Сегодня уже весь мозг себе выела, который перед этим — расплавился от неимоверных усилий напрячь думающую серую массу. Перед моими серыми клеточками стоит задача — выполнить советы по безопасности блога.
Никак она — эта серая масса — в направлении технических премудростей напрягаться не хочет — вот хоть плач...
На всякий случай, я, всё-таки, попрошу у всех прощения и не поминайте лихом. Если не увидимся.
Иду исправлять баги... Почти, как на войну!
А вам, уважаемые читатели, предлагаю ознакомиться с тем рецептом, который поверг меня в ужас. Может, и вам поможет... Жанна создала на основе моей темы тестовый сайт и провела ряд экспериментов. Знакомьтесь с результатами.
Передаю слово Жанне Лире.
Пока мы с Галиной разбирались с шириной текстового поля в ее блоге, я заметила дыру в безопасности блога:
если открыть запись в блоге, к которой есть комментарии автора этой записи (по совместительству — зарегистрированного пользователя блога), то в информации к его комментарию написано имя пользователя, то есть то, что вы пишите в поле «Имя пользователя», когда входите в админку своего блога.
В продолжение теста я создала нового пользователя с правами администратора, вышла из админки и зашла снова под именем созданного пользователя, удалила прежнего пользователя, передав все записи новому.
В результате этих действий в исходном коде в информации старых комментариев перестало отображаться имя пользователя. Что естественно, ведь пользователя с таким именем в блоге больше нет.
Теперь новый администратор и он же — новый автор всех записей в блоге (ведь при удалении прежнего пользователя его записи были переданы новому пользователю) оставляет свой комментарий к одной из записей, будучи залогиненым (из админки или со страницы со статьей) и — вуаля — его имя пользователя снова в информации комментария в исходном коде.
Советы по безопасности блога и решение проблемы:
Шаг первый — зайти в gravatar.com со своим электронным адресом, который указан у вас в информации пользователя сейчас, добавить новый электронный адрес, привязать к нему ту же картинку.
Шаг второй — создать нового пользователя в блоге с правами администратора, используя тот адрес, который добавили в граватар.
Шаг третий — удалить прежнего пользователя, передав все записи новому.
(смотрим картинку выше «Удалить пользователя»)
После этого шага в исходном коде старых статей из информации комментариев исчезнет упоминание вашего прежнего имени пользователя.
Шаг четвертый — принять решение, что делать дальше.
Тут есть два пути.
Путь первый — отвечать на все комментарии, не будучи залогиненым.
Например, вы вошли в админку блога в браузере Гугл Хром, а отвечаете на комментарии, как обычный читатель, со страницы статьи в браузере Интернет Эксплорер.
В этом случае вы можете:
а) вернуть прежний электронный адрес своему пользователю в профиле, если вам удобнее его использовать.
б) использовать то же имя и тот же электронный адрес, что и в профиле пользователя, в своих новых комментариях.
в) удалить второй адрес из профиля граватара (его добавляли для того, чтобы читатели не видели ваших действий по удалению и созданию пользователей по изменяющимся аватарам).
Путь второй — создать пользователя, из админки которого вы будете только отвечать на комментарии.
Этот пользователь не должен обладать правами администратора, потому что тогда теряется смысл в его создании (а смысл в том, чтобы в исходном коде не было видно логина (имени пользователя администратора сайта).
Если сделать этого пользователя с правами редактора, то от его имени можно будет публиковать статьи и (или) отвечать на комментарии.
Когда этот редактор будет комментировать статьи в блоге из админки блога, в информации комментария в исходном коде будет его логин (имя пользователя).
Причем, не важно, будут ли это его статьи или статьи, опубликованные от другого зарегистрированного пользователя (не буду больше утомлять вас скриншотами исходного кода, но соответствующий тест я тоже провела).
Если злоумышленник подберет к нему пароль, он не сможет удалить пользователя с правами администратора или создать нового пользователя, но сможет удалить навсегда все записи и все комментарии.
Создавать второго пользователя с правами автора (на ступень ниже, чем права редактора) нет смысла, потому что такой пользователь не может отвечать на комментарии из админки.
