9 способов повысить безопасность WordPress

Добрый день дорогие друзья, сегодня хотел бы затронуть тему безопасности WordPress, так как это один из самых популярных CMS в мире, то и по количеству взломов он занимает лидирующие позиции.

И так, сегодня у нас вот такое содержание:

# 1 Измените стандартное имя администратора

По умолчанию в WordPress, имя администратора – «admin» и как вы уже догадываетесь, что злоумышленниками остаётся подобрать только пароль, чтобы попасть в административную часть сайта.

Чтобы поменять стандартное имя пользователя, достаточно выполнить вот такой простой SQL запрос к базе данных:

UPDATE wp_users SET user_login = 'Новый_Логин' WHERE user_login = 'admin';

# 2 Подберите сложный пароль

Для этого, я советую воспользоваться сервисом для генерирования паролей – они помогут вам сгенерировать по настоящему сложный пароль, который будет очень сложно подобрать.

Так же не надо хранить свои пароли в текстовом файлике на компьютере или например в Google Docs. Самый лучший вариант – это записывать на листочке или запоминать.

"Относитесь к своим паролям, как к вашей зубной щетке. Не позволяйте никому использовать их, и меняйте на новые каждые шесть месяцев ".

~ Клиффорд Столл

# 3 Установите плагины для повышения безопасности

Limit Login Attempts - этот плагин блокирует ip посетителя, который несколько раз ввёл не правильно пароль от админки. Так же в отчёте предоставляется информация по всем неудачным попыткам залогинится.

Exploit Scanner - плагин проверят сайт на наличие подозрительного кода, как сами файла WordPress, так и опубликованные посты и комментарии. Не советую запускать плагин в пик активности посетителей на сайте, потому что он хорошо нагружает сервер.
Если у вас слабенький хостинг, то лучше всего приобрести хороший vps или запускать плагин ночью.

# 4 Скрывайте версию WordPress

Часто в <head> выводится используемая версия CMS и это как бы облегчает работу злоумышленникам, так как они уже будут знать через какие дыры получить доступ к сайту.

Когда вы открываете исходный код сайта на WP, версия будет отображаться вот так:

Чтобы её скрыть, надо в файле functions.php вашей темы, прописать вот такой код:

<?php remove_action('wp_head', 'wp_generator'); ?>

# 5 Установите правильные права доступа

Для этого зайдите на ваш сайт по FTP и посмотрите CHMOD для основных папок и файлов – если это 777, то вам очень повезло, если вас ещё не взломали.
Я советую поставить права доступа к файлам на 744, это означает, что всем доступ будет только для чтения (кроме вас конечно же).

# 6 Ограничение доступа по ip

Так же не помешает установить ограничение на доступ к wp-admin по ip адресу. Для этого зайдите в папку wp-admin и добавьте туда файл .htaccess с таким кодом:

AuthUserFile /dev/null  
AuthGroupFile /dev/null  
AuthName "WordPress Admin Access Control"  
AuthType Basic  
<LIMIT GET>  
order deny,allow  
deny from all  
# Разрешить первый ip (например домашний)
allow from xx.xx.xx.xxx  
# Разрешить второй ip (например рабочий)
allow from xx.xx.xx.xxx  
# И так далее вписываем ip, которым разрешаем доступ
allow from xx.xx.xx.xxx  
</LIMIT>

Только убедитесь, что вы добавили этот файл именно в папку wp-admin, а не в корневой каталог сайта! Это очень важно, иначе доступ к сайту будут иметь только указанные вами ip адреса.

# 7 Закройте доступ к файлам .htaccess и wp-config.php

Для этого в файле .htaccess, который лежит в корне сайта, укажите вот такие инструкции:

<Files wp-config.php>
# Запрещаем всем доступ к файлу wp-config.php
   order allow,deny 
   deny from all 
 </Files>

То же самое надо прописать и для самого файла .htaccess:

<Files .htaccess> 
   order allow,deny 
   deny from all 
 </Files>

# 8 Не забывайте про бэкапы

Backup - дословно переводится как вернуться назад.

Чем чаще вы делаете backup сайта, тем лучше. Можно настроить автоматическое создание бекапов у вас на сервере, чтобы например раз в сутки или раз в неделю сохранялась резервная копия сайта.

# 9 Постоянно обновляйте WordPress и плагины

Этот пункт один из самых важных, так как слабые места старых версий WordPress постоянно дорабатываются и новые версии более надёжные и не доступные для хакеров. То же самое касается и плагинов.

Так же не забывайте, что не следует устанавливать сторонние плагины, которых нет в основной репозитории сайта WordPress.org

На этом всё, спасибо за внимание и надеюсь что у Вас получится хорошо защитить ваш блог, сделанный на WordPress. Если вы используете ещё какие-нибудь интересные способы для защиты сайтов, то напишите о них в комментариях!