Советы по безопасности блога. От Жанны Лиры

защита блогаСегодня уже весь мозг себе выела, который перед этим — расплавился от неимоверных усилий напрячь думающую серую массу. Перед моими серыми клеточками стоит задача — выполнить советы по безопасности блога.

Никак она — эта серая масса — в направлении технических премудростей напрягаться не хочет — вот хоть плач...

На всякий случай, я, всё-таки, попрошу у всех прощения и не поминайте лихом. Если не увидимся.

Иду исправлять баги... Почти, как на войну! 

А вам, уважаемые читатели, предлагаю ознакомиться с тем рецептом, который поверг меня в ужас. Может, и вам поможет... Жанна создала на основе моей темы тестовый сайт и провела ряд экспериментов. Знакомьтесь с результатами.

Передаю слово Жанне Лире.

Пока мы с Галиной разбирались с шириной текстового поля в ее блоге, я заметила дыру в безопасности блога:

это важно
если открыть запись в блоге, к которой есть комментарии автора этой записи (по совместительству — зарегистрированного пользователя блога), то в информации к его комментарию написано имя пользователя, то есть то, что вы пишите в поле «Имя пользователя», когда входите в админку своего блога.

Тест показал, что если автор записи пишет комментарий к своей записи, не будучи залогиненым (например, открыв свой блог в другом браузере), как обычный читатель, при этом указывает то же имя и тот же электронный адрес в соответствующих полях комментария, то в исходном коде нет информации об имени пользователя.

logged in and not logged in
В продолжение теста я создала нового пользователя с правами администратора, вышла из админки и зашла снова под именем созданного пользователя, удалила прежнего пользователя, передав все записи новому.

delete

В результате этих действий в исходном коде в информации старых комментариев перестало отображаться имя пользователя. Что естественно, ведь пользователя с таким именем в блоге больше нет.
Теперь новый администратор и он же — новый автор всех записей в блоге (ведь при удалении прежнего пользователя его записи были переданы новому пользователю) оставляет свой комментарий к одной из записей, будучи залогиненым (из админки или со страницы со статьей) и — вуаля — его имя пользователя снова в информации комментария в исходном коде.

new admin comment

Я вижу следующее решение проблемы:

0circle311_mini Шаг первый — зайти в gravatar.com со своим электронным адресом, который указан у вас в информации пользователя сейчас, добавить новый электронный адрес, привязать к нему ту же картинку.

0circle311_mini Шаг второй — создать нового пользователя в блоге с правами администратора, используя тот адрес, который добавили в граватар.
0circle311_mini Шаг третий — удалить прежнего пользователя, передав все записи новому.

(смотрим картинку выше «Удалить пользователя»)

После этого шага в исходном коде старых статей из информации комментариев исчезнет упоминание вашего прежнего имени пользователя.

0circle311_mini Шаг четвертый — принять решение, что делать дальше.

Тут есть два пути.

0circle311_mini Путь первый — отвечать на все комментарии, не будучи залогиненым.

Например, вы вошли в админку блога в браузере Гугл Хром, а отвечаете на комментарии, как обычный читатель, со страницы статьи в браузере Интернет Эксплорер.

В этом случае вы можете:

а) вернуть прежний электронный адрес своему пользователю в профиле, если вам удобнее его использовать.

б) использовать то же имя и тот же электронный адрес, что и в профиле пользователя, в своих новых комментариях.

в) удалить второй адрес из профиля граватара (его добавляли для того, чтобы читатели не видели ваших действий по удалению и созданию пользователей по изменяющимся аватарам).

0circle311_mini Путь второй — создать пользователя, из админки которого вы будете только отвечать на комментарии.

Этот пользователь не должен обладать правами администратора, потому что тогда теряется смысл в его создании (а смысл в том, чтобы в исходном коде не было видно логина (имени пользователя администратора сайта).

Если сделать этого пользователя с правами редактора, то от его имени можно будет публиковать статьи и (или) отвечать на комментарии.

