Безопасность блога. Вредные ссылки на вашем блоге

безопасность блогаСегодня я продолжу давать бесплатные советы по безопасности блога.

Если честно, советы не мои, а Анжелики Александровой, но она решила «постесняться», а не писать статью. Всем нам знаком её полезный блог  http://delaisaity.ru.

Вместо того, чтобы самой написать статью-продолжение, она вчера весь вечер пробовала меня обучать уму-разуму... Что из этого получилось — судить вам!

Я продолжаю страшную тему, поднятую Жанной в статье о безопасности блога. Кратко повторю то, что было в предыдущей статье.

Предположим, появился шпион-взломщик. Он через браузер Гугл Хром заходит на одну из ваших страниц, где вы отвечали на комментарии, имея доступ к своей админ.панели (т.е. в любое время могли перейти в консоль). Это значит, что вы были залогинены. Этот взломщик решил проверить код странички и нажимает в Гугл Хроме одновременно клавиш Ctrl+U (при английской раскладке языка).

И взломщик легко сможет увидеть ваш логин пользователя, под которым вы заходите в админку своего блога. Ему остаётся только подобрать ваш пароль и — вуаля, сайт взломан!

Вот так, через просмотр кода комментариев, можно легко найти ваш логин. Есть выход — комментировать в том браузере, где вы не заходите в админку, комментировать как обыкновенный пользователь, а не администратор. Тогда, при том же самом заполнении электронной почты и адреса сайта — при просмотре кодов ваш логин не проявляется.

Конечно, немного неудобно бегать с одного браузера на другой — я вчера, как кузнечик прыгала, то в Оперу, то в Гугл Хром.

Есть решение! Удалить эту ссылку, которая показывает на ваш логин.

Как удалить вредную ссылку с логином пользователя?

Перед вами картинка — фрагмент кода моего блога. Теперь внимательно смотрим на участок с надписью «логин» — я его, этот мой логин, закрыла от ваших взоров, зарисовав белой краской, а сверху написала слово «логин», чтобы вы понимали, где его можно увидеть на коде. Дальше смотрим на участок, закрашенный оранжевым цветом и видим на нём надпись «url fn n».

После надписи на оранжевом фоне видим ссылку, которая обведена зелёным цветом, включая и мой логин. Именно эту вредную ссылку необходимо удалить, но она в самих кодах вашего шаблона будет выглядеть иначе. Об этом  - ниже. Объявляем международный поиск в кодах шаблона вашей темы надпись «url fn n». Ищем в поте чела!!!

ссылка с логином

По-шаговая инструкция удаления ссылки в коде файла вашего шаблона

1. Заходим в админ панель.

2. Слева на вертикальной панели находим надпись «Внешний вид». Подводим стрелку курсора к надписи (не кликаем) и появляется окошко, в котором находим слово «Редактор» и кликаем по нему.

3. Попадаем в Редактор. Нас интересуют файлы шаблона, расположенные справа. В каждом шаблоне сочетание букв «url fn n» расположено по-разному. Поэтому ищем во всех файлах. где искать ссылкиСправа есть фото, как выглядят названия файлов, где вы будете искать надпись «url fn» У меня это достаточно длинный список файлов и многие не поместились на этом фото.

По очереди кликаем на надписи файлов справа. Файл открывается и вы видите коды. После того, как открыли очередной файл - нажмите одновременно  кнопки на клавиатуре Ctrl и F. Появится небольшое окошечко поиска — вверху справа или слева страницы.

4. В окно, которое появится введите это сочетание букв «url fn n» и нажмите Enter. Искомые слова  маркер окрасит в другой цвет — у меня —  в зелёный. Если вы внимательно просмотрели файл и не нашли  словосочетание, открываете следующий. У моего шаблона этот файл был почти в конце списка — пятый снизу. Я уже не верила, что его найду.

В моей теме шаблона файл, в котором была подсветка «url fn n» назывался lib-content.php,  в Анжелики ссылка была в двух файлах — в функциях и ещё в одном файле. Вообще всё очень индивидуально. Но найти — можно!

5. Удаляем ссылку, которая показана на рисунке зелёной обводкой. Рисунок показывает, как выглядит эта ссылка при просмотре кода страницы в Гугле Хром. В вашем файле шаблона вид будет другой:
«url fn n» href="%2$s'.  И удаляем в файле переменную похожую на эту: href="%2$s'," (это значит, что вы удалили вашу ссылку с названием блога и с логином к админке).
Само сочетание «url fn n» — не удаляем!!!

