Урок 29. Шифрование данных

шафрование данных в вордпресс

Серия статей «Мой блог - моя крепость!». Статья 2 из 6.

Всем привет!

Сегодня мы поговорим о том, как зашифровать логин и пароль при входе в админ панель. Не для кого не секрет, что в наше время существует огромное количество скриптов, которые помогают злоумышленнику перехватить данные. Те, кто смотрел видео уроки по взлому мыла, наверняка о них слышали. А таких людей много. Каждый второй человек, который более-менее познакомился с компьютером и интернетом, в первую очередь мечтает взломать мыло подружки или друга. И все сразу бегут на ютюб вводя в строку поиска «как взломать мыло на ...». Я и сам таким был 🙂 90% видео демонстрирует подобные скрипты, которые воруют куки и тп. Вот о подобных скриптах, точнее о защите от них мы и поговорим в этом уроке.

И так, вот Вы решили зайти в админ панель блога. Пишете в адресной строке www.вашсайт.ru/wp-admin, появляется окно, в которое Вы прописываете Ваши логин и пароль:

Все дело в том, что когда Вы все вписываете и нажимаете на кнопку «Войти», данные передаются на сервер, и там проверяются на правильность. Сама передача данных ничем не защищена, следовательно очень уязвима. Скрипты перехватывают эти данные и передают их злоумышленнику. И все! У него есть полный доступ к админ панели Вашего блога. Но мы же не хотим чтобы это произошло? Поэтому давайте застрахуемся от подобных вещей.

Есть сайты, начинающиеся на https - это шифрованное соединение, там данные не перехватишь. Подобное стоит на всех авторитетных сервисах интернета: яндекс, гугл, вебмани и так далее. Установить такую услугу себе на блог стоит огромных денег. Поэтому давайте обойдемся без нее, выйдет не хуже!

На помощь нам приходит плагин «Semisecure Login Reimagined» скачать его можете здесь. Активируем. Заходим в настройки плагина (Параметры -> Плагины -> Semisecure Login).

  1. Сам ключ, который шифрует логин и пароль, и в итоге передает серверу защищенную информацию. Если даже скрипты перехватят данные, это ничего им не даст.
  2. Степень защиты, рекомендовано оставить 2048.
  3. Другой метод защиты, он нам не нужен.
  4. Жмем на «Generate Keys»

Теперь выходим из системы и видим следующую картину:

Как видим, плагин работает! Все, теперь Ваш блог еще более защищен! И это далеко не конец, после всех статей Ваш блог станет настоящей крепостью! Рекомендую подписаться на RSS-ленту (как подписаться?), чтобы не пропустить новых уроков! Либо читайте мой твиттер.

Всего доброго!

Полезные статьи Вам на почту!

Нас более 700 человек!

Комментарии

Екатерина
0

Добрый вечер! При активации плагина, вылезает следующая ошибка:

SemisecureLoginReimagined has not been activated!OpenSSL doesn't appear to be available. This plugin relies on OpenSSL and won't work until it's been installed.Click here to return to the plugins page.

Что делать?

04.11.2012
Sly
0

Дело в том, что WordPress обновили до версии 3.4.2, а плагин, разработчики, обновить не успели. Сейчас прочитал на сайте разработчиков, последняя версия, на которой работает данный плагин - 3.1.4. Поэтому придется ждать, когда плагин сделают совместимым с новой версией WordPress.

04.11.2012
Prohor
0

Здравствуйте! Аларм,Ахтунг,Хелп!! У меня проблема - этот плагин шифровки стар и с версиями свежими вордпресса не очень видимо совместим... У меня была проблема по переходу на сайт по ссылке из письма. Сначала у некоторых только пользователей, потом и у меня самого и у всех. Заходя в wp-login ошибка выходила, а через форму встроенную в сайдбар можно было легко залогиниться. Отключил этот ваш плагин шифровки - сразу всё стало нормально. У него сложный код интеграции. Этот плагин защищает страничку вордпресса входную, а защищает ли он встроенную форму авторизации в сайдбаре которую я руками писал? В настройках плагина код интеграции увидел и вмонтировал в сайдбар. Не знаю верно ли... Надо понять работает ли этот плагин вообще и возможно его просто иначе надо настроить, или подыскать новый с простой системой настройки и интеграции, надёжной защитой страницы wp-login и всех встроенных написанных руками форм. Надо плагин с хорошей репутацией чтоб поддержка у него была, обновления выходили.... Sly, вы видели тематику моего сайта и понимаете что пароли и логины обязательно защищены должны быть от перехвата. Помогите решить проблему как можно скорее - очень прошу! Я сам тоже поищу получше, но пока не смог этот плагин заменить другим свежим - не находится никак...

