Меню

Защитите свой блог

мой сайт взломалиЭто скорее не статья, а просто заметка для тех, кто еще так же наивно полагает, что пароль в 27 знаков невозможно подобрать. Два дня подряд мой сайт атаковали хакеры. Мало зная о возможностях злоумышленников, пребывала в спокойной уверенности: мой сайт защищен. Однако вчера утром меня выбросило из админки Вордпресса, а пароль уже не подходил...

Перенервничала конечно страшно. Рада, что хакеры попались неумелые или не совсем злостные: ящик админа остался прежним. Запросила смену пароля, вошла в админку и сменила имя пользователя. Всем, кто пользуется до сих пор стандартным логином admin, хочу сказать: не обольщайтесь, рано или поздно вашим сайтом заинтересуются и взломают. Оказывается, это элементарно.

Рада, что у меня стоял плагин Better WP Security, жаль только что не использовала все его возможности сразу: боялась, что не смогу во всем разобраться. Теперь мне предстоит разбираться в еще более сложных вопросах: что успели сделать злоумышленники с моим сайтом, проверить на скрытые исходящие, изменения файлов...

Атаки продолжались до тех пор, пока не "закрутила гайки" плагином Better WP Security. Перенервничала страшно, поменяла пароли от админящиков Вордпресса и хостинга. Хочу посоветовать таким же наивным блоггерам, как я: позаботьтесь о полной безопасности своего блога, иначе он будет взломан рано или поздно... Обиднее всего будет потерять плод своих трудов. Но не менее опасно, если без вашего ведома кто-то будет распоряжаться сайтом по своему усмотрению.

Например, использовать для хакерских атак, перенаправлять на нужные адреса, вшивать ссылки в точки, да мало ли что они еще умеют! Опять мошенники, любители легкой наживы, подпортили настроение. Однако может это к лучшему: мне показали, насколько слабенькой была моя защита. Наверное, можно даже сказать спасибо этим людям. Возможно, они предотвратили более серьезные проблемы с моим блогом.

Любопытно, сталкивались ли вы с подобными неприятностями? И как защищаете свои ресурсы? Прошу поделиться опытом. Возможно, хорошие советы помогут не только мне. Многие мои читатели только начинают свой путь блоггера, пусть интернет нашпигован статьями "как защитить сайт от взлома", однако страх многих останавливает.

То нет времени, то слишком все заумно. Но уверяю всех, вы мигом начнете соображать, когда увидите, что сайт взломан! Опять вместо спокойной работы над статьями приходится изучать "основы". Теперь понимаю, почему все обучающие курсы твердят о безопасности блога!

Комментарии к записи " Защитите свой блог"
Оставить комментарий
  1. Вот Вам "везет", то фильтры, то атаки хакеров. По моему надо ставить блок посты как на наших дорогах. :) Но а если серьезно, то значит Ваш блог интересен, если он кому то не дает покоя и его пытаются взломать. Надеюсь что теперь Ваша защита не пропустит новых хакеров. С уважением Андрей.

    • Ох, Андрей, я два дня за сердце хваталась и сейчас еще не успокоилась. Лучше бы не было такого интереса :)

  2. У меня иногда ходят по адресам которые похожи на джумловские или ворпресные, делается это скорее всего на автомате. Есть уязвимость вот и пробуют все подряд сайты.
    Однажды попался сайт, который продавал ссылки с качественных не заспамленных сайтов, причём в открытую писали что ссылки со взломанных сайтов. Не знаю, это у них рекламный трюк или правда, я связываться не стал.

    • Бывает, продают ссылки, а бывает, прокачивают собственные сайты... За полгода наращивают приличную ссылочную массу и получают солидный трафик. За счет наивных честных граждан... Зла не хватает!

    • Надежда, а разве сейчас имеет значение ссылочная масса на количество трафика?

    • Ольга, смотрю что другие говорят и проверяю на своем многострадальном сайте. Я сделала вывод, что ссылки необходимы. Только вот нужно заботиться об их качестве и естественности. Иначе накажут, жестоко накажут. Особенно за плохие исходящие. Это точно! А что говорит Ваш опыт? Ведь он гораздо интереснее :)

  3. Да уж Вам не позавидуешь. Остается сказать только одно, держитесь!