Для «особо понятливых» (как я!) — повторяю ещё раз:

— при просмотре кода страницы в Гугл Хром вид следующий: «url fn n» href="http://ваш домен/autor/ваш логин"/
— при просмотре в Редакторе файлов шаблона код будет выглядеть: «url fn n» href="%2$s',"
— удаляем href="%2$s',"
— не удаляем 
«url fn n»

6. Внизу страницы нажимаем «Обновить файл» и на этом процесс удаления ссылки с логином вашего сайта подошёл к концу (смотрим  фотографию):

ссылку удалили

7. После этого переходим в Консоль, ищем надпись в панели слева Пользователи, подводим курсор (не кликаем) и видим надпись в новом окошке Добавить нового. откроется новая страница и вы заполняете обязательные поля (рядом стоит звёздочка). Помните: в поле надписи

прописываем ваше имя (ник) английскими буквами, например: midyk
Дальше — всё понятно. Подберите надёжный пароль, можно через сервис по подбору паролей, можно — самому. Заполнив почти все поля, подходим к надписи Роль и рядом есть окошечко, где ставим надпись Администратор. Всё готово — нажимаем  (обязательно!) на надпись Добавить нового пользователя и вы попадаете на страницу Все пользователи.

8. Теперь Вам необходимо выйти из учётной записи. Для тех, кто не знает как:
подводим курсор к верхнему правому углу страницы, там есть запись Привет, Ваше Имя (у меня — Привет, Галина Нагорная), появится маленькое окошко в конце которого вы нажимаете надпись Выйти. Не забудьте перед выходом записать логин и пароль нового пользователя.

9. Вышли и перед вами появляется окошко WordPress, со старым логином и паролем — вы вводите новые и входите уже как другой пользователь. Удаляете старого пользователя ( при наведении на него курсора появится надпись Удалить, кликаем на неё и удаляем). При этом выскочит окошко:

Что нужно сделать с записями этого пользователя?

  •  

Необходимо отметить галочкой или точкой надпись Связать всё содержимое и Подтвердить удаление пользователя.
Теперь все предыдущие комментарии перейдут под нового пользователя. И только сейчас ваш логин перестанет быть видимый при проверке в кодах страницы.

10. На всякий случай в Гугл Хроме делаем повторную проверку кодов комментирования. (В Гугле Хром одновременно нажимаем при англ. языке две клавиши: Ctrl + U — появится страница с кодами, и вызываем окошко быстрого поиска — одновременно нажав Ctrl + F, в окошко вводим новый логин и проверяем его наличие). При правильном соблюдении последовательности шагов, безопасности вашего сайта ничего уже не угрожает.

Но, спешу огорчить — не расслабляйтесь! Возможен такой вариант, как у меня...

Расслабляться рано — враг не дремлет!

Возможен вариант надписи автора в виде ссылки в начале статьи или в конце анонса. Только не путать с подписью под статьёй — это не та ссылка! На всякий случай, показываю картинку со своей ссылкой. При просмотре в кодах у неё тоже появлялся логин. Сами здесь удалить не сможете — всё очень индивидуально. Обращайтесь к тем, кто это умеет делать. Мне помогла избавится Анжелика Александрова, за что ей огромное спасибо! И за терпение...
Вот картинка с надписью автора (она же — ссылка), при нажатии на неё в верхней строке браузера  (рядом с названием блога), появлялся логин для входа в админ.панель:

ссылка-подпись автора

Если и у вас есть такая ссылка — посмотрите коды и вы увидите свой логин. Ну, или кликните и в этот момент посмотрите в строку с названием вашего блога... Срочно эту ссылку тоже удалять. Описать не смогу — всё очень сложно и для каждой темы шаблона сугубо индивидуально.

Итог войны с ссылками

1. На каждом шаблоне блога есть нежелательные ссылки, которыми могут воспользоваться взломщики.

2. Некоторые действия по их удалению вы можете сделать самостоятельно, использовав мою по-шаговою инструкцию.

3. Очень важна последовательность! Те же действия, а эффект разный. Если нарушить описанную последовательность шагов, то логин вашего пользователя от админ.панели будет виден!

