интернетмагазинот 19 990 руб.
LandingPageот 14 990 руб.

WordPress – способы защиты.

Безопасность WordPress – эффективные способы защиты.

WordPress – способы защиты.

Главная » WordPress » WordPress – способы защиты.

На тему безопасности WordPress написано уже немало постов, предлагающих достаточно эффективные способы защиты блога. Тем не менее, многие вебмастера продолжают упорно игнорировать элементарные правила.

Понятно, что никакие меры предосторожности не помогут, если кто-то захочет взломать именно ваш блог. Но это не повод игнорировать их. Замок в квартире тоже можно открыть, но вы же не оставляете дверь незапертой.

Как обеспечить безопасность WordPress?

Обратите внимание, что многие меры безопасности можно принять уже на этапе создания блога и в дальнейшем не возвращаться к ним.

Сложный пароль.

Большинство блогов взламываются именно подбором паролей. И дело не в том, что это самое слабое место. Просто многие пренебрегают элементарной безопасностью и используют простейшие комбинации. Например, дату рождения или собственное имя, подобрать которые не составляет особого труда.

Чтобы уменьшить вероятность взлома, используйте как минимум 8-значные пароли, а лучше 10 и более. Желательно, чтобы они содержали строчные и прописные буквы, цифры и спецсимволы.

Изменяем имя пользователя.

При установке WordPress создается учетная запись администратора с именем «admin», что существенно облегчает работу хакерам. Ведь зная логин, подобрать пароль намного проще.

Изменить ник «admin» можно разными способами. Начиная от запроса к базе данных и заканчивая использованием плагинов. Но самый простой способ – создать нового пользователя с правами администратора, затем выйти из админки блога и залогиниться под новым ником. После чего следует проверить: все ли функции доступны, и удалить первую учетную запись, связав все записи с новым пользователем.

Скрываем версию WordPress.

Не все блоггеры вовремя обновляют WordPress, тем самым облегчая задачу злоумышленникам. Зная версию WordPress, а, соответственно, и ее слабые места, взломать блог намного проще. Посмотреть ее достаточно просто в исходном коде страницы. Вот оттуда ее и нужно убрать.

Сделать это не так сложно. Нужно только отредактировать пару файлов шаблона. Первым открываем header.php, в котором находим и удаляем такую строку:

<meta content="WordPress<?php bloginfo ('version'); ?>" />

Если не нашли ничего страшного, далее открываем файл functions.php Вашей темы и добавляем такой код:

<?php remove_action ('wp_head', 'wp_generator'); ?>

Изменяем префикс БД.

Таблицы баз данных в WordPress по умолчанию имеют префикс «wp_», что существенно снижает безопасность блога. Чтобы устранить этот недостаток, нужно изменить префикс на более сложный.

Корректируем права на файлы и папки

Права на файлы и папки устанавливаются автоматически при закачке сайта на хостинг. Но бывает, что в процессе работы их приходится изменять. Например, для редактирования файлов темы. Поэтому, после внесения всех необходимых изменений, не забывайте выставить их обратно.

Для тех, кто еще не знает, права на папки должны быть 755, кроме cache и uploads (у них 777), а на файлы – 644.

Генерируем ключи безопасности.

В файле wp— config.php есть ключи, которые необходимы для обеспечения защиты блога. Придумывать самому ничего не нужно. Их можно автоматически сгенерировать по этой ссылке и вставить в соответствующие строки wp— config.php.

/**#@+
 * Уникальные ключи и соли для аутентификации.
 *
 * Смените значение каждой константы на уникальную фразу.
 * Можно сгенерировать их с помощью {@link https://api.wordpress.org/secret-key/1.1/salt/ сервиса ключей на WordPress.org}
 * Можно изменить их, чтобы сделать существующие файлы cookies недействительными. Пользователям потребуется снова авторизоваться.
 *
 * @since 2.6.0
 */
define('AUTH_KEY',         'здесь ключ');
define('SECURE_AUTH_KEY',  'здесь ключ');
define('LOGGED_IN_KEY',    'здесь ключ');
define('NONCE_KEY',        'здесь ключ');
define('AUTH_SALT',        'здесь ключ');
define('SECURE_AUTH_SALT', 'здесь ключ');
define('LOGGED_IN_SALT',   'здесь ключ');
define('NONCE_SALT',       'здесь ключ');

/**#@-*/

Закрываем возможность просмотра директорий на сервере.

Достаточно часто хостеры не закрывают возможность просмотра директорий, что не очень хорошо с точки зрения безопасности WordPress.

Закрыть их от просмотра можно двумя способами: создать пустой файл index.html и поместить его в папку с плагинами wpcontent/plugins или прописать в файле .htaccess следующую строку:

Options-Indexes

Изменяем адрес страницы авторизации.

По умолчанию страница входа в админку блога находится по адресу: вашблог.ru/wplogin, что в очередной раз облегчает задачу взломщикам. Ведь ее даже искать не нужно.