Когда этот редактор будет комментировать статьи в блоге из админки блога, в информации комментария в исходном коде будет его логин (имя пользователя).

Причем, не важно, будут ли это его статьи или статьи, опубликованные от другого зарегистрированного пользователя (не буду больше утомлять вас скриншотами исходного кода, но соответствующий тест я тоже провела).
Если злоумышленник подберет к нему пароль, он не сможет удалить пользователя с правами администратора или создать нового пользователя, но сможет удалить навсегда все записи и все комментарии.

Создавать второго пользователя с правами автора (на ступень ниже, чем права редактора) нет смысла, потому что такой пользователь не может отвечать на комментарии из админки.

Для себя я выбрала первый путь, потому что он мне кажется проще.

Как просмотреть исходный код страницы:

В браузерах Гугл Хром и Интернет Эксплорер — клавиши Ctrl+U на открытой странице, код которой нужно увидеть. Другими браузерами не пользуюсь, но там точно будет где-то ссылка «просмотреть исходный код» (или что-то похожее)  в настройках или опциях, либо можно попробовать ту же комбинацию клавиш.


Надеюсь, что эта статья поможет Вам разобраться с безопасностью вашего блога. А я пошла под холодный душ — голова, словно кратер вулкана, а сделала всего два первых шага...

Выражаю искреннюю благодарность моему спасителю Жанне. Чтобы вы поняли, насколько она терпеливый человек привожу нашу переписку:

Я:
— А как сделать выход...не вижу кнопки. Только возле комментирования? И я попаду потом на блог?

Жанна:
— В админке подведите курсор к имени справа вверху в углу, выпадет меню, где будет слово «выйти».

Если запомнили имя и пароль нового пользователя, то, конечно, войдете. Если не запомнили, то не войдете в новый профиль, но можете вернуться в старый и на панели пользователей изменить данные в новом пользователе.

Я:
— Удалила!!! Чуть не умерла от страха!!! И связала!

Жанна:
— Поздравляю! Теперь вы знаете, что это не сложно :)

Теперь вы понимаете, какой подвиг совершила я под руководством Жанны. Поверьте, если  я смогла выполнить советы по безопасности блога  - вы точно справитесь — ведь у меня почти физическая аллергия на технические моменты.

букет роз - благодарю!

Жанна, этот виртуальный букет Вам от имени всех нас — читателей и почитателей — благодарим, благодарим, благодарим!!!

Дорогие читатели и мои друзья, я всегда с большим интересом читаю все ваши комментарии к моим статьям. Если статья вам понравилась, оставьте, пожалуйста, свой отзыв. Ваше мнение очень важно. Это позволит сделать блог более интересным и полезным.

Буду вам признательна, если вы скажете «Спасибо». Сделать это очень просто. Нажмите на кнопки социальных сетей и поделитесь информацией с вашими друзьями.

И не забудьте понравившуюся статью добавить в закладки.

Если вам важно не пропустить новую полезную статью — предлагаю заполнить форму подписки — я один раз в неделю буду отсылать вам  анонсы новых постов на моём блоге.
Если хотите...

Ваше имя: *
Ваш e-mail: *

С Любовью и теплотой к вам, Галина Нагорная
<<<все статьи здесь>>>

Понравилась статья? Расскажите друзьям:
Приглашаю к общению:

26 comments on “Советы по безопасности блога. От Жанны Лиры

  1. Жанна, я правильно поняла? Поменяла пользователя, удалила предыдущего, его права перевела на себя и комментирую теперь с другого браузера, не залогинена на свой блог?

    Если неправильно я поняла — подскажи, плиз... Благодарю заранее.

    Галина Нагорная recently posted...Анализ блога. Жанна Лира о блоге «С подарочком»My Profile

    • Да, все правильно, Галина.

