Ваш IP: 54.92.197.82

Главная » Защита сайта

Защита сайта

Хочу познакомить Вас с некоторыми фактами из собственного опыта. Возможно, что это кому-то пригодится. Хотя все описанные действия лучше сделать всем. Это поможет предотвратить попытки взлома Ваших сайтов.
Теперь всё по порядку. Мой сайт находится на платном хостинге Интернет Хостинг Центр. Хостинг очень хороший и в плане тарифов, и в плане техподдержки. Техподдержка без помощи никогда не оставит. В моём тарифном плане предусмотрена допустимая нагрузка для CPU: 43, для MySQL: 500. Этой нагрузке вполне достаточно для сайта с посещаемостью 500-600 хостов в день. Нормальная нагрузка будет в пределах 18-38.

По началу всё было нормально. Я даже понятия не имел о значениях этих цифр. Но в один день пришло письмо с предупреждением о превышении допустимой нагрузки. Поскольку я в этом ничего не понимал, задал им вопрос — из-за чего это и что делать? Ответ пришел быстро — посмотрите Log-файлы.... Если бы я еще знал где их искать.

Покопавшись в админке я их всё-таки нашел. А толку.....посмотрел да и только. Пишу опять вопрос, поскольку ничего не понимаю — а что там смотреть? В ответ — Ваш сайт пытаются взломать. Пришлось разбираться с логами. Увидел в логах очень много POST-запросов с одного IP-адреса. Все запросы шли ко входу в админку сайта, т. е. ссылки выглядели так: http://вашсайт/wp-admin/login

 

 

Для начала я заблокировал этому IP вход на сайт в файле .htaccess. После этого пошли атаки с другого адреса. В общем всё это продолжалось в течении 3-х дней. Все адреса блокировались. Пришел совет от хостера заблокировать вход в админку всем IP-адресам, кроме своего. Сейчас рассмотрим как это делается.

Необходимо в файле .htaccess прописать следущее:

<Files wp-login.php>

order deny,allow

deny from all

allow from хх.ххх.

</Files>

Вместо иксов прописываете свой IP-адрес. Если у Вас постоянный адрес, то пишите его полностью, а если динамический, то лучше записать только две первые цифры.

Для усиления защиты необходимо дополнительно защитить папку wp-admin. Для этого необходимо в этой папке создать файл .htaccess. Принцип такой же, запретить вход в папку всем IP-адресам, кроме своего. В самой папке wp-admin файла .htaccess нет, поэтому его нужно создать в простом блокноте, где напишите следующий сценарий:

<LIMIT GET>

order deny,allow

deny from all

allow from хх.ххх.

</LIMIT>

Вместо иксов пропишете свой IP-адрес. Сохраняя файл не забудьте написать его название - .htaccess. Теперь остаётся загрузить этот файл в папку wp-admin.

После всего проделанного большие нагрузки на сайт пропали. Можно еще добавить к защите сайта смену логина и пароля для входа в админку, смену префикса таблиц в базе данных

Защита сайта обновлено: Октябрь 16, 2013 автором: admin