Как защитить карту от мошенников: спасение утопающих — дело рук самих утопающих

Содержание

Как защитить диапазон ячеек или лист

Если вы хотите запретить другим редактировать данные в таблице, защитите их. Помните, что эта функция не дает лишь вносить правки. Люди могут скопировать, экспортировать и распечатать защищенную таблицу, а также импортировать ее копии. Открывайте доступ к таблице только тем, кому вы доверяете.


Как защитить диапазон ячеек или лист

  1. Откройте файл в Google Таблицах.
  2. Нажмите Данные Защищенные листы и диапазоны. Справа появится панель.
  3. Выберите Добавить лист или диапазон или нажмите на вариант в списке защищенных данных, если хотите внести изменения.
  4. Выберите вкладку Диапазон или Лист.
    • Диапазон. Укажите диапазон, нажав на значок таблицы и выделив в ней нужные ячейки.
    • Лист. Выберите лист в раскрывающемся меню. Если вы хотите, чтобы другие могли редактировать некоторые ячейки на защищенном листе, установите флажок «Исключить отдельные ячейки».
  5. Нажмите Задать разрешения или Настроить доступ.
  6. Установите ограничения, выбрав нужный вариант.
    • Показывать предупреждение во время редактирования этого диапазона. Пользователи смогут редактировать диапазон или лист, но им придется подтверждать свои правки.
    • Выбрать, кто может редактировать этот диапазон. Доступны следующие варианты:
      • Только вы. Редактировать диапазон или лист сможете только вы и владелец таблицы (если это другой человек).
      • Только домен. Если вы пользуетесь Google Таблицами в компании или учебном заведении, изменять диапазон или лист смогут только пользователи домена при условии, что у них всех есть право редактировать таблицу.
      • Указать. Редактировать диапазон или лист смогут только выбранные вами пользователи.
      • Импортировать список редакторов. Если вы хотите использовать настройки доступа, заданные для другого диапазона или листа, выберите этот вариант.
  7. Нажмите Сохранить или Готово.

Чтобы увидеть защищенные ячейки, нажмите Вид Защищенные диапазоны – они будут заштрихованы.

Кто может защитить диапазон или лист

  • Владелец таблицы может запрещать и разрешать другим пользователям вносить правки.
  • Редакторы таблицы имеют те же полномочия, но не могут устанавливать ограничения для владельца.
  • Пользователи с правами на просмотр и комментирование не могут защищать диапазоны и листы.

Кто может копировать защищенные листы

  • Редакторы таблицы могут копировать защищенные листы и книги, а также загружать новые версии.
  • Пользователи с правом только на просмотр могут копировать таблицу.

Защита контента

Защита от копирования

Изображения и текст на сайте можно защитить от копирования с помощью специальных плагинов. Такие плагины работают просто – они блокируют возможность выделить текст, перетащить картинку, а также контекстное меню, которое появляются при клике правой кнопкой мышки. Например, можно использовать этот плагин защиты.

Но как легко работает плагин, так же легко его защиту и можно обойти, например, скопировав текст и ссылки на картинки из исходного кода страницы, или отключив в браузере выполнение Java script.

Водяные знаки

Этот способ подходит для защиты изображений. На картинку накладывается изображение, которое говорит об авторстве фото. И у этого способа есть недостаток – если водяной знак с краю картинки, то его можно вырезать, а если в центре, то он портит внешний вид фото. Реализовать водяной знак можно с помощью такого плагина.

Яндекс Оригинальные тексты

Если вы уже добавили сайт на индексирование в Яндекс, то можете воспользоваться сервисом Оригинальные тексты, который находится в пункте “Информация о сайте”, подпункте “Оригинальные тексты”.

Если добавить в этот сервис статьи, перед их публикацией на сайте, то Яндекс будет понимать, что первоисточник текста — это именно ваш сайт. И даже при копировании их на другой сайт, потерь в позициях у вашего проекта не будет. Недостаток метода в том, что, Google этого всего не видит. Работает только в Яндексе.

Windows сама себя не защитит

С паролями разобрались. Теперь рассмотрим как обезопасить себя и свой компьютер на Windows.

1. Используйте лицензионную версию Windows

В пиратские репаки Windows или нелегальные активаторы лицензий часто встраивают вредоносные программы. Также лицензионная версия Windows необходима для полноценного получения последний обновлений безопасности системы.