      Если вы используете для комментирования тот же электронный адрес, что указан у вас в профиле пользователя в блоге, то если вы отредактируете собственный комментарий, он сохранится уже как комментарий пользователя, т.е. в исходном коде появится имя пользователя.

      Я решила для ответов на комментарии в собственном блоге использовать один адрес, а в профиле пользователя написала другой, тогда я могу редактировать свой комментарий без последствий — он сохранится, как и был, комментарием «стороннего читателя», а не пользователя.

      Извините, если я не очень понятно объясняю, сегодня был сумасшедший день, поэтому мой мозг уже отключается и впадает в спячку :) Если будут какие-то вопросы, я смогу ответить, скорее всего, только в воскресенье вечером — заранее предупреждаю, на случай, если кому-то еще будет что-то непонятно во всей этой истории с именем пользователя.

  2. Если вдруг, все такие «умные», как я — предлагаю почитать ещё подобную тему на блоге Анжелики. Она мне вчера в шапке такой красивый эффект сахарной изморози сделала — загляденье!!! Оцените буквы сами — в шапке!

    Ссылка на статью «Как изменить логин admin при входе в WordPress» delaisaity.ru/reshenie-pr...ode-v-wordpress/

    Вот когда обе эти статьи почитать, то даже такой грамотей, как я — что-то начинает кумекать... Короче, я всё сделала!!!

    Галина Нагорная recently posted...Как быстро написать и оформить электронную книгу. Выбор темы для книгиMy Profile

  3. Галина, ты умна, а я еще «умнее», мне таких подвигов вообще не осилить, от греха подальше буду на комментарии у себя в админке отвечать, чтобы не нарываться. или я вообще неправильно поняла?)))

  4. Я дала ссылку на статью Анжелики в комментарии выше — там более доступно написано. Пользователя надо поменять — ведь могут взломать блог... От этого никто не застрахован!

    Это просто сделать — Жанна немного сумбурно объяснила... И эти страшные скрипты такой ужас навевают!

    Анжелика по-шагово Вас проведёт — я плохого не посоветую...

    Галина Нагорная recently posted...Советы по безопасности блога. От Жанны Лиры.My Profile

  5. Очень полезная информация! Ну, а для тех, кому не посилен данный урок, хочу посоветовать усилить свой пароль. Знаков эдак до 15 и с различными символами,знаками, цифрами и буквами. Это на первых порах увеличит безопасность блога.

    Сергей recently posted...Как быстро написать статью?My Profile

    • Да, Сергей, я, наконец-то это сделала... Блогу скоро год будет!!!

      И пользователя сменила и пароль опупенный забацала...

      И не сложно, просто в самом начале опортунистически-консервативный характер сильно сопротивляется, но я его взяла к ногтю и всё сделала — спасибо Жанне и Анжелике за пинки коленком под мягкое место!

      Галина Нагорная recently posted...Как быстро написать и оформить электронную книгу. Выбор темы для книгиMy Profile

    • Да, чтобы не мучиться с составлением сложного пароля самому, можно доверить это дело генератору пароля. Например, пароль из 10-12-15 букв в разном регистре, символов и цифр можно подбирать не один десяток лет :)

  6. Прочитала статью, и чувствую, что мозг начал потихоньку закипать. Наверное все же нужно еще будет сходить к Анжелике, может настанет просветление.В принципе-то поняла для чего все это нужно, но как реализовать, пока не совсем дошло. :)

    Оксана recently posted...Для сладкоежек — очень простой рецепт зефираMy Profile

    • У меня в первый день его вообще вынесло напрочь!!! Мозг...со взрывом.

      Но, потом, прочитав раз 20 пост Жанны и полдня тупо просмотрев в монитор, я как-то поняла, что надо удалить старого пользователя, создать нового, выйти из системы и зайти под новым паролем и стать новым пользователем. Удалить старого пользователя и «связать всё содержимое» старого пользователя с новым.