Для себя я выбрала первый путь, потому что он мне кажется проще.
Как просмотреть исходный код страницы:
В браузерах Гугл Хром и Интернет Эксплорер — клавиши Ctrl+U на открытой странице, код которой нужно увидеть. Другими браузерами не пользуюсь, но там точно будет где-то ссылка «просмотреть исходный код» (или что-то похожее) в настройках или опциях, либо можно попробовать ту же комбинацию клавиш.
Надеюсь, что эта статья поможет Вам разобраться с безопасностью вашего блога. А я пошла под холодный душ — голова, словно кратер вулкана, а сделала всего два первых шага...
Выражаю искреннюю благодарность моему спасителю Жанне. Чтобы вы поняли, насколько она терпеливый человек привожу нашу переписку:
Я:
— А как сделать выход...не вижу кнопки. Только возле комментирования? И я попаду потом на блог?
Жанна:
— В админке подведите курсор к имени справа вверху в углу, выпадет меню, где будет слово «выйти».
Если запомнили имя и пароль нового пользователя, то, конечно, войдете. Если не запомнили, то не войдете в новый профиль, но можете вернуться в старый и на панели пользователей изменить данные в новом пользователе.
Я:
— Удалила!!! Чуть не умерла от страха!!! И связала!
Жанна:
— Поздравляю! Теперь вы знаете, что это не сложно 
Теперь вы понимаете, какой подвиг совершила я под руководством Жанны. Поверьте, если я смогла выполнить советы по безопасности блога - вы точно справитесь — ведь у меня почти физическая аллергия на технические моменты.
Жанна, этот виртуальный букет Вам от имени всех нас — читателей и почитателей — благодарим, благодарим, благодарим!!!
Дорогие читатели и мои друзья, я всегда с большим интересом читаю все ваши комментарии к моим статьям. Если статья вам понравилась, оставьте, пожалуйста, свой отзыв. Ваше мнение очень важно. Это позволит сделать блог более интересным и полезным.
Буду вам признательна, если вы скажете «Спасибо». Сделать это очень просто. Нажмите на кнопки социальных сетей и поделитесь информацией с вашими друзьями.
И не забудьте понравившуюся статью добавить в закладки.
Если вам важно не пропустить новую полезную статью — предлагаю заполнить форму подписки — я один раз в неделю буду отсылать вам анонсы новых постов на моём блоге.
Если хотите...
С Любовью и теплотой к вам, Галина Нагорная
<<<все статьи здесь>>>
Жанна, я правильно поняла? Поменяла пользователя, удалила предыдущего, его права перевела на себя и комментирую теперь с другого браузера, не залогинена на свой блог?
Если неправильно я поняла — подскажи, плиз... Благодарю заранее.
Да, все правильно, Галина.
Если вы используете для комментирования тот же электронный адрес, что указан у вас в профиле пользователя в блоге, то если вы отредактируете собственный комментарий, он сохранится уже как комментарий пользователя, т.е. в исходном коде появится имя пользователя.
Я решила для ответов на комментарии в собственном блоге использовать один адрес, а в профиле пользователя написала другой, тогда я могу редактировать свой комментарий без последствий — он сохранится, как и был, комментарием «стороннего читателя», а не пользователя.
Извините, если я не очень понятно объясняю, сегодня был сумасшедший день, поэтому мой мозг уже отключается и впадает в спячку
Если будут какие-то вопросы, я смогу ответить, скорее всего, только в воскресенье вечером — заранее предупреждаю, на случай, если кому-то еще будет что-то непонятно во всей этой истории с именем пользователя.
Если вдруг, все такие «умные», как я — предлагаю почитать ещё подобную тему на блоге Анжелики. Она мне вчера в шапке такой красивый эффект сахарной изморози сделала — загляденье!!! Оцените буквы сами — в шапке!
Ссылка на статью «Как изменить логин admin при входе в WordPress» delaisaity.ru/reshenie-pr...ode-v-wordpress/
Вот когда обе эти статьи почитать, то даже такой грамотей, как я — что-то начинает кумекать... Короче, я всё сделала!!!
