9 способов повысить безопасность WordPress
20 сентября 2012 года, Размещено в категории: CMS
Добрый день дорогие друзья, сегодня хотел бы затронуть тему безопасности WordPress, так как это один из самых популярных CMS в мире, то и по количеству взломов он занимает лидирующие позиции.
И так, сегодня у нас вот такое содержание:
- 1. Измените стандартное имя администратора
- 2. Подберите сложный пароль
- 3. Установите плагины для повышения безопасности
- 4. Скрывайте версию WordPress
- 5. Установите правильные права доступа
- 6. Ограничение доступа по ip
- 7. Закройте доступ к файлам .htaccess и wp-config.php
- 8. Не забывайте про бэкапы
- 9. Постоянно обновляйте WordPress и плагины
# 1 Измените стандартное имя администратора
По умолчанию в WordPress, имя администратора – «admin» и как вы уже догадываетесь, что злоумышленниками остаётся подобрать только пароль, чтобы попасть в административную часть сайта.
Чтобы поменять стандартное имя пользователя, достаточно выполнить вот такой простой SQL запрос к базе данных:
UPDATE wp_users SET user_login = 'Новый_Логин' WHERE user_login = 'admin'; |

# 2 Подберите сложный пароль
Для этого, я советую воспользоваться сервисом для генерирования паролей – они помогут вам сгенерировать по настоящему сложный пароль, который будет очень сложно подобрать.
Так же не надо хранить свои пароли в текстовом файлике на компьютере или например в Google Docs. Самый лучший вариант – это записывать на листочке или запоминать.
"Относитесь к своим паролям, как к вашей зубной щетке. Не позволяйте никому использовать их, и меняйте на новые каждые шесть месяцев ".
~ Клиффорд Столл
# 3 Установите плагины для повышения безопасности
Если у вас слабенький хостинг, то лучше всего приобрести хороший vps или запускать плагин ночью.
# 4 Скрывайте версию WordPress
Часто в <head>
выводится используемая версия CMS и это как бы облегчает работу злоумышленникам, так как они уже будут знать через какие дыры получить доступ к сайту.
Когда вы открываете исходный код сайта на WP, версия будет отображаться вот так:

Чтобы её скрыть, надо в файле functions.php
вашей темы, прописать вот такой код:
<?php remove_action('wp_head', 'wp_generator'); ?> |
# 5 Установите правильные права доступа
Для этого зайдите на ваш сайт по FTP и посмотрите CHMOD
для основных папок и файлов – если это 777, то вам очень повезло, если вас ещё не взломали.
Я советую поставить права доступа к файлам на 744, это означает, что всем доступ будет только для чтения (кроме вас конечно же).
# 6 Ограничение доступа по ip
Так же не помешает установить ограничение на доступ к wp-admin
по ip адресу. Для этого зайдите в папку wp-admin и добавьте туда файл .htaccess
с таким кодом:
AuthUserFile /dev/null AuthGroupFile /dev/null AuthName "WordPress Admin Access Control" AuthType Basic <LIMIT GET> order deny,allow deny from all # Разрешить первый ip (например домашний) allow from xx.xx.xx.xxx # Разрешить второй ip (например рабочий) allow from xx.xx.xx.xxx # И так далее вписываем ip, которым разрешаем доступ allow from xx.xx.xx.xxx </LIMIT> |
Только убедитесь, что вы добавили этот файл именно в папку wp-admin, а не в корневой каталог сайта! Это очень важно, иначе доступ к сайту будут иметь только указанные вами ip адреса.
# 7 Закройте доступ к файлам .htaccess и wp-config.php
Для этого в файле .htaccess
, который лежит в корне сайта, укажите вот такие инструкции:
<Files wp-config.php> # Запрещаем всем доступ к файлу wp-config.php order allow,deny deny from all </Files> |
То же самое надо прописать и для самого файла .htaccess:
<Files .htaccess> order allow,deny deny from all </Files> |
# 8 Не забывайте про бэкапы
Backup - дословно переводится как вернуться назад.

Чем чаще вы делаете backup сайта, тем лучше. Можно настроить автоматическое создание бекапов у вас на сервере, чтобы например раз в сутки или раз в неделю сохранялась резервная копия сайта.
# 9 Постоянно обновляйте WordPress и плагины
Этот пункт один из самых важных, так как слабые места старых версий WordPress постоянно дорабатываются и новые версии более надёжные и не доступные для хакеров. То же самое касается и плагинов.
Так же не забывайте, что не следует устанавливать сторонние плагины, которых нет в основной репозитории сайта WordPress.org
На этом всё, спасибо за внимание и надеюсь что у Вас получится хорошо защитить ваш блог, сделанный на WordPress. Если вы используете ещё какие-нибудь интересные способы для защиты сайтов, то напишите о них в комментариях!
Riirow
8 лет назад
Спасибо за пост, некоторые изменения внёс на свои сайты. Сейчас ещё плагином пытаюсь просканировать.
8 лет назад
Тема протерта до дыр, но чтобы вы не делали, взлом в 90% случаев идет с самого же компьютера — угоняются пароли троянами или сам вебмастер «дает» доступ, установив тему, в которой будет команда на инъекцию кода в базу данных 🙂
А эти 9 способов защитят может быть только от школьников 🙂
8 лет назад
Насчёт установки тем с подозрительным кодом — есть плагин Exploit Scanner, он поможен найти SQL инъекции и тому подобное. Тут описана только малая часть защиты именно WordPress, а ещё ведь надо обезопасить сервер, свой компьютер и тому подобное.
Ooope
8 лет назад
Спасибо за советы, всё сделал у себя на сайте. Надеюсь теперь ни кто не пролезет 🙂