2. Включите автоматическое обновление системы и регулярно обновляйте софт

В ОС постоянно находятся новые уязвимости, поэтому обновления необходимы. Массовые заражения шифровальщиком WannaCry случились как раз из-за того, что системы не обновлялись, хотя необходимые обновления вышли за пару месяцев до атаки.

3. Не работайте под учётной записью администратора

Если вы «подцепите» вирус из под администратора, то он сможет моментально получить доступ ко всей системе. Контроль учётных записей рекомендуем включать на уровень не ниже 3 («всегда уведомлять»).

Если вы используете учётную запись Microsoft для входа в систему, то её обязательно нужно защитить двухфакторной аутентификацией.

4. Настройте блокировку экрана

В Windows 10 можно дополнительно настроить вход по пин-коду. Это более быстрый и безопасный способ для аутентификации.

5. Установите и включите антивирус

Можно использовать встроенный антивирус Windows Defender. От большинства угроз он защищает. Существуют бесплатные версии от Avast, Kaspersky и многие другие.

6. Включите и настройте сетевой экран

Рекомендуется запретить по умолчанию все входящие соединения. Возможно, это нарушит работу некоторых программ. В таком случае нужно провести более тонкую настройку сетевого экрана и добавить правила исключений, но полностью отключать сетевой экран не рекомендуется.

Вместо встроенного брандмауэра Windows можно также использовать сторонние решения, например от Avast или Kaspersky. Они, как правило, платные, но более удобные в настройке.

7. Скачивайте программы на официальных сайтах

Не скачивайте программы с «варезных» сайтов и файлообменников. Никто не гарантирует, что в дистрибутивах, скачанных с таких ресурсов, не будет вредоносных программ. Правило распространяется и на торрент-трекеры.

8. Делайте бэкапы

Например, можно настроить автоматическое копирование данных с одного жёсткого диска на другой. Это защитит данные в случае поломки носителя. Ещё лучше хранить копию данных на внешнем диске — это защитит информацию также от вирусов-шифровальщиков. Главное, чтобы носитель с резервной копией не был постоянно подключен к системе.

Wordfence Security настройка безопасности WordPress

Сразу после установки плагина и его активации, вы увидите всплывающее окошко, где вам будет предложено ввести ваш емейл для получения уведомлений безопасности от плагина, а также текущих новостей от разработчиков. Там же есть кнопка «Начать знакомство» (Start Tour)

Замечание: Очень рекомендую вам вписать ваш емейл в это окошко. Потому что иначе, вскоре после установки, вы забудете про этот плагин, и не будете знать, работает ли он вообще. Уведомления на вашу почту дают вам своевременный контроль над происходящим.

Далее, если вы нажали Тур, плагин выдаст вам несколько сообщений о назначении плагина, и предложит выполнить первоначальный скан, после чего сканирование будет проводиться ежедневно раз в сутки. Распорядок (Scan Schedule) можно менять в премиум версии.

Скан занимает примерно 5-10 минут. В моем случае он вернул единственное предупреждение, связанное с обновлением плагина.

Хочу обратить ваше внимание, сканирование файлов тем и плагинов по умолчанию отключено. Рекомендую вам включить эти опции

Как использовать Wordfence Security

Live Traffic.

Сразу после установки вкладки будут пусты.

Но со временем записи будут добавляться. Начните просматривать вкладку All Hits, на ней вы можете например увидеть, что один IP адрес генерирует много трафика, если он вам кажется подозрительным, вы можете его заблокировать. Возможно, кто-то пытается проводить DoS атаку, или просто пробует ваш сайт на уязвимости.

Если вы не можете четко определить шаблон атаки, загляните на вкладку Top 404s, которая покажет вам IP адреса, генерирующие массовое количество запросов на несуществующие страницы.

Посмотрите вкладку Logins and Logouts, на ней вы можете увидеть неудавшиеся попытки входа. Ну и вкладка Top Consumers покажет вам какие IP адреса чаще всего обращаются к вашему контенту.

Blocked IPs

На этой странице вы можете увидеть заблокированные адреса по конкретным причинам, — нарушение правил входа, которые заданы в настройках, или частое обращение к несуществующим файлам.

Advanced Blocking

Здесь вы можете заблокировать диапазоны IP-адресов, юзер-агенты (браузеры), источники трафика и их комбинации, то есть эта страница дает вам больше контроля, чем Blocked IPs, если это вам действительно необходимо.

Options

Страница настроек дает вам дополнительные опции.