Галина, ты умна, а я еще «умнее», мне таких подвигов вообще не осилить, от греха подальше буду на комментарии у себя в админке отвечать, чтобы не нарываться. или я вообще неправильно поняла?)))
Я дала ссылку на статью Анжелики в комментарии выше — там более доступно написано. Пользователя надо поменять — ведь могут взломать блог... От этого никто не застрахован!
Это просто сделать — Жанна немного сумбурно объяснила... И эти страшные скрипты такой ужас навевают!
Анжелика по-шагово Вас проведёт — я плохого не посоветую...
Очень полезная информация! Ну, а для тех, кому не посилен данный урок, хочу посоветовать усилить свой пароль. Знаков эдак до 15 и с различными символами,знаками, цифрами и буквами. Это на первых порах увеличит безопасность блога.
Да, Сергей, я, наконец-то это сделала... Блогу скоро год будет!!!
И пользователя сменила и пароль опупенный забацала...
И не сложно, просто в самом начале опортунистически-консервативный характер сильно сопротивляется, но я его взяла к ногтю и всё сделала — спасибо Жанне и Анжелике за пинки коленком под мягкое место!
Да, чтобы не мучиться с составлением сложного пароля самому, можно доверить это дело генератору пароля. Например, пароль из 10-12-15 букв в разном регистре, символов и цифр можно подбирать не один десяток лет
Согласна, генератор — это супер надёжно!
Прочитала статью, и чувствую, что мозг начал потихоньку закипать. Наверное все же нужно еще будет сходить к Анжелике, может настанет просветление.В принципе-то поняла для чего все это нужно, но как реализовать, пока не совсем дошло.
У меня в первый день его вообще вынесло напрочь!!! Мозг...со взрывом.
Но, потом, прочитав раз 20 пост Жанны и полдня тупо просмотрев в монитор, я как-то поняла, что надо удалить старого пользователя, создать нового, выйти из системы и зайти под новым паролем и стать новым пользователем. Удалить старого пользователя и «связать всё содержимое» старого пользователя с новым.
Комментирую теперь с другого браузера, но сегодня Анжелика уже нашла какую-то строчку во Внешнем Редакторе, и её надо удалить, тогда и комментировать можно будет залогиненым...
Вот такую абракадабру я уже поняла...С трудом...
Ура! Я тоже хочу такую строчку удалить. Можно мне ссылку на эту статью Анжелики?
Ссылка на статью Анжелики есть в моих комментариях чуть выше:
Галина Нагорная 16.05.2014 at 10:13 дп
Но в статье пока нет ничего об удалении.
Я надеюсь, что Анжелика допишет часть того, что надо сделать и я бы тоже добавила её объяснение в Вашу статью!
Жанна, Галина, спасибо информация очень ценная. только я что то плохо соображаю, перечитаю внимательнее чуть позже. У меня чего со временем в последнее время, не хватает. Если вы не против дополню вашу инструкцию по безопасности, только ПК. Была на днях у меня история, пишу новую статью в блог, начала предварительно запись просматривать, смотрю у меня какие то левые ссылки в статье проставляются, причем на интернет магазины. В админке их не видно, и убрать тоже конечно не получается. Причем ссылка выглядит как внутренняя, так ее RDS бар видит, а она оказывается открытая ко всему счастью. Начинаю переходить по ссылкам этим, обратила внимание, что сначала в строке браузера пишется api, а потом много чего еще и уже после открывается интернет магазин. Начала в инете искать что такое api, оказывается это такая программа перехватчик, которую я с чем то скачала случайно. в общем точно как она работает я не знаю, но вот такую каку в виде дополнительных ссылок ставит. Начала полное сканирование ноутбука, антивирус показал две большие угрозы, а удалить их не может. Пришлось самой вручную лезть в файлы, со страхом и большими глазами, кое как нашла и удалила, потом еще кучу всего делала, в итоге восстанавливала систему задним числом и почистила кэш браузера. Думала уже или до конца загублю ноутбук или справлюсь. Ну вроде как все нормально сейчас, зато более внимательно теперь просматриваю статьи. Так что атакуют нас со всех сторон, будьте осторожны и внимательны, особенно нам блоггером это актуально.
