Повишаване на сигурността на Wordpress сайт. Защита от атаки

Безплатни 20 урока
регистрирай се и научи

Ако сте вече потребител - Регистриран съм
Видео

Тест за преминаване към следващия урок

 
Необходимо ли е да инсталираме разширение за защита от атаки?
Не, инсталацията на тези разширения губи прекалено много време.
Не, ако не смятаме, че сайтът ни е застрашен.
Да, така има възможност да засечем неправомерния достъп до нашия сайт.
 
Как да повишим сигурността на нашия сайт?
Нашият прякор (nickname) да е различен от потребителското име за вход в администраторския панел
Да правим backup на сайта си
Да изчистим настройките по сигурността според приоритета им 
Да има ограничен брой опити за въвеждане на парола

Въпроси и отговори

  • Как?

    Марина Лазарова:

    Как се сменя wp-admin? Къде точно трябва да се влезе и какви промени се правят?

    Леа:

    Най-лесният начин е с плъгин Username Changer. След активиране се отива в Users » Username Changer. След като си свършите работа може да изтриете този плъгин.

    Албена Христова:

    Леа, изисква ли да имаш хостинг и има ли толкова сложни настройки като това в урока.

  • Как ?

    Любомир:

    Същият въпрос , като дамата от долу ? Как да си сменим   админ  и парола ? 

    Марина Лазарова:

    Май няма да получим отговор на този въпрос!

    Peter:

    Намерих някакви пояснения по този въпрос тук - http://help.superhosting.bg/wordpress-security.html . Конкретно за потребителя admin - "Потребителското име admin, което също е по подразбиране и е едно и също за всички инсталации на системата, може да бъде променено. Промяната можете да извършите, чрез достъп до phpMyAdmin, през контролния панел.

    След като достъпите phpMyAdmin може да изпълните sql заявка за подмяна на потребителя admin с потребител siteadmin, в таблицата wp_users, в базата данни:

    update wp_users set user_login='siteadmin' where user_login='admin';".

  • Как?

    Марина Лазарова:

    В жълтите препоръки се опитах да поправя съвет със следния текст "Your WordPress Dashboard is using the default addresses. This can make a brute force attack much easier."  Смених там, където пишеше wpadmin на moetablo, след което го върнах обратно. Сега обаче не мога да вляза в таблото нито с единия адрес, нито с другия. Изписва ми http://127.0.0.1/wordpress/not_found в лентата за адреса, а и на самия сайт пише "Oops! That page can’t be found.It looks like nothing was found at this location. Try the search below." Какво да правя, за да си възстановя достъпа до таблото?
    Помощ!!!

    Марина Лазарова:

    Справих се! Било е wplogin, а не wpadmin. Но все пак въпроса ми остава в частта какво да правим ако загубим достъп до таблото. Ако не разбираме от това да влезем в SQL - базата данни и да пипаме там, тогава какво, губим ли сайта?

  • Защо?

    Марина Лазарова:

    Може би днес не ми е добър ден, но на теста нещо ме смущава.

    Дарина Иванова:

    Според мен верният отоговор е "да правим backup на сайта". Разрешеният по-голям брой опити за въвеждане на паролата не повишава сигурността му, по-скоро е вреден.

    Марина Лазарова:

    И аз така мисля, но три пъти ми даде този резултат. Явно е техническа грешка.

    Дарина Иванова:

    Мислех че сгрешеният отговор е на втория въпрос: "Как да повишим сигурността на нашия сайт?" Дори сега като се замисля, сигурността на самия сайт не би се повишила, чрез запазването му. По-скоро четвъртият отговор има някакво основание да е правилен.

    Зорница Каракулева:

    Предполагам, че по-скоро въпросът е зададен некоректно, тъй като всичко от изброеното (освен маркираното като вярно) е мярка за сигурност. Може би трябва да гласи какво не повишава сигурността на сайта.

  • Защо се извежда грешка при избор на името от коментара?