По умолчанию, она пригодна для использования, и нет необходимости в ней что-то менять. Возможно, вы захотите включить сканировать файлы тем и плагинов о чем я писал выше.


Убедитесь также, что вы указали ваш емейл для получения уведомлений безопасности.

Некоторые настройки вы можете захотеть дополнительно тестировать и корректировать в зависимости от вашей конкретной ситуации, например, вы можете снизить количество неудачных попыток входа (‘Lock out after how many login failures’), если ваш сайт подвергается повышенным попыткам взлома. Но базовые настройки подходят для большинства сайтов.

Не полагайтесь на удачу в отношении безопасности вашего сайта.

Как защитить сайт?

В сети существует много хороших и бесплатных решений как для защиты сайта, так и для прочих нужд, но увы знают о них не все. Пример качественного скрипта для мониторинга любых изменений на сайте AntiShell.

Когда-то я публиковал ссылку на него в твиттере, правда не все заметили, кто-то пропустил, кто-то проигнорировал, а кто-то меня вообще не читает

Повторюсь, что скрипт будет работать на любой cms, хоть wordpress, dle, joomla, drupal, форум, интернет магазин и даже статический сайт.

И так заходим на сайт AntiShell.ru и скачиваем последнюю версию скрипта или копируем код с формы textarea.

Важно! Если у вас на сайте кодировка windows-1251, то в начале файла раскомментируйте первую строку:

Было так:

// define(‘AS_CHARSET’, ‘windows-1251’);

1 // define(‘AS_CHARSET’, ‘windows-1251’);

Должно стать так (убираем слеши):

define(‘AS_CHARSET’, ‘windows-1251’);

1 define(‘AS_CHARSET’,’windows-1251′);

Теперь создаем в главной директории файл и вставляем туда код со страницы антишела с любым именем или закачиваем файл с архива.

Должно получится примерно так https://vasilenko.info/as_install.php.

Раздел 2: Защита сайта WordPress через панель управления

Для хакера самой важной частью веб-сайта является панель управления администратора, которая обычно является самой защищенной частью. Если админку удалось взломать, сайт будет находиться под полным контролем взломщика.. Вот что вы можете сделать, чтобы защитить свою панель управления сайтом WordPress:

Вот что вы можете сделать, чтобы защитить свою панель управления сайтом WordPress:

Папка wp-admin — самая важная часть любого сайта на WordPress. Поэтому повреждение или удаление этой папки может привести к полной неработоспособности сайта.

Один из возможных способов предотвратить это — защитить  каталог wp-admin паролем. С использованием этой меры безопасности владелец веб-сайта может получить доступ к панели управления, отправив два пароля. Один защищает страницу входа, а другой защищает область администратора WordPress. Если пользователям веб-сайта требуется доступ к некоторым частям wp-admin, вы можете разблокировать эти части, оставив при этом защищенными остальные компоненты.

Для защиты wp-admin можно использовать плагин AskApache Password Protect. Он автоматически генерирует файл .htpasswd , шифрует пароль и настраивает права доступа к файлам и каталогам.

8. Используйте SSL сертификаты для шифрования данных.

Внедрение SSL (Secure Socket Layer) — это эффективный способ защиты панели администратора. SSL обеспечивает безопасную передачу данных между браузерами пользователей и сервером сайта, что затрудняет злоумышленникам взлом соединения или подделку вашей информации.

Получение SSL-сертификата для сайта WordPress происходит  довольно просто в панели управления большинства хостингов. Можно купить сертификат безопасности у компаний, предоставляющих SSL, или оформить бесплатный сертификат Let’s Encrypt.

Наличие сертификат SSL и защищенного соединения по https также влияет на рейтинг в поисковых системах вашего сайта. Google ранжирует сайты с SSL выше, чем без него. Это даст вам больше трафика на ваш сайт. 

9. Следите за качеством учетных данных пользователей вашего сайта на WordPress 

Если вы владеете блогом на WordPress с несколькими авторами, доступ к панели администратора имеют несколько пользователей. Это может сделать ваш сайт потенциально более уязвимым, чем если бы у него был только один администратор.

Вы можете использовать, например, плагин Force Strong Passwords, если хотите убедиться в том, что все ваши пользователи используют безопасные пароли. 

10. Измените имя администратора

Во время установки WordPress никогда не выбирайте стандартное имя «admin» в качестве имени пользователя для основной учетной записи администратора. Это самая распространенная уязвимость  сайта. Все, что нужно выяснить хакеру, это пароль, а затем весь ваш сайт попадает в чужие руки.