      Комментирую теперь с другого браузера, но сегодня Анжелика уже нашла какую-то строчку во Внешнем Редакторе, и её надо удалить, тогда и комментировать можно будет залогиненым...

      Вот такую абракадабру я уже поняла...С трудом...

      Галина Нагорная recently posted...«Ой, не надо меня уговаривать, я и так соглашусь!» Анализ блога Натальи Тараскиной.My Profile

  7. Жанна, Галина, спасибо информация очень ценная. только я что то плохо соображаю, перечитаю внимательнее чуть позже. У меня чего со временем в последнее время, не хватает. Если вы не против дополню вашу инструкцию по безопасности, только ПК. Была на днях у меня история, пишу новую статью в блог, начала предварительно запись просматривать, смотрю у меня какие то левые ссылки в статье проставляются, причем на интернет магазины. В админке их не видно, и убрать тоже конечно не получается. Причем ссылка выглядит как внутренняя, так ее RDS бар видит, а она оказывается открытая ко всему счастью. Начинаю переходить по ссылкам этим, обратила внимание, что сначала в строке браузера пишется api, а потом много чего еще и уже после открывается интернет магазин. Начала в инете искать что такое api, оказывается это такая программа перехватчик, которую я с чем то скачала случайно. в общем точно как она работает я не знаю, но вот такую каку в виде дополнительных ссылок ставит. Начала полное сканирование ноутбука, антивирус показал две большие угрозы, а удалить их не может. Пришлось самой вручную лезть в файлы, со страхом и большими глазами, кое как нашла и удалила, потом еще кучу всего делала, в итоге восстанавливала систему задним числом и почистила кэш браузера. Думала уже или до конца загублю ноутбук или справлюсь. Ну вроде как все нормально сейчас, зато более внимательно теперь просматриваю статьи. Так что атакуют нас со всех сторон, будьте осторожны и внимательны, особенно нам блоггером это актуально.

    Маргарита Сизонова recently posted...Оладьи из капусты и гречкиMy Profile

    • У меня Анжелика тоже удаляла какие-то ссылки в теле файлов шаблона. Причём мой плагин специальный для таких целей, их не видел...

      Чего только не придумают нечестные продвиженцы своих магазинов!

  8. Здравствуйте!

    Безопасность превыше всего во всём! Что гласит пословица: «Подальше положишь — поближе возьмёшь!»

    Судя по рассказам следует заботится о своём детище с самого начала, чтобы не пришлось жалеть.

    Так что дамы и господа, собираем с пола и стен свой взорвавшийся мозг и за работу, тем более такие дамы предлагают свои знания и умения, проверенные на собственных «детях».

    Наталья recently posted...Как заплести волосы девочкеMy Profile

    • Наталья, спасибо за комплимент...

      У меня тоже мозг надо отскрести от пола, стен и компа...

      Последняя статья вообще не в моём стиле!

      А что делать — надо разобраться и с этой проблемкой!

  9. Информация действительно очень нужная и важная! Спасибо за очень подробную подачу материала! Кто бы мне сказал 8 месяцев назад, что я с головой окунусь в блогерский мир и буду делать, то что я сейчас делаю я бы не поверила... Благодаря нашим блогам мы все растем, набираемся опыта и знаний.

    • Лилия, Ваше пение просто бальзам на мою душу...

      Но ведь страшно — а вдруг зазнаюсь?

      А если честно, я тоже за эти 10 месяцев столько всего сделала и узнала!!! И что очень радует — есть с кем поделиться, иначе был бы эффект не доеной коровы: наполнилась знаниями и дальше некуда складывать...

      А благодаря читателям — узнал а и делюсь, и опять приходит.

      Спасибо, Лилия!

