Хочу познакомить вас с некоторыми фактами из собственного опыта. Возможно, что это кому-то пригодится. Хотя все описанные действия лучше сделать всем. Это поможет предотвратить попытки взлома сайтов.
Теперь всё по порядку. Мой сайт находится на платном хостинге. Хостинг очень хороший и в плане тарифов, и в плане техподдержки. Техподдержка без помощи никогда не оставит. В моём тарифном плане предусмотрена допустимая нагрузка для CPU: 43, для MySQL: 500. Этой нагрузке вполне достаточно для сайта с посещаемостью 500-600 хостов в день. Нормальная нагрузка будет в пределах 18-38.
По началу всё было нормально. Я даже понятия не имел о значениях этих цифр. Но в один день пришло письмо с предупреждением о превышении допустимой нагрузки. Поскольку я в этом ничего не понимал, задал им вопрос — из-за чего это и что делать? Ответ пришел быстро — посмотрите Log-файлы…. Если бы я еще знал где их искать.
Покопавшись в админке я их всё-таки нашел. А толку…..посмотрел да и только. Пишу опять вопрос, поскольку ничего не понимаю — а что там смотреть? В ответ — Ваш сайт пытаются взломать. Пришлось разбираться с логами. Увидел в логах очень много -запросов с одного IP-адреса. Все запросы шли ко входу в админку сайта, т. е. ссылки выглядели так: http://вашсайт/wp-admin/
Для начала я заблокировал этому IP вход на сайт в файле .htaccess. После этого пошли атаки с другого адреса. В общем всё это продолжалось в течении 3-х дней. Все адреса блокировались. Пришел совет от хостера заблокировать вход в админку всем IP-адресам, кроме своего. Сейчас рассмотрим как это делается.
Необходимо в файле .htaccess прописать следующее:
| 1 2 3 4 5 6 7 | <Files wp-login.php> order deny,allow deny from all allow from хх.ххх. </Files> |
Вместо иксов прописываете свой IP-адрес. Если у вас постоянный адрес, то пишите его полностью, а если динамический, то лучше записать только две первые цифры.
Для усиления защиты необходимо дополнительно защитить папку wp-admin. Для этого необходимо в этой папке создать файл .htaccess. Принцип такой же, запретить вход в папку всем IP-адресам, кроме своего. В самой папке wp-admin файла .htaccess нет, поэтому его нужно создать в простом блокноте, где напишите следующий сценарий:
| 1 2 3 4 5 6 7 | <LIMIT GET> order deny,allow deny from all allow from хх.ххх. </LIMIT> |
Вместо иксов пропишете свой IP-адрес. Сохраняя файл не забудьте написать его название — .htaccess. Теперь остаётся загрузить этот файл в папку wp-admin.
После всего проделанного большие нагрузки на сайт пропали. Можно еще добавить к защите сайта смену логина и пароля для входа в админку, смену префикса таблиц в базе данных.
Дополнительная защита сайта
Возникла необходимость установить дополнительную защиту на сайте. Можно воспользоваться двумя вариантами:
- 1. Запретить доступ к файлу wp-login.php всем IP адресам, кроме своего,
- 2. Блокировать доступ к файлу wp-login.php отдельным IP адресам.
Первый вариант идеально подходит тем, у кого IP адрес статический, т.е постоянный, а вторым вариантом можно пользоваться как со статическим так и с динамическим IP адресом.
Опишу немного ситуацию, которая потребовала поставить еще дополнительную защиту для сайта. Наблюдая за действиями посетителей сайта в лог-файле, я заметил очередные попытки доступа к файлу wp-login.php. Конечно же я этот IP адрес сразу заблокировал.
Проверил через час, а он всё равно с упорным постоянством «стучался» в админку сайта. Написал в техподдержку хостинга об этом случае. Ответ пришел быстро. Техподдержка написала, что они и со своей стороны заблокировали этот адрес и еще посоветовали поставить дополнительную защиту для сайта. Вот об этом и хочу рассказать.
Всё делается очень просто. Нужно создать и загрузить в корень сайта файл .htpasswd Сделать это можно двумя способами: создать пустой файл в блокноте, назвав его .htpasswd и загрузить его в корень сайта или если у Вас на хостинге имеется функция «Создать новый файл», то можно этой функцией воспользоваться. В итоге у Вас в корне сайта будет находиться файл .htpasswd, пока он будет пустой.
Теперь необходимо воспользоваться онлайн сервисом Htpasswd Generator, где вы сгенерируете для себя специальный код. Там Вам необходимо только указать желаемые Имя пользователя и Пароль. Получите небольшой зашифрованный код, который вставьте в ранее созданный файл .htpasswd
Теперь перед входом в админ-панель сайта у Вас сначала откроется такое окошко:
В поля вводите Имя пользователя и Пароль, которые Вы вписывали при генерации кода. Конечно же это не остановит хакеров, но мелких вредителей задержит!!!
Это еще не всё. В дополнение к этому надо в файле .htaccess прописать следующие строки:
| 1 2 3 4 5 6 7 8 | AuthUserFile .htpasswd AuthName "Private access" AuthType Basic <FilesMatch "wp-login.php"> Require valid-user </FilesMatch> |
Всё это вместе и будет дополнительной защитой вашего сайта.
Статья была полезной?