрахован, и мы с вами не исключение. У меня, например, были случаи, когда на одном сайте я вводил пароль от другого. И что теперь, сидеть и целый час ждать, когда заветная дверь откроется?
Плагин login-lockdown
Как на практике осуществляется эта самая защита сайта от взлома? А осуществляется она, просто. Скачиваем плагин login-lockdown, помещаем его на хостинг в папку плагинов, активируем, заходим в настройки плагина. Что нам здесь предлагают?
Max Login Retries – количество попыток для авторизации. Проще говоря, сколько раз можно вводить пароль, прежде чем плагин вас заблокирует. Кстати, вас это тоже касается.
Retry Time Period Restriction (minutes) — количество минут, в которые должен уложиться злоумышленник. Значит, если мы даем ему на все 5 минут, а он успеет сделать только 2 попытки все, третьей уже не будет?
Lockout Length (minutes) — время, на которое сайт станет недоступен, для нас, в частности, тоже.
Mask Login Errors — наши пожелания: прятать ли сообщения о неправильном вводе логина и пароля (от кого?).
Currently Locked Out — показывать ли время и список IP адресов, с которых были сделаны попытки несанкционированного проникновения на наш сайт.
Вот такие варианты защиты. Но, если учесть, что мой сайт до некоторого времени вообще не был никак защищен, то согласитесь, это хоть какая-то крыша. Думаю, злоумышленники не сидят на …, как в переводе с английского, наверняка изобретают новые методы. Будем надеяться, что и нам со временем предложат что-нибудь такое, что на все 100% сможет защитить наш сайт от взлома. Вопросы безопасности для сайта на WordPress.
Эта статья всего лишь информация к размышлению. Защищать свой сайт от взлома или нет, решать вам. Единственное, что точно не надо делать, это самому проверять его на предмет взлома. Я не пробовал, но люди добрые предупредили, не надо. Ну а если есть какие-то соображения или наработки по вопросу защиты сайта, пишите, пожалуйста, в комментариях. Будем обороняться сообща.
С уважением Автор.