У меня Анжелика тоже удаляла какие-то ссылки в теле файлов шаблона. Причём мой плагин специальный для таких целей, их не видел...
Чего только не придумают нечестные продвиженцы своих магазинов!
Здравствуйте!
Безопасность превыше всего во всём! Что гласит пословица: «Подальше положишь — поближе возьмёшь!»
Судя по рассказам следует заботится о своём детище с самого начала, чтобы не пришлось жалеть.
Так что дамы и господа, собираем с пола и стен свой взорвавшийся мозг и за работу, тем более такие дамы предлагают свои знания и умения, проверенные на собственных «детях».
Наталья, спасибо за комплимент...
У меня тоже мозг надо отскрести от пола, стен и компа...
Последняя статья вообще не в моём стиле!
А что делать — надо разобраться и с этой проблемкой!
Информация действительно очень нужная и важная! Спасибо за очень подробную подачу материала! Кто бы мне сказал 8 месяцев назад, что я с головой окунусь в блогерский мир и буду делать, то что я сейчас делаю я бы не поверила... Благодаря нашим блогам мы все растем, набираемся опыта и знаний.
Лилия, Ваше пение просто бальзам на мою душу...
Но ведь страшно — а вдруг зазнаюсь?
А если честно, я тоже за эти 10 месяцев столько всего сделала и узнала!!! И что очень радует — есть с кем поделиться, иначе был бы эффект не доеной коровы: наполнилась знаниями и дальше некуда складывать...
А благодаря читателям — узнал а и делюсь, и опять приходит.
Спасибо, Лилия!
Здравствуйте, Галина! Прочитала у Вас про эти все «страсти-мордасти» и испугалась. Серьёзно. Как у нормальной мамаши-квочки сразу появился страх за свою «деточку» (мой любимый сайтик). А я ведь о том, что Вы написали раньше не знала. И как много ещё не знаю! Но, не унываю, руки не опускаю, а учусь и внедряю! Спасибо за статью! Конечно, в голове — каша. Прочитала — смысл поняла, а как сделать — не очень. Но, разберусь. Не первый раз. Зато, какой кайф, когда во всём разобрался и всё применил на практике! Прыгаю, иногда, от того, что получается, как девчонка, в ладоши хлопаю. А мой взрослеющий сынуля смотрит на меня в такие минуты, как на мамашку слегка не в себе и улыбается.
Да, Наталья, я тоже всегда прыгаю от радости, когда у меня получается!
Но вот — таки страшно за блог, любимый ведь и один...
Согласна. Поэтому — «глаза боятся, руки делают»! А сомнениям приказано: «Молчать!»
Не знаю, наверное, я по жизни везучий. Но за 7 лет моего онлайн-хулиганства (увлёкся блогами в марте 2007-го) ни один из моих блогов не взламывали. Хотя я сам «угробил» не один свой сайт уже. Но там были другие причины, с безопасностью не связанные. В основном — авантюристичные эксперименты
Хотя спорить не буду, меры предосторожности и безопасности принимать необходимо и обязательно. Я в прошлом году даже электронную книгу по безопасности сайтов на базе движка Вордпресс у одного из предпринимателей купил. Но, к своему стыду, до сих пор ещё не изучил её внимательно.
Наверное, причиной этому являются дополнительные меры безопасности. предпринятые хостингом МакХост, на который я благополучно перенёс свои блоги в начале этого года. К нам, пользователям этго хоста в панель только с помощью логина и пароля не зайдёшь. И начальный урл _http://сайт/wp-admin не катит. Если Вы наберёте его, мой, допустим -_http://svital.com/wp-admin, то получите такой ответ (вот попробуйте
):
Вот так, переходим все на Макхост!
Да, молодцы! Я пока на Джино. Надумаю — буду помнить Ваши рекомендации, Виталий"
Галина, сразу прошу прощения, но я только что отправил коммент, которы ушёл на премодерацию из-за якобы нескольких активных ссылок.