    • Спасибо, Андрей! Мне очень приятна Ваша поддержка. Даже тепло так стало на душе. Правду говорят, что блоггеры — большая дружная семья :)

  4. Прочитав эту статью задумался. Наверное мне стоит заняться более коварными способами защиты.

    Надежда, кроме плагинов и паролей, есть много других способов защиты. У меня на блоге есть статья, она так и называется "Защита WordPress". Если надо, могу скинуть ссылку на нее.

    • Алексей, спасибки! Я знаю, как ее найти. Нужно срочно усилить защиту, хакеры не унимаются. Одна проблемка: именно сейчас времени на все это вообще нет! Сезон продажи рассады, покушать некогда! А тут хакеры нападают, засранцы :)

    • Да уж, эти нехорошие люди, постоянно суют свой нос в неподходящий момент. Хотя , какой тут может быть подходящий момент?

    • Точно! Самый подходящий момент — если вообще такого не будет. Но пока нет возможности наказывать таких людей, они будут безнаказанно промышлять и зловредить :(

  5. Да уж, опять новые приключения) Главное не потерять доступ от почты или хостера. Взломали, да взял откатился, залатал дыры. Не переживайте Надежда, сохраняйте трезвость ума, все будет хорошо)

    • Игорь, конечно все это решаемо. Но я ужасный паникер, действительно всегда нужно отключать эмоции, когда требуется решать проблему. К своему стыду, признаюсь, что бекап еще не делала и тоже боюсь сделать что-нибудь не так. Хотя казалось бы: ну что тут сложного перезалить файлы? :) Вообщем, как говорится, есть проблема — реши ее. А хакеры не оставляют своих попыток входа, плагин постоянно блокирует разные IP. Кошмар какой-то, ну как от них избавиться?

  6. Да. О безопасности нужно помнить каждому блогеру. Многие очень скептически к этому относятся и думают, что такие неприятности их не коснуться. Я тоже об этом задумаюсь..
    Спасибо, за вполне оправданную панику. :)

  7. У меня хоть и стандартный логин - admin, но хостинг все предусмотрел, и вход в админку происходит не по стандартному адресу, т. е. не просто блог/admin. Макхост предупреждает о возможных атаках хакеров и предлагает альтернативный вариант входа в админ-панель.

  8. Да, Вы раскрыли проблему, над которой стоит задуматься каждому блогеру. Я тоже, пожалуй, поищу более подробную информацию на эту тему.

  9. Да..., бывает. В защите нужно быть максимально подкованным, мой блог тоже пытались взломать. Обязательно почту блога привязывать нужно к номеру телефона.

    • Это обязательно. Только если ящик взломан, номер телефона могут поменять, вот в чем фишка...

    • При смене телефона в почте приходит согласие в виде смс на старый номер вроде как.

    • Если так, тогда хорошо :)

  10. Проблема многих новичков как раз в этом, мало уделяется внимания безопасности. У вас хотя бы пароль был длинный,а многие же вообще сильно не замудряются, год рождения свой к примеру указывают и все

  11. Я вам очень сочувствую! Делаю сейчас сайт на Joomla, срочно после вашей статьи поменяла имя "admin" на более мудреное. Вот ведь не думала, что такие обычные сайты взламывают, казалось, только базы данных Пентагона;) Оказывается, враг не дремлет))).

    • Сегодня поинтересовалась, чей IP моего хакера, оказывается украинский, из Харькова. Причем о нем есть информация в сети, что взламывал он и другие сайты! Вот он: 176.102.38.74 Собираюсь забанить все эти IP, что меня атакуют, через файл .htaccess, надо только выделить время для спокойной работы.

    • На меня тоже "нападали" из Харькова, кто-то в моем родном городе не дремлет. А я думала, что это кто-то из знакомых мне мстит, что в детстве не угостила конфеткой :) Оказывается, это было совпадение...