Комментарий Анжелики Александровой:

Сначала — удаление кода, потом — новый админ, удаление старого и привязка комментариев. Затем нужно выйти из учётной записи и просмотреть код страницы на наличие обоих паролей.

3. Есть ссылки, с которыми вы не сможете справится сами. Просите помощи у знающих блогеров.

На этом все ужасы с кодами, ссылками и логинами закончились... Из этой статьи вы узнали, как самостоятельно поддерживать безопасность своего блога и удалить из его кодов вредные ссылки.

Кто хочет, тот говорит мне спасибо. Как? Нажав кнопочки соц.сетей.

А я выражаю искреннюю благодарность Анжелике Александровой за её щедрое сердце и необыкновенную скромность, а также постоянную готовность помочь! Анжелика, честно, я не знаю, что бы я делала без Вашего участия... Примите эти нежные цветы — они Вам очень подходят:
romashki
Успеха всем в сохранении суверенитета собственного блога!
Если есть вопросы — задавайте в комментариях. С удовольствием отвечу каждому...

С уважением, Галина Нагорная
<<<все статьи здесь>>>

 

Понравилась статья? Расскажите друзьям:
Приглашаю к общению:

45 comments on “Безопасность блога. Вредные ссылки на вашем блоге

  1. Надеюсь, что ситуацию немного прояснила и показала наглядно, где собака зарыта! И как от этой собаки избавится...Зачем она нам, зарытая?

  2. Спасибо, Галина! Очень люблю белые цветы!

    А статью я постеснялась писать, да. Это ведь такая ответственность — гостевой пост!

    То ли дело на своём блоге публиковать. Но такой статьи у меня нет, хотя автора у себя удалила ещё в прошлом году.

    Моё обучение сейчас движется очень стремительно и я не успеваю о многом поведать, а после к этому уже не возвращаюсь, узнавая что-то новое.

    Мне думается, что все про всё давно знают, а я ещё новичок.

    Анжелика recently posted...3D эффект текстаMy Profile

    • Анжелика, я очень радуюсь Вашему стремительному обучению, но вот думать, что остальные уже всё знают, а Вы новичок... Тогда кто я???? Зародыш... :)

      Это тот случай, когда скромность надо отбросить!

      Ой, ну чего прицепилась я к человеку?!!! Делайте, как Вам удобно, Анжелика!

      Только лично я Вас к новичкам не отношу. :)

  3. Здравствуйте!

    Полностью согласна с Галиной — далеко НЕ ВСЕ и далеко НЕ ВСЁ знают!

    Обучение бесконечно и безгранично.

    Галина, вот ещё одна тема для вашего вещания — мы иногда стесняемся или боимся писать на своём блоге что-то, потому что нам кажется, что это уже известный факт. Может оно и так, но не для всех. На тему сегодняшней статьи написано в Интеренете много, вопрос как написано и вопрос веры (на заборе тоже написано..., а заглянешь — дрова)

    Как говорится, на каждый товар свой покупатель, так и здесь, на каждый вопрос свой читатель.

    Потому что может именно НАШЕ (ваше, моё, Анжелики и так каждого в своём деле) слово окажется тем решающим и понятным.

    Наталья recently posted...Семейное воспитание детей. Теория и практика.My Profile

    • Наталья, Вы очень классно подметили одну деталь:

      не столь важно о чём ты пишешь, важно то, насколько тебе доверяют постоянные читатели и Как ты — даже банальную тему, сделаешь интересной, пропустив её через своё восприятие и своё видение.

      Относительно ЗНАЮТ — знать и сделать очень отличаются понятия...

  4. Здравствуйте, Галина! А я и не подозревала, что логин хозяина сайта так просто обнаружить!!! Однако есть еще один выход для спасения от брут-форс атаки. Можно поставить защитный плагин (лично у меня стоит iThemes Security) и настроить его таким образом, что при попытке подобрать пароль к админке определенное количество раз (у меня настроено на 10 или 20 попыток, не помню точно) IP злоумышленника блокируется. После попытки взлома мне на почту приходит письмо, что кто-то пытался залезть. Единственное, что если сам пароль забудешь и будешь подбирать его методом научного тыка или по памяти, то плагин и тебя забанит :)

    • Юлия, я тоже не подозревала, что логин так просто обнаружить! Это спасибо двум умницам — Жанне и Анжелике — просветили меня, тёмную и я сразу об этом и поведала...

