Salom uzinfobiz.ru blogimning o’quvchilari! Bugun men sizlarga WordPres blogni tashqi hujumlardan qanday himoya qilish to’g’risida bir qancha maslahatlar bermoqchiman.
Bu maslahatlar WordPres blog uchun juda muhim. WordPress blogni qanday himoya qilish kerak? Men bilamanki, ko’pgina webmasterlar bu haqda o’ylab ham ko’rishmaydilar.
Blogni tuzdik, har xil plaginlarni o’rnatdik va tamom, maqolalarni yozamiz, rivojlantiramiz, bo’ldi. Bu yog’I o’z yo’liga ketaveradi, deb o’ylaydilar. To’g’risi, mening boshqa bir saytimni qo’shtirnoq ichidagi “ishbilormonlar ” parol, loginini buzib boshqa login parolga o’zgartirmagunlaricha men ham o’ylamasdim. Endi esa manabundayman.((( (hazil)
Endi, yangi biron bir sayt yaratgan zahotim, birinchi qiladigan ishim, har xil moshennigu, xakerlardan saytning himoya qismini mustahkamlashni o’ylayman va sizga ham shuni qatiyan maslahat beraman.
Saytni himoya qilish va rivojlantirishning eng birinchi qilinadigan ishlaridan yana bir, ikkitasi to’g’risida “WordPress blogning birinchi himoya va rivojlanish sirlaridan biri yoki ajratilgan IP adres” nomli maqolamda aytib va ko’rsatib o’tdim. Bu maqolani o’qib chiqishlaringizni va undagi harakatlarni amalga oshirishlaringizni tavsiya qilaman.
Chunki, sizning sayt ozgina mashhur bo’lgan zahotiyoq har xil “yaxshi odamlar” sizning saytingiz ustida ishlashni boshlashadi. To’g’rirog’i ancha oldindan ishlashni boshlashgan, chunki biz bilamiz, hozirgi kunda internetda qanchadan qancha virus programmalar, robotlar, scriptlar va hokazolar yaratilgan. Ular dam olish kunlarisiz ishlashadi.
Blogni qanday himoya qilish kerak?
WordPress blogni tashqi hujumlardan himoya qilish to’g’risida 6 ta maslahat.
DIQQAT: Bu maslahatlarni qilishdan oldin saytingizning zahira nusxasini (rezervnaya kopiya) qilib oling.
Birinchi maslahat. WordPress blog admin paneliga yani sizning ish kabinetingizga kirishni himoya qiladigan 2 ta eng kerakli ishni qilishingiz shart:
Birinchisi bu – XSS hujumlardan sayt ( blog ) ni himoya qilishingiz kerak. Bu ancha katta mavzu bo’lganligi sabab bu to’grida alohida maqola yozishga qaror qildim, buni bilish uchun blogimga OBUNA bo’ling. Maqola yozilgan zahotiyoq pochtangizga xabar boradi.
Bu maqolada siz saytingizning tashqi hujumlar uchun ochiq qolgan joylarini qanday aniqlashni va uni qanday bartaraf qilishni bilib olasiz.
Ikkinchi ish bu – Login LockDown yoki Limit Login Attempts plaginini o’rnatib uni sozlang. Agar plaginni qanday o’rnatishni bilmasangiz manabu «WordPress sayt yoki blogga qanday qilib plagin o’rnatish kerak?» nomli maqolam bilan tanishing
Plagin Login LockDown yoki Limit Login Attempts- bu plaginlar sizning admin panelingizga kirish uchun ko’p marotaba urinishni oldini oladi. Yani, agar haligi aytgan qo’shtirniq ichidagi “yaxshi odamlar” uch marta urinib ham kira olmasa, sistema avtomatik ravishda unga malum vaqtgacha kirishni taqiqlab qo’yadi.
Urinishlar sonini va taqiqlash vaqtini, plaginning sozlash qismida o’zingiz, o’z xohishingizga qarab sozlaysiz. Bu ikki plaginni sozlash bir xil sozlanadi.
Ikkinch maslahat. Boshqaruv panelingizga kirish login va parolingizni o’zgartiring. Bu ishni admin panelingiz orqali qila olmaysiz, shuning uchun saytingiz joylashgan hostingizdagi admin panelingizga kirib u yerdan quyidagi rasmda ko’rsatilgan tartibda ssilkalarga bosib phpmyadminga kirasiz.
Va bu yerdan esa quyidagi harakatlarni bajarasiz:
Va yana quyidagi amallarni bajaring:
Va nihoyat login va parolingizni o’gartirish payti keldi. Quyidagi rasmda:
- Bu sizning loginingiz
- Bu sizning parolingiz. Parol kamida 20-25 ta harf va sonlardan iborat bo’lishi kerak.
- Va yana loginingiz (bu yerga 1 chi nomerdagi yozgan loginingizni yozasiz)
- Strelkacha ustiga bossangiz anch sozlamalar ko’rinadi, shularning ichidan MD5 yozuvining ustiga bosasiz.