    Зорница Каракулева:

    Здравейте,

    Когато кликна върху името, което се дисплейва в коментара към дадена статия, се извежда грешка "This webpage is not available". Каква може да е причината?
    Асен Маринов:

    Понеже излезенова версия на wordpress, аз обнових и нз дали от там идва проблема, но се опитвам да сменя никнейма който излиза горе в адресната лента да не е админ-името и не става, това което излиза под всяка публикация се сменя на каквото го направих, но никнейма не иска...

  • Ivelina:

    Разбира се с плъгин, но има ли нещо особено в настройките и кой бихте препоръчали?

  • Защо в Dashboard  на "iThemes Sequrity" нямам секция "Security status"?

    Красимир Христов:

    Здравейте! Защо в Dashboard на "iThemes Sequrity" нямам секция "Security status"? Гледах и в настройки на изгледа , да не е изключена , но и там я няма.

    Красимир Христов:

    Извинявам се за грешката Security , а не Sequrity . 

    Иван Цукев:

    За разрешаването та такъв тип казуси, обикновено трябва да се задълбаеш в документацията на плъгина: https://ithemes.com/codex/page/IThemes_Security

  • Защо в Dashboard нямам Security Status?

    Delyana:

    прегледах, но никъде не намерих Security Status

    Мария Балева:

    Здравей, не е само при теб този "проблем" :) След последния ъпдейт на плъгина е махнат security status-а от дашборда. В урока се вижда, защото е създаден с версия, която все още не е претърпяла тези промени. Не е много удобно, но може да следваш стъпките от видеото и отново да направиш нужните настройки. Ето как изглежда при мен дашборда

  • Какво да активирам?

    Delyana:

    Security Status имат ново обновление... преди ставаше... като намирах това, което трябваше да се промени, но сега е съвсем различно... За Brute Foce Protection - виждам само това, което съм ви сканирала- и трябва ли да натисна Disable? Кога e активирано, когато е на disable ili anable 2. Изобщо не виждам къде да си сложа e-maila, ако някой се опитва да влезе... 3. Lockout white list -където се слага моето IP- не го намирам

    Delyana:

    оправих настройките...

    Мария Балева:

    Здравей Деляна, радвам се, че си успяла да разрешиш проблема. Явно след ъпдейта са променили доста изгледа на настройките, но като цяло се свиква след като се разгледа по-подробно. Иначе би трябвало, ако са ти изведени по този начин, като отделни прозорчета да отвориш допълнителни опции, като въвеждане на имейл или ip след като се натисне бутона configure settings, а при натиснат бутон Enable, трябва да е включена настройката. Ако си открила нещо полезно, което ще помогне и на други хора, които срещат затруднения в настройките, може смело да го споделиш тук във форума. Успех с курса :)

  • Защо Не се променя?

    Eli:

    Потребителското име е различно от имената, псевдонима и съм задала да излиза Показване като...псеводним или име, но въпреки това в http адреса ми излиза author/ и потребителското име? Изглежда, че всичко правя както е показано, но няма промяна и ми излиза потребителското име публично в адреса. Къде може да е проблема?

    Miroslava Camburova:

    Потребителското име admin, което също е по подразбиране и е едно и също за всички инсталации на системата, може да бъде променено. Промяната можете да извършите, чрез достъп до phpMyAdmin, през контролния панел. След като достъпите phpMyAdmin може да изпълните sql заявка за подмяна на потребителя admin с потребител siteadmin, в таблицата wp_users, в базата данни: update wp_users set user_login='siteadmin' where user_login='admin';", май че така се правеше

    Стефка Иванова:

    Присъединявам се към въпроса на Ели и констатацията на Асен Маpинов. При подмяна на псевдонима, той не се появява в лентата с адреса, а си остава потребителското име. Целта не е да се смени потребителското име пpез phpMyAdmin, а да се появява псевдонима в адресната лента, когато го сменяме от админпанела . Под статията излиза правилно, но не и в адресната лента. Има ли някой, който да е решил този проблем?

  • Може ли защитите и да утежнят сайта, както това правят антивирусите на PC? 

