9 способов повысить безопасность WordPress
20 сентября 2012 года, Размещено в категории: CMS
Добрый день дорогие друзья, сегодня хотел бы затронуть тему безопасности WordPress, так как это один из самых популярных CMS в мире, то и по количеству взломов он занимает лидирующие позиции.
И так, сегодня у нас вот такое содержание:
- 1. Измените стандартное имя администратора
- 2. Подберите сложный пароль
- 3. Установите плагины для повышения безопасности
- 4. Скрывайте версию WordPress
- 5. Установите правильные права доступа
- 6. Ограничение доступа по ip
- 7. Закройте доступ к файлам .htaccess и wp-config.php
- 8. Не забывайте про бэкапы
- 9. Постоянно обновляйте WordPress и плагины
# 1 Измените стандартное имя администратора
По умолчанию в WordPress, имя администратора – «admin» и как вы уже догадываетесь, что злоумышленниками остаётся подобрать только пароль, чтобы попасть в административную часть сайта.
Чтобы поменять стандартное имя пользователя, достаточно выполнить вот такой простой SQL запрос к базе данных:
UPDATE wp_users SET user_login = 'Новый_Логин' WHERE user_login = 'admin'; |

# 2 Подберите сложный пароль
Для этого, я советую воспользоваться сервисом для генерирования паролей – они помогут вам сгенерировать по настоящему сложный пароль, который будет очень сложно подобрать.
Так же не надо хранить свои пароли в текстовом файлике на компьютере или например в Google Docs. Самый лучший вариант – это записывать на листочке или запоминать.
"Относитесь к своим паролям, как к вашей зубной щетке. Не позволяйте никому использовать их, и меняйте на новые каждые шесть месяцев ".
~ Клиффорд Столл
# 3 Установите плагины для повышения безопасности
Если у вас слабенький хостинг, то лучше всего приобрести хороший vps или запускать плагин ночью.
# 4 Скрывайте версию WordPress
Часто в <head>
выводится используемая версия CMS и это как бы облегчает работу злоумышленникам, так как они уже будут знать через какие дыры получить доступ к сайту.
Когда вы открываете исходный код сайта на WP, версия будет отображаться вот так:

Чтобы её скрыть, надо в файле functions.php
вашей темы, прописать вот такой код:
<?php remove_action('wp_head', 'wp_generator'); ?> |
# 5 Установите правильные права доступа
Для этого зайдите на ваш сайт по FTP и посмотрите CHMOD
для основных папок и файлов – если это 777, то вам очень повезло, если вас ещё не взломали.
Я советую поставить права доступа к файлам на 744, это означает, что всем доступ будет только для чтения (кроме вас конечно же).
# 6 Ограничение доступа по ip
Так же не помешает установить ограничение на доступ к wp-admin
по ip адресу. Для этого зайдите в папку wp-admin и добавьте туда файл .htaccess
с таким кодом:
AuthUserFile /dev/null AuthGroupFile /dev/null AuthName "WordPress Admin Access Control" AuthType Basic <LIMIT GET> order deny,allow deny from all # Разрешить первый ip (например домашний) allow from xx.xx.xx.xxx # Разрешить второй ip (например рабочий) allow from xx.xx.xx.xxx # И так далее вписываем ip, которым разрешаем доступ allow from xx.xx.xx.xxx </LIMIT> |
Только убедитесь, что вы добавили этот файл именно в папку wp-admin, а не в корневой каталог сайта! Это очень важно, иначе доступ к сайту будут иметь только указанные вами ip адреса.
# 7 Закройте доступ к файлам .htaccess и wp-config.php
Для этого в файле .htaccess
, который лежит в корне сайта, укажите вот такие инструкции:
<Files wp-config.php> # Запрещаем всем доступ к файлу wp-config.php order allow,deny deny from all </Files> |
То же самое надо прописать и для самого файла .htaccess:
<Files .htaccess> order allow,deny deny from all </Files> |
# 8 Не забывайте про бэкапы
Backup - дословно переводится как вернуться назад.

Чем чаще вы делаете backup сайта, тем лучше. Можно настроить автоматическое создание бекапов у вас на сервере, чтобы например раз в сутки или раз в неделю сохранялась резервная копия сайта.
# 9 Постоянно обновляйте WordPress и плагины
Этот пункт один из самых важных, так как слабые места старых версий WordPress постоянно дорабатываются и новые версии более надёжные и не доступные для хакеров. То же самое касается и плагинов.
Так же не забывайте, что не следует устанавливать сторонние плагины, которых нет в основной репозитории сайта WordPress.org
На этом всё, спасибо за внимание и надеюсь что у Вас получится хорошо защитить ваш блог, сделанный на WordPress. Если вы используете ещё какие-нибудь интересные способы для защиты сайтов, то напишите о них в комментариях!
Riirow
10 лет назад
Спасибо за пост, некоторые изменения внёс на свои сайты. Сейчас ещё плагином пытаюсь просканировать.
10 лет назад
Тема протерта до дыр, но чтобы вы не делали, взлом в 90% случаев идет с самого же компьютера — угоняются пароли троянами или сам вебмастер «дает» доступ, установив тему, в которой будет команда на инъекцию кода в базу данных 🙂
А эти 9 способов защитят может быть только от школьников 🙂
10 лет назад
Насчёт установки тем с подозрительным кодом — есть плагин Exploit Scanner, он поможен найти SQL инъекции и тому подобное. Тут описана только малая часть защиты именно WordPress, а ещё ведь надо обезопасить сервер, свой компьютер и тому подобное.
Ooope
10 лет назад
Спасибо за советы, всё сделал у себя на сайте. Надеюсь теперь ни кто не пролезет 🙂