Блоги Мам 
Мама-чайник против табуна троянских коней
Как вы знаете, несколько дней назад сообщество «Блоги Мам« подверглось взлому. Было предпринято несколько попыток вывести сайт из строя. Мы не знаем, кто именно стоял за попыткой взлома — живой злоумышленник или робот, действующий на автомате, но это не важно и не интересно. Главное — мы получили полезный опыт и кое-чему научились. В этой статье мы подытожим наш опыт борьбы с хакерами и расскажем о тех мерах, которые, на наш взгляд, необходимо принимать для того, чтобы защитить свой сайт или блог от враждебных элементов 🙂
1. Явки и пароли
Весьма важный пункт, относящийся не только к вашим блогам, но к любым интернет-сайтам, на которых вы регистрируетесь.
- Выбирайте пароли и(!) логины посложнее, пусть в них будут маленькие и большие буквы, всяческие символы и знаки препинания. Если на это не хватает времени и фантазии, можно воспользоваться онлайн генератором паролей.
- Не пользуйтесь одними и теми же паролями на разных сайтах.
- Не сохраняйте пароли в браузере.
- При входе в административную часть блога, желательно каждый раз заново вводить ваши данные, а не доверять это системе. По окончании работы, нажимайте на кнопку «Выход» (Logout).
Как и где хранить пароли? Безопаснее всего — в обычной тетрадке 😉 Если вы все-таки храните пароли на компьютере, шифруйте соответствующие файлы. Можно воспользоваться также специальным менеджером паролей.
2. Это важное слово Backup
Обязательно сохраняйте последнюю резервную копию вашего блога у себя на компьютере, а лучше даже на внешнем накопителе (флешке или внешнем жестком диске). Потому что в один прекрасный день вы можете потерять все. (Это относится вообще ко всему, что вы делаете на компьютере – всегда имейте копию на другом физическом носителе).
- В wordpress для этой цели есть плагин под названием WP-DB-Backup, который посылает копию базы данных вашего сайта на email. В настройках укажите, с какой периодичностью вы хотите получать копию базы данных — раз в неделю или ежедневно.
- В blogger в любой момент можно экспортировать копию блога на жесткий диск. Это делается так: Settings (Настройки) -> Basic (Основные) -> Export Blog (Экспортировать блог) — > Download blog (Загрузить блог).
Можно также сделать следующее: подпишитесь письмом на RSS своего блога и каждый раз, получая новый пост на mail, сохраняйте его в специальной архивной папке (в почтовой программе или на компьютере). Так, если возникнет необходимость, вы сможете быстро восстановить любой пост обычным «копипастом».
Как сделать полный бекап сайта? Подключитесь к серверу и скачайте всю папку, в которой хранится содержимое вашего сайта — сначала на компьютер, а потом — на внешний жесткий диск. Это позволит в любую минуту заменить поврежденный файл или папку, «хорошими» файлами из резервной версии.
3. Что такое FTP, и почему это плохо
Пользователи blogger могут со спокойным сердцем перейти к следующему пункту. Если же вы выбрали wordpress для работы над своим сайтом, и у вас есть домен и хостинг, то вы скорее всего уже знаете, что такое FTP, и зачем он вам нужен.
Но оказывается, этот протокол передачи файлов (именно так расшифровывается аббревиатура FTP) не вполне безопасен и часто используется для несанкционированного доступа, так как передает логин и пароль открытым текстом. Знающие люди советуют закрывать доступ к FTP и использовать вместо него протокол SSH, который шифрует все передающиеся данные, включая пароли.
4. Лучший друг вебмастера
Подружитесь с инструментами для вебмастера Яндекса и google. Добавьте туда свои сайты и время от времени проверяйте, что о них думают поисковые роботы. Вредоносные элементы на вашем сайте можно обнаружить в яндексе — с помощью раздела «Безопасность», а в гугле надо зайти в раздел Diagnostics -> Malware. (Кстати, использование инструментов для вебмастера благотворно скажется не только на безопасности ваших сайтов, но и на их позициях в результатах поиска, но это уже тема для отдельной статьи).
5. Полезные плагины
Этот пункт тоже актуален для пользователей wordpress — движка со множеством плюсом, но довольно уязвимому к атакам хакеров. Видимо поэтому существует множество плагинов, цель которых — усилить безопасность вашего сайта и защитить его от взлома. Например, Anti-XSS attack, Secure WordPress, AntiVirus и другие. Подробнее об этом вы сможете прочитать, перейдя по ссылкам, приведенным ниже.
Что еще почитать:
Советы по безопасности wordpress Михаила Шакина — часть 1, часть 2, часть 3.
Статья Сергея Сосновского «Как увеличить защиту блога«.