    Jullian Angelov:

    Може ли защитите и да утежнят сайта, както това правят антивирусите на PC? На свой ред ако той стане по бавен това ни проваля SEO-то...

    Живко Казаков:

    По прнцип - да. Но защитите са програми, кито би трябвало да се изпълняват на локалната машина на сървъра. Тъй, като интернет протокола е по-бавен от времето, необходимо на тези програми да си свършат работата, то забавянето не би трябвало да се усети много от посещаващоюият сайта.

    инж. Юлиан Ангелов:

    Благодаря! :) Всъщност отговорът беше близко до логиката, ако изходим от определението за сървърни езици и програмиране. И в такъв случай забавянето от защитите от всеки един сайт капка по капка би се отразило на общите ресурси на сървъра осигуряващ хостинга, но те не са наша грижа, а и не можем да направим нищо по въпроса. Теоретично можем да пренесам сайта си на друг хостинг при изтичане на абонаментният план, но ако поддържаме много сайтове задачата става непосилна.

  • Какво да правя сайта ми е хакнат wp?

    Евелина:

    При опит да си вляза в сайта се получава пренасочваве и страницата не може да бъде намерена. wp-admin съм го сменила преди повече от година. Стигнах до таблото през cpanel и установих, че може да се влиза само с wp-admin, има генерирани множество грешки 404, правено е налучкване с wpAdmin, wpadmin и др. На пощата си получих съобщение за промяна на два файла wp-content/uploads/GeoIP.dat
    wp-content/uploads/GeoIPv6.dat От това, което разбирам става въпрос за стар и нов IP адрес, което още повече ме притеснява. Какво да правя?

    Евелина:

    Поддържа ли се все още форумът? Има ли някой друг, освен запознаващите се с wordpress, който да отговаря на въпросите?

    Дарина Иванова:

    Всеки може да отговаря, ако знае отговора. :) Разбира се, най-вероятно авторът на курса знае най-добре проблемите с програмата. Не мога да Ви помогна, но предполагам че трябва да се установи връзка със собственика на хоста. Ако намерите контакти, пишете.

    инж. Юлиан Ангелов:

    Потърси съдействие от админите на хостинг компанията. Определено са коректни и са много отзивчиви. Хакнат сайта или не - те не могат да видят паролата, но в техни ръце е решението на проблема.


    Малко вероятно е покрай промените които правят в софтуера на сървърите да има шроблем с адресацията на сайта. Имам такъв сайт, който е правен по протокол httр:// От SuperhostingBG започнаха да преминават на протокол htрs което е централна политика на целият НЕТ. Обаче се появи проблема, че ако напиша името на сайта без нищо отпред, търсачките го откриват но веднъж го откриват като httр:// а друг път kato http://www.[името на сайта] Иначе е добре популяризиран и излиза на първите места в класията и винаги го открива, но от тогава Google Analitics губи по цели седмици от посеащемостта на сайта - явно вижда само единият адрес (вероятно http:// a не http://www.....) Но нямам проблеми нито с достъпността до сайта нито с влизането по всякакъв начин в него.

    Обади се на админите. Те са компетентни, особенно ако правилата на хостинг компанията се променят в движеие.

  • Неуспешно инсталиране на приложение - защо?

    Kr.petrova:

    Защо когато се опитам да инсталирам определено приложение, понякога е неуспешно, а съобщението, което се показва е: "Инсталацията не е успешна: Грешка при създаване на директорията."? Случвало ми се е и с контактната форма, а сега и с iThemes Security. Само от темата ли зависи, или има и друг проблем?

    Иван Цукев:

    Това може да се получи при неправилно инсталиран wordpress или проблеми с правата за писане по директориите. При такава грешка, най-добре е е да се свържете с хостинг компанията, за да може администратор да ви помогне да я отстраните.

    Kr.petrova:

    Оказа се, че наистина проблемът е в инсталацията на wordpress и след намесата на администратор от хостинг компанията (която направи инсталацията), проблемът се реши! Благодаря Ви!