    • Я оторопела, когда прочитала на другом сайте об атаках с того же IP, что "штурмовал" меня... Видимо, это чей-то хлеб — взламывать сайты и вешать на них ссылки.

  12. Да уж, неспокойная жизнь у блогера!
    я периодически меняю пароль
    У меня одно время была проблема - оставляли отзыв к статье в виде китайских иероглифов, я ввела капчу, а все-равно атаки продолжались.
    пришлось закрыть возможность оставлять комментарии к статье

    • Анна, почему Вы не используете плагин Akismet? Он легко справляется со спамом. Если честно, капча здорово раздражает, когда оставляешь комментарий.

  13. Спасибо за подсказку, Надежда.
    Обязательно проверю - стоит ли такой плагин на моем сайте.
    И проверю его в действии, особенно на одной статье, к которой оставляли сообщения-спам

    • Акисмет отправляет в папку спам все спамные сообщения, независимо от того, к какой статье они оставлены :)

  14. О, у меня тоже была такая "красота"! Обнаружилась в ноябре прошлого года, когда мой сайт попал под АГС Яндекса. Свыше 1500 исходящих ссылок на какой-то левый форум...Тогда программист помогла, все это зачистила. Потом еще была DDOS атака в конце января этого года, опять же помогла программист, однако, пришлось перейти на другой хостинг. На днях опять было подозрение на взлом сайта, пришлось снова обратиться к программисту, правда, другому. Он сказал, что взлома не было, но поставил еще какую-то защиту в виде дополнительной авторизации. Так что такие ситуации происходят время от времени. Хакеры не дремлют!..

    • Уф, мне даже стало легче, что не только мне достается. Значит, просто следует позаботиться о безопасности блога и спокойно работать.

  15. А что делает этот плагин Better WP Security?

    • С его помощью можно удалить id1 админа, поменять логин, сменить адрес админки, ограничить число попыток входа, включить обнаружение 104-вторжений, защитить логин от перебора и многое прочее. Но даже этот плагин не способен защитить блог полностью. Немного позже мой блог взламывали какой-то программой, под разными ip пытались войти по 4-6 раз в секунду! Помог только запрет через .htasses для всех ip, кроме моего, в доступе к админ-файлам.

  16. Надежда, Вы прямо продвинутый хакер! Как сделать этот самый запрет через htasses для всех ip?

    • Этот способ подходит в том случае, если у Вас статический ip, если динамический — тогда не стоит прописывать запрет. Я Вам отправлю ответ на почту, в комментариях не отобразятся коды.

  17. Надежда!
    Серьезное напоминание для всех. Спасибо за статью.
    Я все собиралась какой-нибудь плагин установить. Все думала. что это лишнее на молодом блоге.
    Установила и пытаюсь настроить теперь этот плагин защиты.

    • Да, Софья, плагин хоть немного защитит блог. Позже мне пришлось применять более серьезный арсенал: через .htasses запрещать доступ в админку всем ip, кроме моего.

  18. Интересно Надежда, как вы запретили в .htasses доступ в админку всем ip, кроме вашего. У вас нет статьи на эту тему. Спасибо.

    • Это довольно просто. В интернете есть статьи на эту тему. Но если нужно, я могу написать статью о запрете доступа через ip.

  19. Надежда, конечно напишите. С удовольствием прочитаю инструкцию. Тем более, что вы понятно объясняете. Буду ждать=)

  20. Спрятал админку, закрыл XML-RPC, запрет на изменение системных файлов WP, закрыт FTP, SSH. Регулярно проверяю логи сервера, особо настойчивых в "баню" по IP Стало почти тихо)

  21. Проблема защиты сайта, тем более на известном движке, будет существовать всегда. И, поверьте, если зададутся целью взломать, то взломают. Вот поэтому и перевел сайт с джумлы на самописный движек. Ради развлечения оставил в структуре сайта основные папки популярных движков и отлавливаю слишком любопытных на карандаш. В основном китайцы шалят.
    А чтобы не нервничать - делайте бэкапы по пятницам =)

Здесь вы можете оставить отзыв

* Текст комментария
* Обязательные для заполнения поля

Внимание: все отзывы проходят модерацию.