29.06.2014
Sly
0

Скорей всего плагин уже устарел. Попробуйте вот этот http://wordpress.org/plugins/wordpress-https/ . Здесь Вы сами выбираете, для каких страниц устанавливать безопасное соединение. Или для всей админки.

01.07.2014
Prohor
0

Спасибо! Плагин скачал. Можете потом немного подробнее рассказать как им работать если я сам не разберусь? Мне надо защитить страницу wp-login и форму в сайдбаре. Как сделать так чтоб не было дыр и защитить и то и то?

01.07.2014
Sly
0

Честно говоря, я его только нашел. Сам никогда с ним не работал.. Кстати, статья про форму готова http://wpguru.ru/sozdanie-bloga/forma-obratnoj-svyazi-dlya-wordpress.html .

01.07.2014
Prohor
0

Совершенно непонятный плагин со сложной настройкой, на английском, не поймёшь куда жать!.... Натыкал чего-то в настройках - вообще весь сайт слетел! Удалил папку плагина на сервере - сайт заработал. При повторной установке старые настройки вспоминаются - снова сайт не запускается и перенастроить плагин не выходит! Надо простое и эффективное решение. Плагин не помог, решение не работает, вопрос открыт.

05.07.2014
Sly
0

Установил только что себе этот плагин. В общем фигня полная это. Просто берет и адрес http меняет на https. Это все, что он делает. Завтра у меня выходной, и я напишу свою статью, как легче сделать защищенное соединение при помощи кода и хостинга.

07.07.2014
Prohor
0

Это замечательная новость! Очень интересно будет прочесть и попробовать! Ждём с нетерпением!

08.07.2014
Sly
0

К сожалению, у нас, владельцев бегета, пока что не получится сделать так, как я собираюсь. У них протокол ssh почему-то не работает. Обратился в службу поддержки, сказали, что передали админам дело. Будем ждать.

08.07.2014
Prohor
0

Ну у них вопросы решаются оперативно так что главное только не забыть потом нам самим об этой теме. ))) А может есть ещё способы?

08.07.2014
Sly
0

Увы, теперь сделать такую вещь можно только платно. Купив сертификат. Примерно 2000 рублей стоит в год. Статья будет опубликована примерно через полчаса. Подробно ознакомитесь)

08.07.2014
Prohor
0

Блин, дорого.... Пока только раскручиваю блог и ещё работу по нему не закончил в плане форума а уже ещё 2000р вкладывать... Что-то вроде "каши из топора" получается... А нет ли плагина шифровочного как вышеописанный в статье но совместимого с последним поинтрелизом чтоб работал корректно.... А то защитить надо данные, а платить уж шибко денег нету...

09.07.2014
Sly
0

Да я думаю, Вам не нужна эта защита. Зачем она Вам на первых порах? Вон сколько магазинов новых работают, у которых по 100-200 клиентов в неделю, и без нее живут спокойно. А когда будут услуги пользоваться огромным спросом - тогда и можно будет купить сертификат.

Увы, без него никакой плагин не поможет. Я раньше удивлялся, почему помогает, мне что-то объясняли, что сайт начинает работать через сертификат хостинга и тд, честно говоря, не верил, да и логике не поддается это. Но увы, результат действительно видел на блогах знакомых. А сейчас все, нельзя так.

09.07.2014
Prohor
0

Ну в общем мне главное чтоб хакер-злоумышленник не украл чужой пароль и не предложил кому-то услугу от чужого имени и не присвоил средства. Или от чужого имени не оставил кучу заявок фейковых на выкуп товара и за невыкуп не обгадил репутацию чужому человеку. Мне надо только защитить формы логина и регистрации от перехвата пароля и всё. Суперзащиту как на банковских сайтах или интернет-магазинах мне конечно не надо... Мне получается достаточно защитить методы post и get как описано в вашей последней статье про защиту и всё? У меня же портал то больше информационный и регистрация нужна только для просмотра закрытых тем.... Доступ в админку имеет только мой профиль а остальные не могут зайти. Может мне и правда не надо? Просто сами видели тематику моего блога и понимаете что мои материалы и полиция отслеживает на контроле и многие другие... Важно чтобы легко не получилось ни у кого меня подставить.

09.07.2014
Sly
0

Достаточно защитить get и post запросы как в последней статье, верно. Данные тогда не будут перехвачены, соответственно, и бояться будет нечего 🙂

21.07.2014
Екатерина
0

Установила на сайт плагин, и теперь не могу попасть в админку((( Караул. грусть и печаль(((
Просто ввожу логин и пароль, и все белое окно

14.02.2016
0

Добрый день, Екатерина! Уберите этот плагин, как оказалось, разработчики его перестали обновлять, и он не совместим с новыми версиями wordpress. Скоро статья будет обновлена.

14.02.2016

Оставить комментарий

Поделиться