Попытки взлома блога
2023
Безопасность вашего блога намного важнее чем написание постов каждый день. Вообще безопасность, это то, о чем вы постоянно должны думать. Ведь, кто то сейчас сидя за монитором своего компьютера, в данный момент пытается подобрать пароль к вашему блогу, скайпу, аське либо почте. И это совсем не навязчивая идея или восполненный мозг автора, это реальность. Вы должны понимать, что чем популярной вы, чем более знамениты, тем больше соблазна у мошенников.
После переезда на новый хостинг и чистки моего блога от разных левых файлов, о чем я писал вот в этом посте. Уже через неделю мне сообщил Антон, что кто то постоянно пытается подобрать пароль к блогу. Просто, происходит подбор типа логин-пароль.
Я зная, что пароль надежный у меня, не сильно забеспокоился, но все равно предпринял меры дополнительной безопасности. Установил плагин, по совету того же Антона, который после нескольких неудачных попыток авторизации, отправляет ip в бан на определенное количество часов. Причем, все это настраивается в самом плагине, как и количество попыток, так и часы бана, которые могут быть от одного часа до бесконечности. Ну и плюс ко всему, вы получаете на почту уведомление о попытке, а вернее о не удавшейся попытке авторизации. Так же сам плагин ведет запись лога, в котором вы увидите, айпи, логин с которым пытались авторизоровать на вашем блоге, а так же количество попыток и на сколько времени произошел бан.
Имя этого плагина Limit Login Attempts. Конечно решать вам, но все равно советую поставить его на ваш блог.
А вообще, все данное, что твориться еще раз заставило меня пересмотреть мою политику безопасности как и самих паролей так и проектов, емаил адресов и прочего. Поэтому конец этой недели, и вся следующая пройдет в смене паролей, дополнительной безопасности по заранее спланированному плану.
Компьютер:
- Смена пароля при в ходе на компьютер
- Чистка компьютера от лишнего софта
- Переустановка Windows (просто настало время, поставить чистую винду)
Почта:
- Смена паролей (последний раз менялся пароль 2 года назад)
- Двухэтапная аутентификация, которая помогает защитить аккаунт пользователя от несанкционированного доступа. Даже если злоумышленнику каким-либо способом удалось узнать пароль, он не сможет войти в аккаунт без кода подтверждения, который направляется только на мобильный телефон владельца аккаунта.
Социальные сети:
- Смена паролей
Сайты и домены:
- Смена паролей в админке
- Смена паролей на FTP
Облачные сервисы:
- Смена паролей
- Двухэтапная аутентификация
- Хранение файлов паролей и прочей важной информации
Вообще, надо взять за правило менять пароли раз в 4-6 месяцев. Особенно, от таких сервисов как Gmail. Именно к почте у меня, да и у многих думаю привязано много как и сервисов, так прочих вещей. И потерять аккаунт, это не приятно.
По безопасности сайтов и блогов, могу только посоветовать почитать информацию на разных сайтах про WP, друпал прочее. Там найдете нужную информацию, а так же способы и советы как защитить свои данные и свое сайты.
Ну и теперь интересно ваше мнение. Как и как часто вы меняете пароли, что делаете при атаках на ваши проекты? И на каком месте вообще у вас безопасность ваших блогов?
Похожие посты:
Как-то раньше не задумывался о том, что wordpress не блокирует компьютеры с неудачными логин-паролями. Придется тоже ставить плагины на свои сайты.
Ну а на почту советую сделать привязку через телефон.
FTP можно и отключить (при редактировании файлов на сервере через хостинг панель делать временного пользователя FTP, после окончания работ — удалять).
Кстати есть чудо-файл (.htaccess), в котором можно сделать доступ только для своего IP. В Хостинг-панели тоже можно сделать блокировку, поставив доступ только для своего IP.
Странное дело, Кирилл…
Один из моих блогов стал получать с Вашего сайта трафик просто за счёт того, что я не поленился указать сайт в соответствующем поле перед текстом комментария (несколько посетителей, и тем не менее, спасибо большое).
И буквально через пару дней сайт начали штурмовать. Причём, как-то топорно. Тот, кто это делал, даже не мог подобрать ник администратора (здесь надо сказать, что при установке WordPress) лучше всего установить какой-нибудь другой ник вместо «Admin»).
Слава богу (реально, иначе не скажешь), что Limit Login Attempts я поставил ещё с месяц назад.
В общем, я до сих пор получаю ежедневно пару писем о том или ином заблокированном ip (все ip, разумеется, левые).
Если позволите, я добавлю пару советов к Вашим:
1. Никогда не стоит думать, что маленький сайт не интересен. У меня посещаемость — всего 10-15 человек в день, и тем не менее — гляди ж ты… ))
2. Обязательно поставить Limit Login Attempts, как и рекомендует автор, тем более, что плагин нереально просто в настройке.
3. Обязательно при установке WP поменять ник с Admin на что-то другое (только не на member, author и т.д., потому что такие ники пытаются подобрать в первую очередь).
4. Обязательно отключить в настройках темы отображение автора поста — просто от греха подальше, чтобы ваш ник не знали заранее.
5. Сложный пароль, который легко запомнить. Например возьмём фразу who likes coffee? и напишем её так: «vvh0_1ikesc0ff33?». Вы запомните легко, а вот враг подбирать запарится ))
6. Всегда (!) обновлять все свои плагины и темы до последней версии, ибо нередко новая версия выходит из-за обнаружения (и оглашения) дырок в старой.
7. В дополнение к предыдущему пункту добавьте плагин Secure WordPress — очень мощный и малозаметный плагин, который скроет все данные о версиях ваших тем, плагинов и самой WP — и это, поверьте, меньшее, что он может для Вас сделать.
8. Опционально можно поставить антивирусы для WP, но тут такая проблема, что многие из них на каждый чих реагируют.
Вот )))
Очень много слов, просто тема для меня с неделю как очень актуальна ))
Правильно сделали, а то вдруг какой-нибудь идиот всё-таки подберет пароль. А если он это делает не 1 час, а несколько дней, то намерения у него очень плохие.
Все может произойти, но только не у нас — вот главная отговорка. Случайно заглянул, и как во время. Спасибо за напоминание. Надо, надо выставлять защиты разных уровней. Чем быстрей, тем лучше .
С каждым днем развития интернет — проектов вопрос о безопасности компьютера и своего блога становится все актуальней. Сначала достают СПАМеры, затем ломают все что можно в соцсетях. Однажды проснешся, а у тебя блог забанен ПС из-за вирусов, а может быть совсем увели. Печально, но факт. Придется завести себе «напоминалку», как приведенная здесь, и выделить «санитарный» день — раз в квартал, для своей же «производительности».