Если посмотреть логи доступа к любому сайту, с высокой долей вероятности там можно обнаружить попытки входа с именем «admin» и подбором пароля.

Плагин iThemes Security может пресечь подобные попытки, немедленно заблокировав любой IP-адрес, который пытается войти в систему с таким именем пользователя.

11. Следите за изменениями в файлах

Для обеспечения дополнительной безопасности, стоит мониторить изменения в файлах сайта с помощью плагинов, таких как Wordfence или того же iThemes Security.

Как защитить ваш продукт?

Существует много решений для лицензирования и защиты, но перед тем, как выбирать, вам нужно задать себе несколько важных вопросов.

В первую очередь следует подумать, какой уровень защиты требуется вашему приложению. Сойдёт ли что-нибудь на уровне замка для велосипеда или же нужно нечто более существенное, как Форт-Нокс? Многие разработчики совершают ошибку на этом этапе и защищают приложение сильнее, чем необходимо.

Затем спросите себя о том, сколько вы готовы потратить на защиту. На этот вопрос нет правильного ответа, поэтому вам придётся провести небольшое исследование, чтобы узнать цены на те способы, которые вам подходят.

SalesForce Solution Architect

Philip Morris, Москва

tproger.ru

Вакансии на tproger.ru

Когда вы со всем этим определитесь, можно начинать искать варианты защиты.

Автоматизируем процесс проверки


Ставим скрипт на крон, чтобы знать об изменениях на хостинге в любое время суток. Крон есть на каждом хостинге, только пути для выполнения у многих разные, по этому почитайте FAQ на своем хостинге или обратитесь в тех.поддержку, чтобы они помогли все правильно настроить.

Для примера пару команд:

/usr/bin/wget -O — -q https://vasilenko.info/antishell.php

1 usrbinwget-O—qhttps//vasilenko.info/antishell.php

/usr/bin/php -f /home/u/vasilenko.info/antishell.php

1 usrbinphp-fhomeuvasilenko.infoantishell.php

wget -q -O — /dev/null https://vasilenko.info/antishell.php >/dev/null 2>&1

1 wget-q-O-devnullhttps//vasilenko.info/antishell.php >/dev/null 2>&1

Задаем нужный интервал сканирования (пример в ISPmanager):

Например ставим раз в час или день.

Крон будет заходить автоматически по расписанию на секретный файл, который мы хорошо спрятали и если что-то изменилось, сразу же пошлет отчет на почту.

Что делать, если деньги не удалось защитить?

В завершение, рассмотрим, что делать, если защита средств на банковских картах Сбербанка не увенчалась успехом.

Итак, мошенники, все же, вас провели

Неважно каким способом, но им удалось списать с вашей карты Сбербанка какую-то сумму

Вы должны знать, в России есть Федеральный закон №161 «О национальной платежной системе», согласно ст.9 которого банк обязан вернуть краденные суммы, если только он не докажет, что клиент сам нарушил порядок использования данного платежного средства.

  1. Чтобы защитить деньги, клиент должен в течение 1 рабочего дня с момента совершения несанкционированной оплаты оповестить банк о случившемся. Если просрочил – Сбербанк имеет право отказать в возврате;
  2. Информирование необходимо совершить лично, в отделении Сбербанка, путем написания заявления;
  3. Чтобы защитить самого себя, стоит взять у сотрудника, принявшего заявление, второй экземпляр с отметкой об успешном приеме.

Самым первым шагом по защите карты Сбербанка от мошенников должен стать звонок в колл-центр с целью блокировки пластика. Далее, бегом в банк, писать заявление. Если Сбербанк начнет препятствовать (чего быть не должно), смело топайте в прокуратуру. Подали заявление? Возьмите копию! Далее, ступайте в отделение полиции, пишите заявление и там. Это уже, чтобы наказать мошенников, особенно, если вы столкнулись с наглым разбоем. Защитить себя нужно всесторонне, не так ли?

Вот и все. Теперь ждите возврата денег на счет, а также справедливого возмездия от Фемиды!

Как защитить платежную карточку?

Ошибка думать, что защита банковских карт от считывания лежит только на финансовом учреждении. В первую очередь, пользователь сам несет ответственность за сохранность своего имущества. Сбербанк разработал очень надежную систему для защиты кредитных карт своих вкладчиков. Однако, глупые и, порой, необдуманные действия последних, легко могут перечеркнуть эти усилия.

