Как защитить свой блог, уберечься от мошенников и получить 1500 рублей от Гугла
Приветствую вас на блоге Infomehanik.ru и сегодня вы узнаете, как укрепить свой блог WordPress от хакерских атак, как не попасться на удочку интернет-мошенников и как бесплатно получить 1500 рублей от Google.
Вот и закончился июнь 2013 года, чем же он запомнился мне и каких ошибок вы можете избежать в своем инфобизнесе?
Как защитить свой блог на WordPress? История из практики
Итак, начну с того, что в начале июня один из моих блогов атаковал какой-то хакер, более двух суток он пытался подобрать пароль и логин для входа в админку моего блога.
Мой почтовый ящик был завален сообщениями от плагина защиты блога о том, что заблокирован очередной желающий пролезть во внутренности моего блога. Несколько сотен писем пришло мне на почту за эти два дня!
Хакер использовал различные ip-адреса, видимо использовал анонимный прокси-сервер. Но злоумышленнику так и не удалось проникнуть в мой блог. Я считаю, что все это благодаря тем мерам защиты, которые предпринял с самого начал создания блога и о которых сейчас расскажу вам.
Если вы новичок и собираетесь создать свой блог на WordPress или уже создали, но не знали о мерах безопасности, обязательно воспользуйтесь этими советами.
1. Меняем идентификатор WP. Если вы только создаете свой блог и еще не разместили его на хостинге, измените идентификатор всех папок с «WP-» на что угодно вам, например «AP-», «ZO-», «LV-». Этот идентификатор помогает хакерам использовать свои автоматические программы для внедрения в ваш блог.
Все папки блога начинаются с WP, например: wp-admin, wp-content. Теперь понятно?
Но делать эти изменения желательно когда вы только создаете свой блог, потом лучше этого не делать, если не обладаете навыками программирования.
Если у вас уже есть блог, а WP вы не поменяли, не расстраивайтесь, в принципе когда я создавал блог, тоже не знал про это. Этот прием лишь один из нескольких способов обезопасить блог. Перейдем к следующим фишкам.
2. Меняем стандартный логин и пароль. Как я сам убедился во время хакерской атаки, суть заключалась в подборе логина и пароля для входа в админ-панель. Поэтому, обязательно измените свой логин со стандартного «admin» на что-нибудь другое, совершенно невообразимое для других. И пусть этот логин будет не меньше 10 знаков, используйте буквы и специальные символы.
Мне было смешно смотреть, как хакер из-за своей «недалекости» пытался перебирать слова: admin, administrator, adm, support – на большее у него ума не хватило. Если бы он знал, насколько он далек от правильного варианта, наверное даже бы и не рыпнулся нападать на блог таким способом, словно кавалерист с шашкой на танк…
Пароль также должен быть не менее 15-20 символов в длину!
3. Скрыть вывод версии WordPress в коде страницы. Если у вас до сих пор в коде страницы выводится версия WordPress, например «Wordpress 3.5», обязательно уберите это из кода.
Чтобы убедиться, найдите в своем браузере в инструментах «Исходный код страницы» и откройте. Ищите обычно в первых 10-20 строчках кода. Вот так это выглядит:
4. Запретите регистрацию пользователей на блоге и уберите кнопку «Войти».
5. Установите плагин ограничения попыток авторизации. Именно этот плагин помог мне и усложнил жизнь хакеру. Я рекомендую плагин Limit Login Attempts. Установите в его настройках 3-4 попытки авторизации, после чего он должен блокировать доступ для этого пользователя. Настройте также уведомление на ваш почтовый ящик о попытках доступа а админку. Плагин кроме всего сообщает ip-адрес незваного гостя.
6. Скрываем вход в админ-панель. Доступ в вашу админку стандартно для WordPress находится по адресу: www.ваш-сайт/wp-login.php . Достаточно злоумышленнику ввести такой адрес и он попадает на вход в ваш блог, где начинает подбирать пароль и логин.
Чтобы усложнить жизнь нехорошим людям и скрыть прямой доступ к вашей админке, существуют специальные плагины, которые маскируют вход. Когда кто-то посторонний попытается ввести www.ваш-сайт/wp-login.php , то он уже не сможет попасть на эту страницу, плагин перебросит его в другое место. Для входа в админку плагин создает совершенно иной адрес, который известен только владельцу блога и где также нужно вводить дополнительный пароль.
Одними из лучших являются плагины WSecure Authentication и Better WP Securite, найдите любой из них и установите на свой блог.
Приведенные методы защиты блога на WordPress доступны даже для новичков, но они позволят обеспечить безопасность практически на 99%.
Более подробную информацию по защите блога на WP получите в курсе А.Борисова "Тотальная защита WordPress блога":
Мошенники добрались и до инфобизнесменов
Да, именно так! Мошенники придумывают всё новые способы отъема денег у нас, теперь они добрались и до инфобизнесменов.
На своем печальном опыте я хочу предостеречь вас от ошибок и убедить быть бдительными всегда.
Итак, в начале июня на мой почтовый ящик пришло письмо, которое было отправлено через форму обратной связи на моем блоге. В письме некий Роман Игнатьев предлагал разместить мою рекламу в его рассылке численностью 27000 человек, причем стоимость рекламы сразу в 3-х рассылках составляла 2500 руб. Он дал адрес своей подписной страницы, кошелек WebMoney, договорились о датах выхода, после чего он в первый день рассылку не сделал, сослался на проблемы сервиса рассылок, после чего совсем пропал и на связь больше не выходил.