- Вперед tugmasini bosishingiz bilan sizning login va parolingiz o’zgaradi.
DIQQAT: Bu login va parolni biron bir joyga yozib qo’ying.
Uchinchi maslahat: Saytingizning asosiy papkasida joylashgan readme.html va license.txt fayllarini umuman olib tashlang. Bu fayllar sizga kerak emas, bu fayllar hakerlar WordPress CMSingizning versiyasi va boshqa foydali narsalarni bilish uchun kerak bo’ladi.
Va yana sayt shablonidagi header.php faylidagi manabu yozuvni ham o’chirib tashlang:
<meta name=»generator» content=»WordPress 3.9.1″ />
Bu yozuv ham WordPress versiyasini ko’rsatadi.
To’rtinchi maslahat: WordPress database backup plaginini o’rnating. Bu plagin sizning malumotlar bazangizni himoya qiladi. Plaginning sozlamalar bo’limida malumotlar bazasining nusxasini har kun pochtangizga yuborishni sozlab qo’ysangiz bas, malumotlar bazangizdan xavotirlanmasangiz ham bo’ladi.
Beshinchi maslahat: Brauzeringizga quyidagi url adresni yozing:
- http://sizning sayt/wp-content/
- http://sizning sayt/wp-content/plugins/
Agar siz bu yozuvni brauzeringizga yozib qidiruvni bosganingizdan keyin manashu papkalarda joylashgan papka va fayllarni brauzeringizda ko’rsangiz bu juda yomon. Zudlik bilan har bir papkada ( wp-content/ va wp-content/plugins ) bo’sh index.php faylini yarating va quyidagi yozuvni har biriga yozib qo’ying.
<?php
// Silence is golden.
Endi siz tepadagi url manzilni brauzeringizga yozib qidiruvni bossangiz bo’sh brauzerni ko’rasiz.
Oltinchi maslahat: function.php faylining oxiriga quyidagi kodlardan bittasini qo’ying, va qo’yganingiz zahoti saytingizni tekshirib ko’ring. Sayt ishlamay qolsa qoyganingizni o’chirib ikkinchisini qo’yib ko’ring. Chunki sizning shablonga to’g’ri kelmay qolishi mumkin.
<!–?php remove_action (’wp_head’, ‘wp_generator’); ?–>
Yoki
remove_action (’wp_head’, ‘wp_generator’);
Va yana search.php faylidagi manabu faylni:
<!–?php echo $_SERVER [‘PHP_SELF’]; ?–>
Quyidagi faylga almashtiring:
<!–?php bloginfo (’home’); ?–>
Bu kod sizning cerveringizga har hil “yaxshi odamlar”ning kirishini taqiqlaydi. Agar sizning shabloningiz papkasida bunday fayl bo’lmasa unda hech nima almashtirish kerak emas.
Yuqorida berilgan maslahatlar eng asosiylari edi, ha bularni yana davom ettirish mumkin, lekin men hozir shular bilan cheklanaman. Va yana qo’shimcha maslahatlardan quyidagilarni aytishim mumkin.
Saytingizdagi barcha o’rnatilgan plaginlarni tekshirib ko’ring va ishlatilmayotgan plaginlar bo’lsa ularni umuman saytingizdan olib tashlang. Va yana WordPress platformasi va plaginlarni tez-tez kuzatib turing, agar qayta yangilash (obnavit)kerak bo’lsa ularni qayta yangilab turing.
Iloji boricha hosting bilan hostingning o’zi bilan to’g’ridan-to’g’ri bog’laning, yani FTP klient bilan bog’lanmang, bu ancha bexavotirroq bo’ladi. Ha aytgancha Hosting admin paneliga kirish login va parolingizni ham ancha murakkab qiling. Agar hakerlar hosting login, parolini buzib kirishsa unda yuqorida qilgan ishlaringiz hammasi bir pul bo’ladi.
Va yana sayt o’quvchilariga ro’yxatdan o’tishni taqiqlab qo’ying, bu ancha bexavotir bo’ladi.
Do’stlar! Shu bilan men maqolamni tugataman. Mana endi siz ham bilasiz WordPress sayt (blog)ni qanday qilib tashqi hujumlardan himoya qilishni. Himoyalaning do’stlar, ishingiz yurishadi, sifat oshadi!!! Axir biz bu erga shunchaki o’yin qilish uchun kelganimiz yoqku. Bu ishlar kimgadir qo’shimcha daromad keltiradi, kimgadir esa asosiy. Shunday ekan bunga befarq bo’lmasligimiz kerak.
Maqolam sizga yoqdimi? Tushunmagan joylar bo’lib qolsa kommentariyada qoldiring, javob berishga harakat qilaman. Blogimga OBUNA bo’lishni maslahat beraman. Chunki blogimda shunga o’xshash maqolalar va bepul videokurslar, bellashuvlardan birinchilardan bo’lib xabar topasiz. Xayr!
Muallif Oxunjon G’aybullaev