Итак, как защитить деньги на карте, ознакомьтесь с простыми правилами:

  • Обязательно подключите СМС оповещение обо всех транзакциях по карте Сбербанка. Одновременно не забудьте активировать СМС-подтверждение на совершение любых платежей. Так вы оперативно получите информацию о незаконном списании и не позволите мошенникам своровать ни копейки.
  • Установите месячный, а лучше суточный, лимит на онлайн-платежи. При необходимости, его в любой момент можно увеличить, а вот мошенники ни за что не обнулят весь счет на карточке.
  • Если вам звонят и представляются сотрудниками банка, будьте бдительны. Во-первых, номер должен пестрить нулями, а официальный короткий номер Сбербанка (СМС-уведомления) – 900. Во-вторых, запросите у звонящего его идентификационный код сотрудника Сбербанка, чтобы убедиться, что он действительно там работает. В-третьих, помните, персонал банка не имеет права запрашивать у клиентов реквизиты карт, а особенно ПИН-коды, CVC2/CVV2 коды, 16-значный номер пластика или срок действия.
  • Чтобы защитить средства, проверяйте сайты, с которых совершаете Интернет-платежи;
  • Не позволяйте официантам в кафе или кассирам в других учреждениях, уносить вашу карту в другие помещения. Настаивайте на совершении оплаты на ваших глазах;
  • Чтобы защитить деньги, выбирайте для снятия банкоматы, расположенные внутри точек, оборудованных видеонаблюдением (внутри офисов, банков, супермаркетов и т.д.);
  • Если банкомат вызывает подозрение, не пользуйтесь им. Перед тем, как вставить платежный пластик, осмотрите терминал: нет ли подозрительных элементов, наклеек, лотков с рекламными флаерами (с микрокамерой) и т.д.?
  • Старайтесь защитить ПИН-код от глаз посторонних – закрывайте клавиатуру рукой, просите любопытных граждан в очереди отступить от вашего плеча хотя бы на полметра. Если возникнут проблемы, не соглашайтесь на помощь «сердобольных» товарищей, у которых «буквально вчера было то же самое». Сразу звоните в банк и блокируйте карту;
  • PIN-код запоминайте наизусть;
  • При потере или краже карточки сразу блокируйте ее, связавшись со Сбербанком.
  • Если не знаете, как защитить карту с бесконтактной оплатой, просто купите для нее самый дешевый корпус, препятствующий работе NFC. Чехол для банковской карты с защитой от считывания стоит всего 100 рублей, зато ни один мошенник не сумеет тайно своровать с нее ваши деньги.

Защита админ-панели сайта от взлома

Поскольку всегда есть риск, что в результате перебора паролей от админ-панели злоумышленники получат к консоли CMS, имеет смысл подстраховаться. Возможны два простых, но эффективных способа защиты админ-панели сайта от взлома:

  1. При помощи файла .htaccess;
  2. При помощи плагинов для CMS.

Защита админ-панели при помощи файла .htaccess

Данный способ защиты весьма эффективен, так как позволят получить доступ к панели управления сайта только с указанных IP-адресов. Идеально подходит в том случае, если вы заходится на сайт только с одного компьютера и у вас статический IP-адрес (никогда не изменяется).

Определение IP-адреса

Если IP-адрес динамический (меняется при перезагрузке модема), то необходимо знать диапазон изменения IP-адресов.

Вариант 1. IP-адрес статический.

Предположим, что у вас статический IP-адрес 94.233.122.134, сайт (блог) работает на движке WordPress. Для ограничения доступа к панели администратора, необходимо в директории /wp-admin/ разместить файл .htaccess следующего содержания:

order deny, allow deny from all allow from 94.233.122.134

Вариант 2. IP-адрес динамический.

Предположим, что вы выписали все возможные IP-адреса и получился такой список:

  • 5.139.2.151
  • 5.139.23.192
  • 5.139.15.91
  • 5.139.34.223
  • 94.233.25.27
  • 94.233.122.134
  • 178.35.172.179
  • 178.35.143.9
  • 178.35.140.101

Это реальный пример, из которого видно, что IP-адрес изменяется в широких приделах. В подобном случае, содержимое файла .htaccess может выглядеть следующим образом:

Order deny,allow Deny from all Allow from 5.139 Allow from 94.233 Allow from 178.35

В данном примере, указывается общая часть диапазона IP-адресов.