Решается проблема довольно легко. Поможет плагин Stealth Login, который позволяет изменить адрес страницы авторизации. Придумать его можете самостоятельно.

Устанавливаем плагин LoginLockDown или limit login attempts.

Плагин LoginLockDown или limit login attempts после трех неудачных попыток авторизации  блокирует IP с которого идут запросы. Время блокировки можно задать в настройках. Помимо этого они фиксирует все неудачные попытки входа в админку. В любое время вы можете просмотреть с каких IP производилась попытка авторизации и в какое время.

Устанавливаем плагин SecureWordPress.

После того, как мы изменили имя пользователя, выбрали сложный пароль и ограничили количество попыток авторизации, осталось только убрать сообщение об ошибке входа, чтобы доставить еще больше проблем злоумышленнику. С этой задачей прекрасно справляется Secure WordPress. Ко всему прочему он добавляет пустой файл index.html в папку с плагинами, тем самым, запрещая возможность просмотра списка установленных плагинов.

Не храним пароли в FTP клиентах.

Несмотря на очевидность этого пункта, некоторые его просто игнорируют, сводя на нет все предыдущие усилия по обеспечению безопасности WordPress.

Обновляем WordPress и плагины.

В каждой новой версии WordPress учтены и исправлены все уязвимости предыдущих. Поэтому не забывайте обновляться. Это обеспечит дополнительную защиту блога. То же самое относиться и к плагинам.

Удаляем неиспользованные плагины.

Каждый плагин – потенциальная угроза безопасности WordPress, и не важно, активирован он или нет. Поэтому неиспользованные плагины желательно удалить с сервера. При необходимости их можно закачать заново, много времени это не займет.

Делаем бэкапы БД и файлов движка.

Пожалуй, это основной пункт, который позволяет обеспечить безопасность блога. Резервные копии дадут возможность в любой момент восстановить его. Главное, чтобы они были свежие.

К тому же, файлы движка нужно обновлять только после внесения каких-либо изменений. А бэкап БД можно ежедневно получать по почте, благодаря плагину WP DataBase Backup.

Придерживаясь таких несложных рекомендаций, вы сможете обеспечить вполне достойную защиту блога. Если у вас есть свои способы обеспечить безопасность WordPress, пишите в комментариях.

 
Запись опубликована в 7:25 пп автором в рубрике WordPress с метками , , , , , , , , , , , , , , , , , .

Установка WordPress.Установка WordPress.

Установка WordPress обычно не вызывает никаких проблем. Основные требования к […]

Введение в WordPress.Введение в WordPress.

WordPress — идеальная платформа для публикации, ориентированная на красоту, поддержку […]

WordPress – создаем сайт с нуля.WordPress – создаем сайт с нуля.

Сегодня мы изучим основные принципы работы одной из самых популярных […]

Инструменты профессионала. Список валидаторов, Проверка сайта, Синтаксис кода, Проверка кода, Оптимизация сайтаВалидаторы — Проверка сайта на ошибки — Вебмастеру ассесору дизайнеру и СЕО оптимизатору

Привет вебмастера! Предлагаю вам инструменты для профессионального создания сайтов. Это […]

Как востановить забытый пароль от админки сайта.Как востановить забытый пароль от админки сайта.

Все мы люди, и можем просто забыть (как я) ту […]

Как установить WordPress?Как установить WordPress?

WordPress – самая популярная платформа блогов и систем управления взаимоотношениями […]

Файл .htaccess – настройка перенаправлений и управление конфигурацией веб-сервера.htaccess – настройка и управление

1.Файл .htaccess .htaccess — конфигурационный файл веб-сервера, позволяющий управлять работой […]

Как протестировать сайт в разных десктопных браузерах.Как протестировать сайт в разных десктопных браузерах.

Всё больше достойных поводов находится у веб-разработчиков для того, чтобы […]

3 главных продающих триггера для landing page!3 главных продающих триггера для landing page!

Изобилие товаров и услуг, а также постоянно совершенствующаяся деятельность мошенников […]

WordPress – создаем сайт с нуля.Работа с админкой WordPress (сайт для клиента).

Одной из важнейших составных частей блога на движке WordPress является […]

комментарииВаши замечания, предложения и вопросы оставляйте в комментариях или присылайте на почту web36@bk.ru, я буду рад узнать ваше мнение!


LPBuilder.pro | Бесплатный онлайн конструктор Landing PageНовый проект - Бесплатный онлайн конструктор с помощью которого можно создавать небольшие веб-сайты, лендинги, онлайн-резюме, портфолио, промо сайты... Испoльзуйте блoки в сoтнях кoмбинаций, прoстo дoбавляя oдин за другим, в интуитивнo пoнятнoм интерфейсе. Вы смoжете сoздать сайт свoими руками, воплощайте свои идеи!
Follow @elazukin