На самом деле они пассивные.
Посмотрите, плиз.
Виталий, рада видеть — давно не встречались на блогах!
Я спокойно пропускаю и активные ссылки в комментирование — там же плагин сделает их закрытыми.
А народу будет интересно посмотреть.
Да и полезно!
Спасибо за пример.
Все об этом знают и помнят — и, опять же, ждут жареного петушка...
Так уж мы устроены.
Возможно, в этой цитате надо мне было поставить нижнее подчёркивание перед ссылками-"слепышами":
«Наша компания оперативно приняла необходимые меры по защите с помощью блокировки доступа в админку WordPress по стандартному адресу _ваш_сайт/wp-login.php
Мы предоставили альтернативный адрес _ваш_сайт:8888/wp-login.php .и т.д.»
Ещё раз извините
Не стоит извиняться — рада видеть в гостях. К Вам завтра забегу посмотреть новости — сейчас поздно уже и приличные дамы по чужих блогах не шляются в это время...
Спасибо, но я сейчас пишу не часто. Майский сплин у меня (как и у Джонни-30) —
Важность безопасности нельзя недооценивать. Второй год пользуюсь хостингом Агава. В декабре прошлого года они усилили защиту входа в админку дополнительной формой. Благодаря ее прекратились попытки роботов пробиться в админку.
А для защиты своего компа от случайных скачиваний нежелательных программ, установил, по рекомендации Александра Майера простенькую, но надежную прогу. Так же у анти вируса есть хороший помощник, с его помощью можно сканировать комп и удалять подозрительные и опасные элементы.
Поделитесь названием программы от А. Мейера или ссылочку в студию — плиз, плиз, плиз!!!
Так думаю что Александра М. вы знаете. У него на блоге есть хорошая статья по поводу установки и настройки, там есть и ссылка. Я даю название программы: Malwareby... Anti-Malw... — так она обозначена у меня на рабочем столе. По необходимости или периодически запускаю и она сканирует компьютер на предмет вредоносных файлов или программ, создает отчет о найденных угрозах. Одним кликом вся гадость удаляется.
А это защита от случайного скачивания не нужных программ: Unchecky — работает в фоновом режиме. У него же и эта статья. У меня сейчас нет этих ссылок под рукой.
Здравствуйте!
Мне тоже понравилась программа. Аваст ничего не нашёл, а она нашла недостойных клиентов
Спасибо за подсказку — найду! Да и название программы мне поможет.
Очень заинтересовала меня эта программа!
Зайду вечером к Александру — поищу.
Спасибо Вам, Александр Викторович, за наводку!
По поводу привязки нового электронного адреса к граватару- я привязать не смогла. Даже в свое время писала им в поддержку. Ну с mail.ru они не работают, ок. А вот gmail.com ? Должны нормально работать. Так вот, сколько я не билась, но привязать не смогла. Поэтому теперь пишу всегда яндекс почту.
Я попробую разобраться и сделать статью-инструкцию — перед сменой пользователя недавно эту процедуру делала...
Я тоже не люблю технические моменты.)))
Но в интернете есть масса людей, обожающих в этом копаться. Обычно, чем тратить свое время, которое продуктивнее использовать на то, что мне делать интереснее, предпочитаю обращаться за помощью. И говорить за нее финансовое спасибо: и мне быстрее проблема решается и человеку хорошо...
Я довольно часто тоже говорю финансовое спасибо... Просто так легче жить!
Раньше и подумать даже не мог, что есть такая серьезная проблема защиты. В последнее время мне кажется, что разработчики WordPress смотрят не в ту сторону. Они стремятся сделать еще более простым WordPress, который и так до безобразия прост. Лучше бы серьезно за безопасность взялись бы. А так приходится самому все доделывать. Хотя бы сделали бы дополнительное поле для входа в админку. Например, поле с вопросом. А так, только остается одно поле с паролем. Не, все же стремно так сидеть.
Вордресс старается упростить — это приведёт новых пользователей, а защитой пусть сами они и занимаются!
Конечно, печально...