Защита админ-панели при помощи плагинов

Вполне приемлем способ защиты административной панели при помощи плагинов. К примеру, для WordPress можно использовать плагин Limit Login Attempts — который позволяет ограничивать количество попыток ввода неверного пароля.

По умолчанию, плагин Limit Login Attempts настроен таким образом, что если четыре раза неправильно ввести пароль, то возможность ввода пароля с этого IP блокируется на 20 минут. После четырех серий из четырех неправильных попытках, возможность ввести пароль блокируется на 24 часа.

Плагин сохраняет лог (статистику) изоляций, в которой указано, с каких IP была произведена попытка получения доступа к консоли, а также указано, какой вводился логин.

Лог изоляций

Обратите внимание, как правило используются логины «admin» и «administrator» — расчет на начинающих сайтостроителей, оставивших логин по умолчанию. Сообщения о превышении максимально количества попыток авторизации

Сообщения о превышении максимально количества попыток авторизации

В подобных случаях, есть смысл увеличить время изоляций при неправильном вводе пароля.

Уберите простой пароль администратора

В продолжение борьбы с подбором, поменяете лёгкий пароль администратора или администраторов, если их несколько. С недавних пор на WordPress стоит генератор сложных паролей, которого вполне достаточно для создания сложного пароля. Посмотреть и поменять пароль можно на вкладке Пользователи>>> ваш профиль.

Если вас не устраивает встроенный генератор паролей, используйте сторонний тут (http://randstuff.ru/password/) или тут (http://www.webtoolhub.com/tn561383-random-password-generator.aspx).

Ключи безопасности

Современный способ установки WordPress, позволяет устанавливать систему без непосредственного редактирования файла конфигурации. То есть, уже давно можно обходить ручную правку файла wp-config.php, в текстовом редакторе.


Примечание: если вы давно не меняли ключи, лучше это сделать сейчас.

Актуальность активных и пассивных плагинов сайта

Напомню, что обновления CMS WordPress делаются не только для изменения функционала сайта, но и для исправления безопасности системы. Как следствие, обновление плагинов тоже часть исправления безопасности. Если вы используете плагины, которые не обновляются, то есть вероятность взлома сайта через эти плагины.

Именно поэтому, все не обновляемые плагины помечаются, как потенциально опасные.

Неактивные пользователи

Система WordPress изначально создавалась очень интерактивной. Возможность комментирования, регистрация, отправка сообщений, всё это элементы интерактивного общения с пользователями входящие в коробочную версию.

Давно замечено, что на одного «живого» пользователя, регистрируется десяток «пустышек» или «ботов». При атаках спам ботов, эти показатели увеличиваются значительно.

Обычно, при организации безопасности сайта, ставится защита от спам регистрации. Однако, даже «живых» пользователей, нужно периодически просеивать. Удаляйте, зарегистрированных пользователей, не проявляющих активность на сайте. Замечено, что они могут использоваться для попыток взлома.

Резервное копирование

Если у вас нет решений по постоянному резервному копированию сайта, нужно его сделать. Решить проблему периодического резервного копирования сайта можно:

  • Настройкой резервного копирования на вашем хостинге;
  • Установкой плагина автоматического резервного копирования;
  • Периодическим ручным резервным копированием.

Важно, чтобы у вас пол рукой, всегда была свежая резервная копия сайта

Удалите лишние файлы

После установки и настройки сайта удалите из каталога сайта, следующие файлы:

Если вам нужно оставить файл конфигурации для исходного образца, просто его переименуйте. Файл readme содержит описание вашей версии WP, что также может стать элементом уязвимости.

Совет первый – установка плагинов для защиты WordPress сайта.

Плагин WordPress Anti-XSS attack — предупреждение и защита от XSS-атак wp блога. Это означает защиту от хакерских запросов с адресной строки. Скачать русскую версию Anti-XSS attack https://mywordpress.ru/plugins/anti-xss-attack/ Установка стандартная:  залейте файл anti-xss-attack.php в папку wp-content/plugins/, затем активировать и все. Он будет работать. На заметку по работе плагина: если в браузере пользователя отключена передача referer, то все действия пользователя вордпресс будет воспринимать как XSS-атаку.

Плагин Login LockDown (Limit Login Attempts) – заблокирует ботов, которые попытаются совершить взлом адинки вордпресс.  Выглядит это так: бот пытается попасть в административную часть блога с помощью подборов пароля. Плагин можно настроить на конкретный интервал времени таких попыток с одного ip. При его превышении бот будет заблокирован.  Настраивается и время блокировки, и отмена ее. Скачать Login LockDown https://wordpress.org/extend/plugins/login-lockdown/  Устанавливаем как обычно. Залили  на сервер, активировали и настроили время. Можете оставить и по умолчанию.