      Я сейчас сделала очень серьёзный пароль и поменяла пользователя. Это не сложно было.

      А относительно плагина по защите — он у меня конфликтует с плагином комментирования. Пришлось удалить.

    • Очень полезный плагин, Юлия, согласна! В нём есть настройка скрытия страницы входа. Т. е., обычно для входа мы вводим логин и пароль в специальную форму, когда набираем после доменного имени wp-admin или wp-login.php, а настроив в плагине iThemes Security кодовое слово (которое известно только владельцу сайта), зайти в страницу входа в Вордпресс возможно будет только так: http//сайт.ru/кодовое слово. Вот, например, на мою страницу входа в админку не попасть. Нет её))).

      • Анжелика, есть упущение в этом плагине — если заходить в админку из приложения вордпресса для андроида, то доступ ко входу обычный, несмотря на то, что у меня в браузере тоже настроена отличная от стандартной страница входа. Надо бы еще проверить, считает ли этот плагин количество попыток входа из этого приложения.

        • Я с андроида захожу так же с кодовым словом, без него меня перекидывает на Главную (стоит редирект). Какое интересное приложение у вас, Жанна), а как называется?)))

          Анжелика recently posted...Неоновое свечение для текстаMy Profile

          • Анжелика, приложение называется очень оригинально — WordPress, создатели подписаны как Automattic, Inc

      • Да, эту настройку я тоже использую, так что в мою админку тоже так сразу не попадешь :)

        Юлия Qween recently posted...Как я изучаю английский. Подборка полезных онлайн-ресурсовMy Profile

  5. Прошлась по своему «Взгляду...» ничего подобного в коде не обнаружила((( Не знаю, радоваться или огорчаться. Я смотрела ссылку в комментариях, а в вопросе автора мне легче- у меня нет автора в статьях, потому что на моем сайте я — единственный автор)

    Лора recently posted...Весна на исходе. Пора подводить итоги!My Profile

    • Лора, я тоже единственный автор, посмотрите на рисунок — имеется в виду, что в шаблоне есть ссылка на Вас, как автора...

      Ни Вы, ни я её не делали — такой шаблон!

      • На моем Взгляде шаблон я практически делала сама, пользуясь стандартной темой гугла. Я знаю, как искать нужный код в шаблоне)) И в принципе свой шаблон знаю как свои пять пальцев)) Просто я изначально не хотела указывать авторство статей и поэтому и не прописывала этот параметр. А что касается тем, то в любой теме этот пункт можно просто удалить)) Я вот на Обовсёмке авторство удалила. Оставила в тегах ссылки на авторов статей, потому что на новом сайте будут три автора, а может быть и больше)))

        Хотя , если честно, совсем не уверена, что если какой-то спец соберется «взломать» мой блог, то он не найдет любой иной способ))

        Лора recently posted...Ночная серенада. Романтика давних времен.My Profile

    • Я опять стучусь к Вам, Лора. А какое сочетание Вы искали? Оно должно быть url fn n

      и вроде бы есть у всех. Вы глазами искали или через поиск, как в статье описано? Потому что я первый раз (глазами) его не нашла.

      Искать надо через Редактор. И во всех Ваших файлах. Оно может быть не в одном.

      • Я искала через редактор. На Взгляде таких фраз нет) а вот на Обовсёмке есть, но все равно при удалении их, я виду свой логин на вход... как впрочем вижу сейчас и ваш... Он чуть выше располагается чем указанная фраза...

        Лора recently posted...Что останется после меня… Что возьму я на память с собой…My Profile

      • Но конечно, береженого и Бог бережет)) Спасибо за информацию!!! По крайней мере, я узнала, что можно подобраться к моему блогу «с тыла»))) Как-то раньше и не задумывалась... А вот прочитала Вашу статью и задумалась))

        Лора recently posted...Весна на исходе. Пора подводить итоги!My Profile

  6. К сожалению, этот вариант не защищает((( Я все равно вижу ссылку на ваш, Галина, логин... И сейчас, когда вы убрали те значки... У меня тоже не срабатывает на втором сайте, где код я нашла и исправила... Или у нас с Вами необычные шаблоны, и поэтому защита не действует, либо что-то не то в самом предложении ))

    Лора recently posted...Весна на исходе. Пора подводить итоги!My Profile

    • Здравствуйте!! В сегодняшнем полуночном эксперименте с блогом Натальи Тараскиной по удалению логина из кода страницы, мы пришли к желаемому результату вот таким способом:

      сначала удалили код, про который написано в статье, затем создали нового администратора, удалили прежнего и связали все комментарии с новым.