Сергей, в этом плане хостинг Мchost хорошо сделал.
Привожу снова свой текст из моего выше нарисанного комментария:
От видимости Вашего логина для админ. панели блога это не спасёт!
Но от взлома сайта — да! Эффективно...
Ну, дык, — лиха беда начало
Что-то я не совсем понял, в чём тут проблема-то? Ну будут знать логин в админку, что с этого? Используйте пароль на 12 символов, капчу. А вообще для защиты админки есть замечательный рецепт без плагинов, который выкладывал на одном из форумов некто Милованов Ю.С. за что ему спасибо:
В хтаццесс пишем в самом начале после «RewriteEngine On»:
RewriteCond %{HTTP_COOKIE} !^.*zhuliq_ne_vorui=1.*$ [NC]
RewriteRule ^wp-login\.php$ [F,L]
В корне сайта создаем файл set-secret-cookie.php, который содержит следующий код:
КОД: setcookie ('zhuliq_ne_vorui', 1, time ()+60*60*24*365);
перед первой дужкой убрать пробел — после слова setcookie, иначе сам код не мог вставить...
Теперь пробуем открыть страницу авторизации по адресу www.site.ru/wp-login.php и получаем отлуп в виде 403 статуса.(так и должно быть!)
Идем по адресу www.site.ru/set-secret-cookie.php. Теперь мы сами себе поставили куку, которая необходима для открытия страницы wp-login.php
Теперь мы спокойно можем открывать www.site.ru/wp-login.php
Спасибо за ценный совет, Максим!
Но я решила поставить точку и не разбираться во всех премудростях.
Единственное скажу — капчу можете ставить, если Вам не нужны комменты. И не оправдывайтесь ботами — есть плагин Невидимая капча.
Лично я когда вижу капчу, понимаю, что на посетителей забили гвоздь. Я его забиваю — на блог...
Согласна, Галина, есть этот классный плагин, который полностью убирает спам и людей не отпугивает капчами.
Дело не в том, что сложно посчитать 2+3, бывает иногда что надо несколько раз вводить, а сайт всё не хочет и не хочет... вот тогда точно прощайте...
Эммм, там в моём примере ещё был кусочек кода, но его отфильтровал блог.
Сейчас проверю...
Нету ничего больше...
У меня сайт сам не урезает текст...
Допишите недостающий кусочек и скажите после какого слова его вставить — я добавлю в предыдущий коммент.
Опять съел...
КОД: setcookie ('zhuliq_ne_vorui', 1, time ()+60*60*24*365);
Я вставила его на место в первом Вашем комменте, но с пробелом — иначе — ни-ни...не проходит.
Первый раз такое вижу! Сори и спасибо!
Галина, я сейчас делаю так: отвечаю на комментарий из админки, а потом открываю свойства своего комментария и меняю в нем эл. адрес — в исходном коде отображается ник, а не имя пользователя. Мне так удобнее, чем пользоваться разными браузерами.
А мне как-то легче с двумя браузерами...
Рада видеть на блоге, Жанна!
Так. Попытаюсь понять.
Проблема заключается в том, что при авторизации нового админа в комментариям к старым записям имя пользователя нет, а при добавлении нового — появляется? Я не улавливаю в этом какой-то проблемы.
Может потому что в движке, на котором работают мои сайты нет возможности удалить админа, зайдя под учёткой другого админа.
Здесь я Вам не помощник! Там очень трудно было мне разобраться — это гостевой пост, а потом я просто перестала писать комменты залогинена. Но — прошло время, я сделала более сложный пароль и всё вернулось на круги свои...
Интересно, никогда с этим не сталкивалась, но на будущее буду знать, спасибо!
Я обычно отвечаю на комментарии из админки, там же можно и изменить если не понравится)
Я тоже раньше об этом не знала, Елена!
Ох... (вернее офигеть) хотела высказать мат................. А я то думала что я такая умная, придумала себе новый хороший логин никто не догадается. А тут вон оно что! Спасибо большое за информацию, для меня она была очень полезной. Перечитаю еще раз о том, как нужно исправить все!