Stealth Login – меняет адрес страницы авторизации, которая по умолчанию имеет адрес   WP-login.php. Можно придумать любой адрес типа «сайт/Любой_логин». Также он может запретить вход на сайт по адресу WP-login.php – для этого отметьте  «Stealth Mode».

Secure WordPress Удаляет информацию об ошибке входа. Добавляет index.php в папки плагинов и тем. Не даст злоумышленнику посмотреть список установленных плагинов. Такие файлы, как index.php и index.html лучше вставить во все папки. Иначе может произойти вот что: читайте ниже.Закрывает возможность хакеру просмотреть какие плагины установлены на блоге с помощью добавления пустого файла index.html. При запросе https://сайт.ru/index.html  можно обнаружить, что ваш блог все-таки поражен вредоносным кодом. Например, я обнаружила множество страниц не со своим контентом из несуществующей директории своего домена, типа https://сайт.ру/drivers/. Ответ сервера при этом код 200.

Chap Secure Login защищает процесс авторизации путем шифрования. Это полезно в случае, когда хакерская программа отслеживает и перехватывает вашие данные.

Скачать Chap Secure Login https://wordpress.org/extend/plugins/chap-secure-login/

Еще подборка плагинов для усиления безопасности wp блога:belavir (php MD5) — с его помощью сразу увидите в каких файлах произведены изменения. bs-wp-noerrors WordPress File Monitor – сканирование и отслеживание измененных файлов.

Полезно использовать защиту от спама, спамер может рассылать невидимые глазу ссылки: WP-SpamFree на русском.

Что стоит запомнить

Ваш сайт могут скопировать — и контент на нем, и код. Это не только обидно, но и опасно — в случае, если скопированный материал проиндексируется сначала у воришек, и только потом у вас. Вы окажетесь ниже в поиске по релевантному запросу или вообще не попадете в выдачу, к тому же поисковые системы могут занизить вас якобы за плагиат.

На 100% защитить сайт от копирования не получится, но можно усложнить жизнь ворам и сделать так, чтобы поисковики показывали именно ваш, а не ворованный контент, и не было сомнений, что авторство принадлежит именно вам.

Вот какие способы для этого есть.

Запретить копирование контента и кода сайта. Это делается специальным кусочком кода: пользователь просто не может скопировать текст или увидеть код. Не советую этим пользоваться. Во-первых, это может злить пользователей, а во-вторых, продвинутый вор все равно найдет способ обойти запрет. Автоматически добавлять ссылку на источник в скопированный у вас текст

Это поможет нарастить внешнюю ссылочную массу, если вор не заметит и не удалит такую приписку. Ставить подпись к материалам — эта предосторожность на случай, если дело дойдет до суда и нужно будет доказать авторство. Прописать в подвале или в другом месте сайта правила использования материалов. Если у вас официально можно будет брать материалы со ссылкой на источник, это даст больше внешних ссылок. Добавлять водяной знак на фото и видео, чтобы его сложно было затереть или обрезать. Хранить у себя оригиналы всех фото и видео в исходном качестве без обработки — они послужат доказательством авторства. Писать уникальный и специфичный контент, который конкурентам будет сложно применить у себя. Перед публикацией регистрировать текст в инструменте «Оригинальные тексты» в консоли «Яндекс.Вебмастер» для нужного сайта

Так поисковик будет знать, что текст впервые вышел именно на вашем сайте. Сразу после публикации анонсировать материал на всех доступных площадках. Чем больше внешних ссылок будет на публикацию, тем быстрее она проиндексируется поисковиками.

Шаг 12 – Изменение стандартных префиксов базы данных WordPress для предотвращения внедрения SQL-кода

База данных WordPress содержит и хранит в себе всю ключевую информацию необходимую для работы вашего сайта. В результате, она становится еще одной целью хакеров и спамеров, которые выполняют автоматизированный код для проведения внедрения SQL-кода. Во время установки WordPress, многие люди не утруждают себя изменением стандартного префикса базы данных wp_. Согласно данным WordFence, 1 из 5 взломов WordPress связан с внедрением SQL-кода. Так как wp_ это одно из стандартных значений, сперва хакеры начинают именно с него. На данном этапе мы кратко рассмотрим, как защитить сайт на WordPress от подобного рода атак.