      После удаления кода из файлов, у нового администратора логин не отобразился в просмотре кода страницы, а после привязки комментариев, логин предыдущего администратора исчез из просмотра.

      Таким образом, мы убрали все логины из просмотра кода страницы.

      У кого не получается удалить логин по какой-либо причине, обращайтесь ко мне:

      e-mail: delaisaityru@yandex.ru ICQ: 697068914

      Разберёмся!

      Анжелика recently posted...Непрерывно печатающийся текстMy Profile

      • Анжелика, а когда новый администратор начинает комментировать, его логин тоже не появляется?

        • Пользуюсь, как обычно. Никакой разницы и неудобств не ощущаю. Логина нет. Можете проверить. Нет его, удалила! И старый пропадает после удаления прежнего админа.

          • Анжелика, отлично, спасибо, что поделились опытом — завтра буду свой блог улучшать :)

        • Всё дело в последовательности... Сначала удаление кода, потом новый админ, удаление старого и привязка комментариев. Затем нужно выйти из учётной записи и просмотреть код страницы на наличие обоих паролей.

          Анжелика recently posted...Текст с теньюMy Profile

  7. Вот безопасность точно никогда лишней не бывает. Надо бы тоже всерьез заняться блогом. Уже больше года этого не делала. Вы так легко и доступно пишете, буду следовать вашим советам, Галина!

    Светлана recently posted...Необычное применение лака для волосMy Profile

  8. Галина, благодарю за разъяснение.

    У меня тоже стоит плагин iThemes Security , но нажав на Автора Записей увидела,что логин все таки видно :(

    А я все думала, ну как взломщики видят даже сложные логины (наблюдала у Клиентов). Оказывается все так просто.

    Но сама в код шаблона темы не полезу, напишу Автору шаблона премиум класса, чтобы уточнить КАК это сделать на своих сайтах

    Татьяна Прозорова recently posted...Как защитить сайты на wordpress с помощью плагина iThemes SecurityMy Profile

    • Конечно, если есть возможность — лучше обратится к разработчику, Татьяна!

  9. Интересная информация. Правда я сама коды не исправляю, все кажется что что-нибудь сломаю. Пока программист обслуживает, покажу ему Вашу статью. Спасибо.

    Зоя recently posted...Техники исполнения желанийMy Profile

    • Там всё дело в последовательности действий, хотя я Вас понимаю — сама трусиха, спасибо Анжелике, взяла надо мной шефство...

  10. Начиталась про вредность, Галина! Вчера поискала у себя не нашла! Вечером еще Анжелике написала, ух, точно нет! Заодно и пароль на боле надежный сменила!

    • Вот видите, как всё хорошо у вас складывается Мария! Даже вредные ссылки от Вас сбежали...

  11. Свое детище нужно оберегать. Это правда. Но сложная все-таки то наука. Особенно тем кто в технических тонкостях ни бумбум.

    Алексей Григорьев recently posted...Александр Борисов закрывает бизнесMy Profile

  12. Важность безопасности понял давно. Плагин защиты последней версии тоже установлен. Ограничил число попыток подбора пароля 3, меньше опасно, вдруг сам ошибусь.

    Так же у меня установлена дополнительная защита от роботов, от хостера (кстати очень надежная).

    А вот о том что так легко можно увидеть логин не знал. Орудовать с кодами я побаиваюсь, но посмотреть можно. Инструкция очень понятная. Спасибо.

  13. Мама дорогая... Работы непочатый край. Что-то я немного завертелась и столько интересного пропустили, бегаю все мимо, а прочесть внимательно вышло только сегодня. Ставлю себе заданием №1 — следуя инструкциям уберечь свой сайт от взлома. Если честно я не знала о возможности увидеть логин администратора...

Добавить комментарий для Мария Зазвонова Отменить ответ

Ваш e-mail не будет опубликован. Обязательные поля помечены *

Можно использовать следующие HTML-теги и атрибуты: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>

Оставьте ссылку на вашу статью