Безопасность WordPress Краткое руководство на сайте MaxSite.org.
И конечно же, не пренебрегайте помощью самих поисковиков:
Помощь Яндекса вебмастерам — раздел, посвященный безопасности
Советы по безопасности для веб-мастеров от google
Напоследок еще одна рекомендация, не связанная напрямую с безопасностью сайта, но очень актуальная для родителей маленьких детей:
Возможно, вам захочется выложить в своем блоге фотографии своих любимых малышей – детей и внуков. Будьте осторожны! Блог – это общедоступный ресурс. И к сожалению, находятся «умники», которые используют фотографии малышей, найденные в сети для мошеннического сбора денег (выдают их за «больных» и давят на жалость). Поэтому детские фотографии крупным планом лучше выложить на других сайтах – там, где доступ вы откроете только тому, кому захотите сами.
Пусть с вашими сайтами все будет хорошо, и вы, и ваши посетители всегда будете чувствовать себя в безопасности!
Авторы: Алла и Анна
Алла, спасибо за подробный рассказ, буду работать над защитой блога и сайта. Я на это внимание не обращала до твоего сообщения.
А теперь страшно, что можно потерять столько трудов.
Надеюсь, что поборю свою лень (писать пароли) и перестану использовать для их хранения браузер.
Да и о замене FTP теперь стоит подумать.
Удачи, и пусть такая напасть обходит всех стороной!
Читаю и просто в панику впадаю. Ничего этого я не умею делать. Пыталась и в яндексе и в гугле зарегистрировать свои блоги, но не могу поставить тот код, который они выдают. Не понимаю в какое место его нужно вносить. И бесполезно мне объяснять: как только вижу эту жуткую картину с абракадаброй тегов — буквально цепенею, как кролик перед удавом. Ох!
Яна, вы не переживайте, на самом деле пользователи блоггера от многих проблем такого рода защищены. Добавление сайта в инструменты для вебмастеров поисковых систем тоже не критично.
Вообще, даже принимая все эти меры, вы не застрахованы от взлома, и наоборот, можно ничего не делать и жить припеваючи (хотя мы этого не советуем :))
Яна, не переживайте. Ваша задача, выполнять пункт первый. А за остальные позиции отвечаю я 🙂
Простите, Алла, забыла поблагодарить вас за обзор и ценные советы по такой жизненно важной теме. Спасибо. Это многим блоггерам пригодится. Потому что человек, который сам не замышляет плохого, не может даже догадаться какие бывают каверзы у злоумышленников.
Алла и Анна спасибо за такую подробную статью. Советы дельные, объяснение доступное.
Спасибо, большое за советы, нужно обязательно взяться все это провернуть!
спасибо! О бэкапе я давно не вспоминала, а пора бы…
Спасбо, девочки огромное! Куча полезной информации! Я, конечно как и Яночка перед всем этим цепенею, но понимаю что разбираться нужно! Спасибо!
Спасибо большущее. И за информацию, и за доступность. Особенно. Когда в этом не спец, без вот такого разжевывания (куда нажать) чувствуешь себя буквально дефектной:)))
Алла, Аня, спасибо за советы. Все очень доступно и понятно. А я раньше никогда не делала архивы блога. Только посты все в ворде предварительно пишу, поэтому текстовый то вариант сохраняется, но форматирование после ворда тоже много времени занимает.
Сегодня же после вашего поста сделала архив.
Спасибо большое за эту информацию: кое-что я делаю (бэкапы, пароли на листе). Это ужасно — все потерять в один миг…
Еще, девочки, те кто платит за домен и хостинг — не забывайте продлять вовремя. Я первый сайт по копирайтингу (сайт-визитка ) потеряла таким образом. Не смогла вовремя продлить, домен купил другой человек и… оставил мой сайт в том же виде, включая и графику и мои контакты плюс вставил свою рекламу. Обращение к хостеру и попытки связаться с этим человеком успеха не принесли 🙁 С меня требуют юридического подтверждения, что я правообладатель этого сайта «свидетельство о депонировании объектов интеллектуальной собственности». Если его нет — то только через суд.
Татьяна, очень важное замечание, спасибо! Очень жаль, что ваш первый сайт постигла такая судьба 🙁
Алла.
Спасибо. Надо подумать о защите. Есть над чем задуматься. Мене даже сон как-то снился, что я потеряла свой блокнот с паролями. Меня охватил ужас, ведь в этом блокноте вся моя веб-жизнь 🙂
Мама дорогая, как все сложно… Но потерять свои труды очень не хочется, так что надо разбираться. спасибо, девочки, большое.
Спасибо за отличный обзор и полезные ссылки. Впервые прочитала про небезопасность FTP, стоит задуматься.
