9 способов повысить безопасность WordPress

20 сентября 2012 года, Размещено в категории: CMS

Добрый день дорогие друзья, сегодня хотел бы затронуть тему безопасности WordPress, так как это один из самых популярных CMS в мире, то и по количеству взломов он занимает лидирующие позиции.

И так, сегодня у нас вот такое содержание:

# 1 Измените стандартное имя администратора

По умолчанию в WordPress, имя администратора – «admin» и как вы уже догадываетесь, что злоумышленниками остаётся подобрать только пароль, чтобы попасть в административную часть сайта.

Чтобы поменять стандартное имя пользователя, достаточно выполнить вот такой простой SQL запрос к базе данных:

UPDATE wp_users SET user_login = 'Новый_Логин' WHERE user_login = 'admin';
Измените стандартное имя администратора

# 2 Подберите сложный пароль

Для этого, я советую воспользоваться сервисом для генерирования паролей – они помогут вам сгенерировать по настоящему сложный пароль, который будет очень сложно подобрать.

Так же не надо хранить свои пароли в текстовом файлике на компьютере или например в Google Docs. Самый лучший вариант – это записывать на листочке или запоминать.

"Относитесь к своим паролям, как к вашей зубной щетке. Не позволяйте никому использовать их, и меняйте на новые каждые шесть месяцев ".

~ Клиффорд Столл

# 3 Установите плагины для повышения безопасности

Limit Login Attempts - этот плагин блокирует ip посетителя, который несколько раз ввёл не правильно пароль от админки. Так же в отчёте предоставляется информация по всем неудачным попыткам залогинится.

Exploit Scanner - плагин проверят сайт на наличие подозрительного кода, как сами файла WordPress, так и опубликованные посты и комментарии. Не советую запускать плагин в пик активности посетителей на сайте, потому что он хорошо нагружает сервер.
Если у вас слабенький хостинг, то лучше всего приобрести хороший vps или запускать плагин ночью.

# 4 Скрывайте версию WordPress

Часто в <head> выводится используемая версия CMS и это как бы облегчает работу злоумышленникам, так как они уже будут знать через какие дыры получить доступ к сайту.

Когда вы открываете исходный код сайта на WP, версия будет отображаться вот так:

Скрывайте версию WordPress

Чтобы её скрыть, надо в файле functions.php вашей темы, прописать вот такой код:

<?php remove_action('wp_head', 'wp_generator'); ?>

# 5 Установите правильные права доступа

Для этого зайдите на ваш сайт по FTP и посмотрите CHMOD для основных папок и файлов – если это 777, то вам очень повезло, если вас ещё не взломали.
Я советую поставить права доступа к файлам на 744, это означает, что всем доступ будет только для чтения (кроме вас конечно же).

# 6 Ограничение доступа по ip

Так же не помешает установить ограничение на доступ к wp-admin по ip адресу. Для этого зайдите в папку wp-admin и добавьте туда файл .htaccess с таким кодом:

AuthUserFile /dev/null  
AuthGroupFile /dev/null  
AuthName "WordPress Admin Access Control"  
AuthType Basic  
<LIMIT GET>  
order deny,allow  
deny from all  
# Разрешить первый ip (например домашний)
allow from xx.xx.xx.xxx  
# Разрешить второй ip (например рабочий)
allow from xx.xx.xx.xxx  
# И так далее вписываем ip, которым разрешаем доступ
allow from xx.xx.xx.xxx  
</LIMIT>

Только убедитесь, что вы добавили этот файл именно в папку wp-admin, а не в корневой каталог сайта! Это очень важно, иначе доступ к сайту будут иметь только указанные вами ip адреса.

# 7 Закройте доступ к файлам .htaccess и wp-config.php

Для этого в файле .htaccess, который лежит в корне сайта, укажите вот такие инструкции:

<Files wp-config.php>
# Запрещаем всем доступ к файлу wp-config.php
   order allow,deny 
   deny from all 
 </Files>

То же самое надо прописать и для самого файла .htaccess:

<Files .htaccess> 
   order allow,deny 
   deny from all 
 </Files>

# 8 Не забывайте про бэкапы

Backup - дословно переводится как вернуться назад.

Backup

Чем чаще вы делаете backup сайта, тем лучше. Можно настроить автоматическое создание бекапов у вас на сервере, чтобы например раз в сутки или раз в неделю сохранялась резервная копия сайта.

# 9 Постоянно обновляйте WordPress и плагины

Этот пункт один из самых важных, так как слабые места старых версий WordPress постоянно дорабатываются и новые версии более надёжные и не доступные для хакеров. То же самое касается и плагинов.

Так же не забывайте, что не следует устанавливать сторонние плагины, которых нет в основной репозитории сайта WordPress.org

На этом всё, спасибо за внимание и надеюсь что у Вас получится хорошо защитить ваш блог, сделанный на WordPress. Если вы используете ещё какие-нибудь интересные способы для защиты сайтов, то напишите о них в комментариях!






4 комментария

  • 5 лет назад Ответить

    Спасибо за пост, некоторые изменения внёс на свои сайты. Сейчас ещё плагином пытаюсь просканировать.

  • 5 лет назад Ответить

    Тема протерта до дыр, но чтобы вы не делали, взлом в 90% случаев идет с самого же компьютера — угоняются пароли троянами или сам вебмастер «дает» доступ, установив тему, в которой будет команда на инъекцию кода в базу данных 🙂

    А эти 9 способов защитят может быть только от школьников 🙂

    • 5 лет назад Ответить

      Насчёт установки тем с подозрительным кодом — есть плагин Exploit Scanner, он поможен найти SQL инъекции и тому подобное. Тут описана только малая часть защиты именно WordPress, а ещё ведь надо обезопасить сервер, свой компьютер и тому подобное.

  • 5 лет назад Ответить

    Спасибо за советы, всё сделал у себя на сайте. Надеюсь теперь ни кто не пролезет 🙂

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

Перед отправкой формы:

Метки: