Частая ошибка при создании блога в необеспечении его безопасности

Привет, друзья! Не ждите, что сейчас буду умничать и раздавать советы налево и направо, но своими выводами поделиться просто обязана, набив собственных шишек за 2 года значительно больше, чем Мишка косолапый.

Каждый человек к созданию своего первого блога подходит по-разному, и базовые знания у всех разные. Мне, например, очень помогла запись одного вебинара на эту тему. Помогла и наделать кучу ошибок, которые разгребаю уже третий год. В часовой продолжительности ролик вошла вся техническая часть по созданию блога – от А до Я. Так было удобно! Нужно плагин поставить – зашла посмотрела, как ставится, как настройки делаются. Красота! Только со временем поняла, что главное, чего там не было – не было расставлено акцентов по степени важности шагов.

Если бы такой вебинар проводила я, то первое необходимое действие, на которое бы обратила пристальное внимание слушателей – безопасность блога. Не где-то там, после раздела о том, как задержать посетителя на блоге, а именно об обеспечении безопасности. Каких только плагинов ни предлагают их разработчики, например, плагин Login LockDown, блокирующий пытающегося авторизоваться в административной панели блога. Хороший плагин, но могу сразу назвать три «но»:

  1. При установленном ограничении, например, трех попыток авторизации, где гарантия, что хакер не окажется в админке при использовании первой или второй? То есть, стопроцентной гарантии-то нет.
  2. Мы сами можем сделать несколько ошибок (бывают же глюки), и что тогда?
  3. А вот этот пункт самый главный, ради чего и пишется эта статья. У большинства владельцев блогов на вордпресс логин admin – не больше не меньше. Взломщикам остается подобрать только пароль, что значительно упрощает задачу. И вот этот шаг – смена прав администратора admin должен быть выполненным в первую очередь, как только вордпресс установлен.

Как это делается?

Первое правило перед любыми изменениями: делаем бэкап (резервную копию), это если уже блог активно функционирует, и вы знаете, как и чем это делается.

Затем в меню консоли находим «ПОЛЬЗОВАТЕЛИ – ДОБАВИТЬ НОВОГО»

Ошибки при создании блога в обеспечении его безопасности

Для нового пользователя в открывшейся вкладке придумываем немыслимо сложный набор символов для логина и пароля. Записываем в блокнот, затем водим в обозначенные поля. То, что помечено обязательным, все заполняем.

Адрес электронной почты нужен не тот, что был зарегистрирован для admin.

В поле «роль пользователя» выбираем значение «Администратор».

Выходим из аккаунта и входим под новым именем. Вошли? Значит, все в порядке. Теперь admin можно удалить, но, если записи уже есть, они могут удалиться вместе с аккаунтом. Есть вариант привязать к аккаунту нового администратора, но можно старого админа без прав и не удалять, а лишить его всех прав. Это в выпадающем меню «роли» есть. Как сделать, чтобы автор отражался в записях в понятном виде, я уже писала в этой статье.

Что можно сделать еще? Можно добавить редактора, то есть аккаунт, с которого будет проводиться публикация материалов. Делать ли это, решать каждому самостоятельно. Тогда при размещении материалов мы не увидим ничего в меню, кроме необходимого для этого действия.

И еще один важный совет при внесении изменений. Если вы используете граватар, и он связан с почтовым ящиком бывшего админа, для добавления нового пользователя лучше не использовать почтовый адрес в зане RU (с этой зоной сервис Граватар не работает!). Можно создать новый почтовый ящик, например, на gmail, а потом на Граватаре.ком добавить его в своем аккаунте.

Как выяснилось, некоторые недооценивают роль своего молодого блога в качестве площадки для размещения вирусов и проведения фишинговых атак. Даже один посетитель в день напичканного вредоносными ссылками блога попадает под угрозу заражения компьютера, кражи персональных данных, смс-мошенничества и прочей бяки..

Закладка Постоянная ссылка.

16 комментариев

  1. То-то я смотрю на моём блоге появились абракадабры. Даже испугалась, думала сайт рухнул. Ан нет. Присмотрелась, оказывается кто-то постоятнно регистрировался на сайте, а потом размещал свои так называемые статьи. Как это ему удавалось — ума не приложу. Думаю, там куча мусора была. Хотя Касперский ни разу не заругался. Я пока просто убрала возможность регистрации любого пользователя. Но чувствую, что и Мета убрать придётся полностью и пароль поменять, хотя он достаточно сложный.

    Спасибо за статью.

    • Надежда Хачатурова

      Так у Вас комментарии были через регистрацию? Я-то имею ввиду вход в админ. панель.

  2. Надежда, большое спасибо! И как раз особенно за то, что указано, что главное, а что второстепенное. И за специфическую интонацию: прочитав, я сразу берусь за дело. Хотела уточнить: а есть способ (я читала о нем на sabsait.ru) поменять имя админа и пароль через хостинг. Это действие другого рода, приводящее к тому же результату, если до «сейчас» все в порядке. Ну то есть мой вопрос — как по-вашему, можно этим ограничиться? И просто периодически менять данные через хостинг?

    • Надежда Хачатурова

      Света, это без разницы, с какой стороны Вы меняете содержание значений в папках. Если удобно через хостинг, значит, через хостинг. На новом я смелее, а на sweb все было очень заморочно, для продвинутых. Как-то одна девушка зашла туда по моей просьбе и еле разобралась, хотя она и программист, и опытный сайтостроитель. Главное — результат. Но смотрите, чтобы пароль к админке хостинга был непростой.

  3. Светлана Ранджелович

    Так, я же точно помню, что писала комментарий. Поскольку его здесь нет, вопрос — где и в чей же блог я его написана? Ой…

    Надежда, попробую еще раз. А можно просто менять имя админа и пароль через хостинг? В смысле — по эффективности это равнозначное действие (то есть если до сейчас все хорошо)?

  4. За статью — огромное спасибо, вы очень четко выразили свое отношение: что надо действовать, и немедленно.

  5. Спасибо за волшебный пинок. Даже когда все знаешь, требуется, чтобы кто-то ткнул носом в очевидные вещи. Все проделал, все сошлось.

  6. Можно ли поменять имя пользователя? Мне, думается можно: через файловый менеджер открыть файл конфиг и в нем ( помните, как устанавливался движок вордпресс, если это делали сами, разумеется) поменять имя и даже пароль. Проверить несложно — скачать на комп и придержать, на всяк случай; если в действующем поменять логин и пароль и если блог рухнет, измененный удалить, а сохраненный снова загрузить.

    • Это ответ Светлане скорее, хотя теперь мне тоже известно, как там меняются записи. Вы имеете ввиду папку config загрузить на комп? Так и делаю — для подстраховки. Спасибо!

  7. Игорь Кабакин

    Работал в нескольких компаниях, с собственными сайтами. Так логин Admin у всех традиционен)).. Как говорится, пока гром не ударит. мужик не перекрестится.

Комментарии закрыты