Да-аа, присоединяюсь ко всем комментам насчет полезности предупреждения. Я бы еще добавила, что надо регулярно менять пароли на своих сайтах и ящике!
Спасибо, что напомнили о бэкапе. А по поводу фотографий малыша даже и не знаю, что теперь думать… у меня блог весь заполнен фотографиями малыша. Ставвить на все фотки водяные знаки, чтобы ими никто не мог воспользоваться или не заморачиваться?
Наталья, ставьте водяные знаки обязательно на вашего кроху!!! Лучше через всю фотку. Тем более, что я посомтрела — он у вас такой замечательный! Обязательно стащут. Может не сейчас, а потом… А так — будет 100% гарантия)))
Наталья, думаем, стоит ставить. Надеемся, что скоро появится пост на эту тему — нужен легкий способ использования водяных знаков, чтобы автоматизировать этот процесс.
Бросили клич тут: http://www.blogimam.com/2010/06/igra-lesenka-chudesenka-na-blogi-mam-moj-pervyj-post/
По теме — меня тоже взломали примерно через месяц после регистрации домена и хостинга. Если бы я раньше статью прочитала — она бы очень помогла))) А сейчас все пароли в блокноте))) меняю часто пароли — 1 раз в месяц. Никогда не нажимаю в браузере «сохранить пароль». И еще!!! Не знаю как в вордпрессе, но на джумле есть возможность поменять admin на любое слово!!! Я поменяла)))) Т е злоумышленнику, чтобы сломать вашу административку нужно подбирать не только пароль, но и слово вместо admina!
Забыла написать, что заразили меня — я с этой гадостью месяца 2 воевала. Перечитала все форумы))) Так что я бывалый хакер получаюсь))) В итоге — все-равно пришлось привлекать программистов. Нашли эту гадость — удалила))) Вот она — цена беспечности!
Марина, спасибо за комментарий, вы нас хорошо понимаете 🙂
Насчет того, как сменить слово «админ», в вордпрессе это почему-то сложно. Мы установили специальный плагин Username Changer, он позволяет быстро и как угодно часто менять логин и пароль.
Так, я загрузила версию своего блога на комп. Решила проверить, как будет она работать, если закачаю на другой блог. Не работает, то есть выдает ошибку. В чем дело, кто-нибудь знает? Спасибо заранее.
Гульноз, а зачем загружать его на другой блог? Там же, наверно, другой шаблон. Backup подразумевает хранение копии своего блога на всякий пожарный случай, чтобы можно было восстановить его на том же самом месте.
Ах вот как! Я полагала, что он работает также как и закачка шаблона. Значит, ошибка произошла из-за несоответствия адресов. Спасибо.
Напишите, пожалуйста о использовании инструментов для вебмастера и как это может помочь блогу. У самой блог, который долго не появлялся в Яндексе.
Статья очень актуальная для меня. Даже страшно стало… что-то не хочется потерять свои труды. Я не задумывалась раньше о сохранении и защите паролей. У меня почти везде один пароль, теперь срочно буду менять.
Спасибо за статью, только сейчас ее нашла) Очень и очень полезная)
Алла. Спасибо! Ну очень нужная статья, я недавно блог сделала. Только погружаюсь в этот мир.
Спасибо за такую информативную статью.Подумываю и вправда завести тетрадь с кодами, как верно было замечено,нужно превозмочь свою лень в этих вопросах.Не буду больше вводить одинаковые пароли на разных ресурсах и копии на съёмный жесткий диск почаще делать.Я ещё в начале блоггерского пути, но всё-таки не хочется потерять всё что уже накопилось. Добавлю эту статью в закладки:)
Привет, читаю и становится страшно… Хотя пароли изначално записываю в тетрадочку, записи бэкапятся, но теперь стало неуютно от того, что и компьютер может полететь.
Спасибо, думаю, что нужно все сохранять на флешке или еще где в резерве. Удачи! Всех с праздником!!
Девочки, спасибо за отзывы, желаем всем безопасности в деле ведения блогов и сайтов!
[…] прочитала статью на “Блоги мам”, которая называется “Как защитить свой сайт. Мама-чайник против табуна тро… и… не поторопилась предпринять меры, о которых там […]
Спасибо за подробные советы по безопасности сайта!!!
Спасибо за ваши советы! Правда и половины я не поняла, так как видимо полный чайник, но одно поняла точно, пора обращаться за помощью к друзьям-программистам, чтобы они мне все популярно объяснили, а лучше сделали 🙂
Большое спасибо за столь полезную информацию! воспользовалась)
Я регулярно проверяю свой сайт на вирусы и пользуюсь вэбмастером Яндекс. Но видимо надо осваивать и другие способы. Спасибо за советы.