  10. Здравствуйте, Галина! Прочитала у Вас про эти все «страсти-мордасти» и испугалась. Серьёзно. Как у нормальной мамаши-квочки сразу появился страх за свою «деточку» (мой любимый сайтик). А я ведь о том, что Вы написали раньше не знала. И как много ещё не знаю! Но, не унываю, руки не опускаю, а учусь и внедряю! Спасибо за статью! Конечно, в голове — каша. Прочитала — смысл поняла, а как сделать — не очень. Но, разберусь. Не первый раз. Зато, какой кайф, когда во всём разобрался и всё применил на практике! Прыгаю, иногда, от того, что получается, как девчонка, в ладоши хлопаю. А мой взрослеющий сынуля смотрит на меня в такие минуты, как на мамашку слегка не в себе и улыбается. :)

    Наталья recently posted...Как разводить попугаев. Условия для птенцов.My Profile

    • Да, Наталья, я тоже всегда прыгаю от радости, когда у меня получается!

      Но вот — таки страшно за блог, любимый ведь и один...

  11. Согласна. Поэтому — «глаза боятся, руки делают»! А сомнениям приказано: «Молчать!» :)

    Наталья recently posted...Как разводить попугаев. Условия для птенцов.My Profile

  12. Не знаю, наверное, я по жизни везучий. Но за 7 лет моего онлайн-хулиганства (увлёкся блогами в марте 2007-го) ни один из моих блогов не взламывали. Хотя я сам «угробил» не один свой сайт уже. Но там были другие причины, с безопасностью не связанные. В основном — авантюристичные эксперименты ;)

    Хотя спорить не буду, меры предосторожности и безопасности принимать необходимо и обязательно. Я в прошлом году даже электронную книгу по безопасности сайтов на базе движка Вордпресс у одного из предпринимателей купил. Но, к своему стыду, до сих пор ещё не изучил её внимательно.

    Наверное, причиной этому являются дополнительные меры безопасности. предпринятые хостингом МакХост, на который я благополучно перенёс свои блоги в начале этого года. К нам, пользователям этго хоста в панель только с помощью логина и пароля не зайдёшь. И начальный урл _http://сайт/wp-admin не катит. Если Вы наберёте его, мой, допустим -_http://svital.com/wp-admin, то получите такой ответ (вот попробуйте ;) ):

    Здравствуйте!

    Вход в админку заблокирован в связи с защитой от крупномасштабной атаки на сайты основанные на CMS WordPress. Атакам подверглись сайты всех хостинг-компаний по всему миру. Целью атаки является подбор пароля для входа в админку WordPress.

    Наша компания оперативно приняла необходимые меры по защите с помощью блокировки доступа в админку WordPress по стандартному адресу ваш_сайт/wp-login.php

    Мы предоставили альтернативный адрес ваш_сайт:8888/wp-login.php . Настоятельно рекомендуем вам изменить стандартный адрес входа в админку для защиты от подобных атак с помощью быстрой процедуры (это займет всего несколько минут).

    С уважением, ваш Макхост.

    Вот так, переходим все на Макхост! :-D

    Виталий recently posted...Как проверить уровень своего здоровья?My Profile

  13. Галина, сразу прошу прощения, но я только что отправил коммент, которы ушёл на премодерацию из-за якобы нескольких активных ссылок.

    На самом деле они пассивные.

    Посмотрите, плиз.

    Виталий recently posted...Жизнь кочевника. Почему я сменил название своего блога? И о литературном конкурсеMy Profile

  14. Возможно, в этой цитате надо мне было поставить нижнее подчёркивание перед ссылками-"слепышами":

    «Наша компания оперативно приняла необходимые меры по защите с помощью блокировки доступа в админку WordPress по стандартному адресу _ваш_сайт/wp-login.php

    Мы предоставили альтернативный адрес _ваш_сайт:8888/wp-login.php .и т.д.»

    Ещё раз извините :(

    Виталий recently posted...Жизнь в движении 67 летMy Profile

Добавить комментарий для Наталья Отменить ответ

Ваш e-mail не будет опубликован. Обязательные поля помечены *

Можно использовать следующие HTML-теги и атрибуты: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>

Оставьте ссылку на вашу статью