Только тогда я понял, что это мошенник. До этого из-за своей загруженности я даже ни разу не подумал, что такое возможно. Других учу безопасности, а сам попался как пионер…
После этого я сразу обратился в поддержку WebMoney и сервис рассылок JustClick с просьбой заблокировать аккаунты мошенника. Хвала службе поддержки этих сервисов, аккаунты они заблокировали практически сразу и без вопросов.
Теперь мой иск рассматривается в арбитраже WebMoney, чем дело закончится пока не знаю. Но вам хочу сказать, всегда используйте сервисы безопасных сделок, таковые имеются и у WebMoney, но почему-то я сам про них забыл. Вот эти сервисы:
https://escrow.webmoney.ru/default.aspx - сервис Escrow
https://arbitrage.webmoney.ru/asp/bContract.asp - сервис контрактов
или используйте оплату с протекцией – это когда вы перечислили деньги контрагенту, но он сможет ими воспользоваться когда выполнит условие сделки и вы одобрите его.
Так, что будьте на чеку и не расслабляйтесь, особенно сейчас, летом.
1500 рублей за один комментарий!
На днях я получил письмо от Гугла (настоящее, по почте в конверте), в котором они подарили мне купон на 1500 рублей для размещения контекстной рекламы в Adwords Google. Купон нужно активировать до 31 июля.
Но я сам не размещаю контекстную рекламу в Гугле, поэтому решил подарить этот купон одному из вас, но как выбрать счастливчика?
И я решил так: кто напишет самый интересный комментарий к этой статье, тому я и вручу купон на 1500 рублей. Комментарий конечно же должен быть по теме инфобизнеса, возможно вы расскажите какую-нибудь историю из своей практике или дадите полезные советы, решайте сами, главное чтобы ваша информация принесла пользу другим.
Итак, если хотите бесплатно разместить контекстную рекламу в Гугле на сумму 1500 рублей, присылайте свои истории! Моё предложение действует до 12 июля включительно!
Спасибо, подписался, а как удалить версию Вордпресс из кода? Спасибо!
(подписан на комментарии)Спасибо за то, что поделились своим опытом.Не хотелось бы попадать в подобные ситуации, потому что как правило не знаешь как поступить и куда обратиться в данных ситуациях.Не понимаю как можно получать удовольствие от того, что ты доставляешь людям проблемы, неприятности,отнимаешь у них здоровье, тратишь их нервы, крадешь у них то, что они создали, вкладывая свою душу.Хакер - это тот же вор.Как говорится, это на их совести,хотя вряд ли эти люди знают, что это такое.Я до сих пор не приняла всех мер предосторожности.Надо внедрять, чем я и займусь.Еще раз, СПАСИБО.
Михаил, чтобы скрыть версию WordPress, в файл "functions.php" вставьте код: remove_action('wp_head', 'wp_generator');
Если нужны подробности, наберите в Гугле "как скрыть версию wordpress", увидите много ответов.
Спасибо, Андрей, всё сделал!
(подписан на комментарии)Сегодня 13 июля, как я и обещал, дарю купон от Google Adwords на 1500 рублей Татьяне Белокурской за самый интересный комментарий, пусть он не большой, но написан от души. Поздравляю, Татьяна! Промокод высылаю вам на e-mail.
Спасибо! Последний пункт я не сделал, надо срочно установить плагин. Я новичок, помогите разобраться с обратной связью. Я установил плагин Contact Form 7, всё вроде на месте, всё отображается, а сообщения не отправляются, пишет, что нельзя отправить, обращайтесь к админу. Галочка стоит на разрешить комментарии. Тема на Вордпресс.
Спасибо,Андрей! Благодаря этому купону я приобрету первый опыт по контекстной рекламе.
Yura, честно говоря с Contact Form 7 не работал, поэтому здесь что-то посоветовать не могу. В таких случаях рекомендую обратиться на форум WordPress и задать вопрос. Возможно там уже есть ответ на ваш вопрос. Либо в Гугле наберите "Contact Form 7 установка", что-нибудь и выдаст.
Я только-что попробовал сам, набрал в Гугле "установка плагина contact form 7", выдало много результатов, в том числе видео-уроки по установке!
На самом деле в Интернете есть ответы практически на все наши вопросы, нужно просто потратить время, чтобы найти нужное, главное правильно искать, используя правила поиска.
Спасибо за отклик. Мало кто помогает чайникам. Проблема решилась у хостера. Спасибо ещё раз за безопасность сайта.
Отличный пост, много нового узнал, буду применять на практике.
Андрей,
во-первых спасибо за содержательную статью.
А во-вторых, как Вы считаете, не будет последствий, если поменяете идентификатор WP так, как Вы рекомендуете в первом пункте?
Не может случиться, что WordPress потом при ближайшей актуализации не найдет дорогу к нужным объектам? Что тогда?
Благодарю за ответ
(подписан на комментарии)Вопрос конечно интересный, сразу ответить даже не смогу. Этот вопрос лучше задать специалистам
по WordPress.
Купоны имеет смысл использовать большего номинала