Oops! It appears that you have disabled your Javascript. In order for you to see this page as it is meant to appear, we ask that you please re-enable your Javascript!

Защита базы данных сайта MySql

База данных на сервере хостинга — основное место, где хранятся «детальки» (текстовые данные в основном) от Вашего сайта. Если туда что-либо записать лишнего — то движок WordPress это и покажет = и это уже будет не Ваш сайт :(

Прямая атака на базу MySql

По умолчанию, при установке WordPress создает в базе таблицы с префиксом wp_. Злоумышленники об этом знают. Необходимо либо при установке выбрать другой префикс вида mysite_ (WordPress спросит при установке, не более 6-ти латинских букв), либо поменять его у готового сайта.

Зачем это нужно? Ну вот пример — мы при установке указали другой префикс вида xxx_ (вместо wp_), сайт нормально работает. И вот заходим в phpMyAdmin и видим следующий ужас

Защита базы данных сайта MySql

Мы видим таблицы вида xxx_, где хранится наш сайт, а также какие-то левые таблицы с префиксами wp_ и даже joomla_.

Что это, откуда это?

А это боты напихали в наш сайт свои хакерские страницы. Вытащили пароль от базы. Так как боты автоматические — они тупо добавляют таблиц со стандартными префиксами, и от WopdPress и от Joomla.
Если бы мы префикс не сменили на xxx_, то движок от WordPress стал бы использовать чужие таблицы с префиксом wp_и на сайте появились бы чужие страницы.

У готового сайта префикс таблиц в базе можно сменить с помощью плагина Brozzme DB PREFIX

ВАЖНО: перед сменой префикса в базе MySql на уже работающем сайте обязательно сделайте себе копию (файлы движка, картинки, база) на локальный ПК. Это позволит восстановить сайт при возможном сбое.

Устанавливаем плагин, активируем.

Защита базы данных сайта MySql

До запуска плагина необходимо дать разрешение на запись в файл wp-config.php, указать на хостинге CHMOD 755 или 777.

Базовые права (после установки) у файла wp-config.php — 660 (читать ниже), скан с клиента FTP на сервере.

Защита базы данных сайта MySql

С правами 660 никакие внешние пользователи ничего не могут.

Права CHMOD 755 или 777 означают следующее (да, можно командами Lunix, но проще галочками через FTP/Свойства)

Защита базы данных сайта MySql

Защита базы данных сайта MySql

Потом вводим свой вариант для префикса (поле New Prefix) и запускаем плагин. После сделанных изменений убираем разрешение на запись для файла wp-config.php (или перемещаем на уровень вверх — см. ниже) и удаляем этот плагин, т.к. он свою задачу уже выполнил.

Взлом файла конфигурации wp-config.php, получение доступа к базе MySql и перехват управлением сайта

В данном файле хранится логин/пароль (в открытом виде) для базы MySql и другая полезная служебная информация. Сам файл находится в  корневой директории Вашего сайта.

Защита базы данных сайта MySql

Внутри файла все наши тайны — название базы MySql, юзер, пароль к базе, префикс, «соль» для файлов куки — все в открытом виде.

Защита базы данных сайта MySql

По умолчанию при установке стоит запрет на просмотр этого файла из браузера, т.е. вариант вида
www.mysite.ru/wp-config.php не откроет данный файл.

На лучше подстраховаться — мы можем совсем спрятать этот файл. Для CMS WordPress есть простой способ — перетащить его на один уровень вверх.

Его можно перенести из папки www (на сервере хостинга) на уровень выше. Сам движок WP его там найдет (сайт продолжит работу как и раньше), но из браузера на этот уровень зайти невозможно — HTTP server отдает браузеру только данные из папки www

Защита базы данных сайта MySql

Еще почитать:

Защита WP

Защита WP

CMS WordPress является достаточно популярной платформой для ведения блогов и создания сайтов. Это же автоматически подразумевает большое количество желающих использовать Ваш сайт для своих целей: - перехват и перепродажа трафика - размещение ссылок - создание б...

Защита текста и картинок от копирования

Защита текста и картинок от копирования

Как защитить свой блог (картинки и текст) от копирования? В общем случае - никак :(  Всё, что Вы видите в своем браузере - оно уже есть на Вашем компьютере. Но можно сильно усложнить сам процесс копирования для любителей copy-paste. Итак, основные нап...
Как сбросить пароль администратора WordPress

Как сбросить пароль администратора WordPress

Потеряли пароль от админики WordPress? Что делать? Не всё так плохо :) Используем средство восстановления пароля WordPress При входе Вводим свой email Получаем на свою почту служебную ссылку, заходим, меняем пароль. Всё стандартно. ...
Как скрыть логин пользователя WordPress

Как скрыть логин пользователя WordPress

Посмотрим статистику. Для начала устанавливаем плагин Activity Log  (логгирование действий пользователей), активируем И видим следующие картину Кто все эти люди и откуда они знают мой логин? Это не люди мучают клавиатуру с ручным подбором паролей, эт...
Плагины для архивирования и переноса сайта

Плагины для архивирования и переноса сайта

Лучшая безопасность для сайта - это делать backup. Даже если враги всё сломали (а там почти 3000 файлов PHP в движке) - всё удаляем из папки WWW на сервере (именно ВСЁ - включая файлы движка WordPress) и восстанавливаем из бэкапа как было. Сайт...

Сохранить URL
close slider

Вы можете сохранить себе URL этой страницы.

Введите Ваш e-mail:


Извините, простая капча от роботов. Какой сейчас год? Например:

 

Если всё заполнено корректно - к Вам на почту придет письмо, в котором будет ссылка на данную страницу, её заголовок и описание.

 

Это работает на любых устройствах :)

 

P.S. Это не подписка на рассылку!