Изменение таблицы префиксов для существующего сайта на WordPress

ВАЖНО! Главное это безопасность! Перед началом, удостоверьтесь, что сделали бэкап вашей базы данных MySQL

Часть первая — Изменение префикса в wp-config.php

Найдите ваш файл wp-config.php используя FTP клиент или Файловый менеджер найдите строку со значением $table_prefix.

Можете добавить дополнительные цифры, буквы или нижние подчеркивания. После этого, сохраните изменения и перейдите к следующему этапу, В этом руководстве мы используем wp_1secure1_, как новый префикс таблицы.

Пока вы находитесь в вашем файле wp-config.php, также найдите имя вашей базы данных, чтобы знать какую именно изменить. Поищите в секции define(‘DB_NAME’.

Часть вторая – Обновление всех таблиц базы данных

Сейчас вам нужно обновить все записи в вашей базе данных. Это может быть сделано используя phpMyAdmin.

Найдите базу данных определенную в первой части и войдите в нее.

По умолчанию, установка WordPress имеет 12 таблиц и каждая должна быть обновлена. Однако это можно сделать быстрее, используя раздел SQL в phpMyAdmin.

Изменять каждую таблицу вручную займет огромное количество времени, поэтому мы используем SQL запросы, чтобы ускорить процесс. Используйте следующий синтаксис для обновления всех таблиц в вашей базе данных:

RENAME table `wp_commentmeta` TO `wp_1secure1_commentmeta`;
RENAME table `wp_comments` TO `wp_1secure1_comments`;
RENAME table `wp_links` TO `wp_1secure1_links`;
RENAME table `wp_options` TO `wp_1secure1_options`;
RENAME table `wp_postmeta` TO `wp_1secure1_postmeta`;
RENAME table `wp_posts` TO `wp_1secure1_posts`;
RENAME table `wp_terms` TO `wp_1secure1_terms`;
RENAME table `wp_termmeta` TO `wp_1secure1_termmeta`;
RENAME table `wp_term_relationships` TO `wp_1secure1_term_relationships`;
RENAME table `wp_term_taxonomy` TO `wp_1secure1_term_taxonomy`;
RENAME table `wp_usermeta` TO `wp_1secure1_usermeta`;
RENAME table `wp_users` TO `wp_1secure1_users`;

Некоторые шаблоны WordPress или плагины могут добавлять дополнительные таблицы в базу данных. В случае если у вас больше 12 таблиц в базе данных MySQL, добавьте оставшиеся из них вручную в запрос SQL и выполните его.

Часть третья – Проверка опций и пользовательских таблиц метаданных

В зависимости от числа плагинов которые вы установили, некоторые значения в вашей базе данных должны быть обновлены вручную. Сделать это можно выполнив отдельные SQL запросы на таблицу опций и метаданных.

Для таблицы опций, вы должны использовать:

SELECT * FROM `wp_1secure1_options` WHERE `option_name` LIKE `%wp_%`

Для таблицы метаданных, вы должны использовать:

SELECT * FROM `wp_1secure1_usermeta` WHERE `meta_key` LIKE `%wp_%`

Когда вы получите результаты запроса, просто обновите все значения с wp_ на ваш новый настроенный префикс. В таблице метаданных пользователя вам нужно отредактировать поле meta_key, тогда как для опций, необходимо изменить значение option_name.

Обеспечение безопасности новых установок WordPress

Если вы планируете устанавливать новые сайты WordPress, вам нет необходимости вновь выполнять данный процесс. Вы легко сможете поменять префиксы таблиц WordPress в процессе установки:

Поздравляем! Вы успешно улучшили безопасность вашей базы данных от внедрения SQL-кода.

Перспективы и тенденции

Переход к пользованию едиными интегрированными комплексами позволяет решить массу вопросов по безопасности предприятия. DLP являются комплексными разработками, поэтому уже не требуют никаких дополнительных программных продуктов.

Еще одна новинка в области DLP – это последовательный переход к модульной системе. В таком варианте сотрудничества клиент выбирает те компоненты, которые ему нужны. Не исключено появление в скором времени систем, специально разработанных для определенных отраслей. Существуют варианты для банковской сферы, для государственных предприятий, и т.д.

Необходимость использования систем DLP рекомендуется на законодательном уровне, фигурирует в стандартах и нормативных документах.

Рассказать друзьям


С этим читают