SEO блог о создании и продвижении сайтов
Главная     SEO блог о создании и продвижении сайтов    Wordpress     Нагрузка на WordPress при взломах. Защищаемся.

Нагрузка на WordPress при взломах. Защищаемся.

Несколько дней назад, мне позвонил один из клиентов и пожаловался в том, что сайт очень тормозит и на открытие страницы и при входе в админку. У него время обновления страницы доходило до 7 минут.

Тут нужно упомянуть, что сайт я делал ему на WordPress и время от времени заходил, наворачивал функционал или чего-то правил по мелочи. Сходил посмотрел, действительно — тормозит страшно. И это при посещалке 100 уников в сутки и суммарно 500-600 просмотрах.

Пост писался под музычку
club musik

Полез в логи хостинга и что я вижу? Вот такая картинка:

Лог подбора пароля - брут wordpress

С интервалом меньше секунды кто-то остервенело ломает WordPress самым обычным методом — подбор пароля (брут). От таких нагрузок сайт просто падает и тормозит. Ни о посетителях, ни о нормальной индексации поисковиками в таком случае говорить не приходится.

Теперь о главном:

Как обезопасить сайт на WordPress от взлома?

  1. Никогда не используйте логин admin (дается по умолчанию при установке). Практика показывает, что обычно брут идет именно по логину по умолчанию, с небольшими вариациями.
    Вот Вам для примера лог блокировок IP этого блога:
    log-seoshnic.ru:-) да, меня постоянно ломают. Вот только над защитой работают не только плагины блога, но и умничка хостинг, который не только бэкапит всё, но и постоянно проверяет на уязвимости и подозрительный код (при обнаружении оного, блокирует файлик, а мне письмецо кидает), но не об этом сейчас.Если у Вас заведен логин по умолчанию, не расстраивайтесь. Создайте нового пользователя со сложным паролем 10-12 символов и не стандартным логином. Залогинтесь под ним и удалите старого пользователя — вот и всё.
  2. Дабы не развязывать всяким козлам руки — будем блокировать попытки подбора пароля плагином Limit Login Attempts — сложного в нем ничего нет, устанавливаем через админку и активируем. Плагин имеет русскую локализацию и прост как пять рублей. Вот как выглядят настройки:
    Ограничение попыток авторизации на WordPress, плагин
    Это плагин следит за попытками авторизации и если количество попыток превысило установленный лимит — производится изоляция по IP адресу, блокировка от попыток… подбора пароля. Отдается 404 ошибка и нагрузка спадает. Всё просто.
  3. Если Ваш хостинг не делает бэкап — бэкапте сайт самостоятельно. Как минимум файлы темы и БД. Плагинов для этого достаточно много — Google Вам в помощь.
  4. Следите за изменением файлов на хостинге. В этом Вам поможет плагин WordPress File Monitor, который предупредит Вас о том, что какие либо файлы на хостинге были изменены. Выглядит он так:
    WordPress File Monitor - ностройкаЛокализации у него нет, а может я плохо искал, поэтому кратенько о настройках:
    Dashboard Alert — вывод сигнализирующего сообщения на лицевой странице консоли;
    Scan Interval — интервал сканирования. У меня стоит один час, но можно и больше поставить, меньше не рекомендую.
    Notification Format — формат оповещения на почту (краткий или детальный). Используйте детальный.
    Exclude Paths — исключенные директории, которые не надо сканировать (к примеру директорию кэша, если Вы используете кэширование на сайте)
    Остальные настройки прозрачны.

Вот собственно и все заморочки — работы на 5-7 минут, но это обезопасит Ваш сайт или блог от взлома и излишней нагрузки.

На сегодня всё. Готовимся к конференции AllInTopConf — осталось 6 мест по льготной цене 6 500 р. — скидка 3 400р .

Обсуждение: 7 комментариев
  1. Сергей:

    Спасибо за плагины. Пошел ставить )

  2. Аааааа, вот про имя admin я всегда забываю. Спасибо за подсказку, нужно срочно поменять на нормальное.

  3. Один из моих блогов как то тоже взломали, не мог найти в поиске свой авто блог. Пришлось зайти через панель управлением хостингом. Зашел и остолбинел, все темы с блога были удалены, в панели пользователя имя кокого то придурка с почтой стояло, как я был сердит. Удалил того придурка, потом наводил порядок.Недавно установил плагин Login LockDown на своих блогах. теперь за безопасность не беспокоюсь. Мне этот плагин понравился тем, что если 5 раз набираешь неправильно пароль то тебя блокируют на 60 минут, Это полная защита от всяких плохих людей. Всем советую этот плагин.

  4. RomanZmeu:

    Спасибо. пригодилось для моего блога

  5. Игорь Владимирович:

    У меня блог ломали 4 раза — каждый раз блог в несколько раз превышал лимит нагрузку на сервер. Обраруживал после этого копии форума. Потом надоело загружать либо потому что поменял адрес входа в админку

  6. NC:

    Может проще использовать .htaccess для ограничения входа в админку по IP? И все заморочки с плагинами не будут нужны.

  7. У меня, как и у многих — динамический IP — использовать .htaccess для ограничений совсем не вариант.

Ваш комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

Отправляя сообщение, Вы разрешаете сбор и обработку персональных данных. Политика конфиденциальности.