Provisov.netПростые и действенные способы защиты вашего WordPress блога
С каждым днем популярность бесплатной блоговой платформы WordPress возрастает, а вместе с ним появляется большой интерес у хакеров которые ежедневно находят новые уязвимости для взлома этой CMS. Напомним, скрипт WordPress распространяется в свободной форме и имеет открытый PHP-код, что дает возможность другим программистам создавать дополнительные модули и плагины для WordPress.
В этой статье разберем основные и действенные способы по защите вашего WordPress сайта:
1. Ни для кого ни секрет, что разработчики WordPress ежемесячно выпускают обновления для своего продукта. Как правило, в новых реализациях закрываются старые уязвимости и добавляется обновленный функционал. Мы настоятельно рекомендуем не пренебрегать этими обновлениями и осуществлять их вовремя! Скачивать обновления нужно на официальном сайте разработчика — http://ru.wordpress.com. Если вы скачали сборку WordPress с стороннего сайта, то будьте готовы к тому, что там может быть заложен вредоностный код.
2. Не используйте стандартный логин “admin”. При установки вашего WordPress система по дефолту предлагает в качестве логина использовать “admin”. Мы настоятельно рекомендуем в качестве логина использовать другое имя! Изменить свой логин можно с помощью соответствующей опции WordPress – “Пользователи” – “Ваш профиль” далее пункт “Ник (обязательно)”
3. Сгенерируйте и пропишите уникальные ключи аутентификации. В арсенале WordPress есть генератор ключей который усиливают безопасность Вашего блога хешированием (шифрованием) паролей. Откройте wp-config.php (или wp-config-sample.php при установке) и найдите следующие строки:
define(‘AUTH_KEY’, ‘vasha_unikalnaya_fraza’);
define(‘SECURE_AUTH_KEY’, ‘vasha_unikalnaya_fraza’);
define(‘LOGGED_IN_KEY’, ‘vasha_unikalnaya_fraza’);
define(‘NONCE_KEY’, ‘vasha_unikalnaya_fraza’);
define(‘AUTH_SALT’, ‘vasha_unikalnaya_fraza’);
define(‘SECURE_AUTH_SALT’, ‘vasha_unikalnaya_fraza’);
define(‘LOGGED_IN_SALT’, ‘vasha_unikalnaya_fraza’);
define(‘NONCE_SALT’, ‘vasha_unikalnaya_fraza’);
Вместо текста “vasha_unikalnaya_fraza’” нужно сгенерировать что-то свое. Либо можно воспользоваться стандартным генератором самого WordPress, для этого нужно перейти по ссылке https://api.wordpress.org/secret-key/1.1/salt/ скопировать сгенерированный текст и заменить им старые строки в wp-config.php
4. Установите плагин Login LockDown. Он защитит вашу админстративную панель от возможных подборов паролей и будет вести логи попыток взлома. Плагин достаточно загрузить к себе на фтп и активировать – все необходимые настройки безопасности в нем уже будут занесены.
5. Закрывайте такие папки как wp-includes и wp-content от просмотров. Очень часто пользователи забывают закрывать доступ к просмотру важнейших системных папок. В частности идется речь о возможность просмотра их через браузер, например http://saite.com/wp-includes/
Благодаря такой забывчивости пользователей, злоумышленники легко смогут увидеть установленные у Вас темы и плагины. А исходя из полученной информации об установленных в блоге плагинов можно найти и уязвимость.
Для закрытия папок от просмотра, создайте index.html с таким содержимым — <meta HTTP-EQUIV=»REFRESH» content=»0; url=http://yandex.ru/»> размещаем отредактированный файл во все подпапки вашего WordPress скрипта где нет файлов с именем index.
В нашем блоге также доступна статья о том как можно установить WordPress на нашем хостинге всего в несколько кликов!
