Бесплатные CMS > SEO оптимизация WordPress > Защита админки вордпресс

Безопасность WordPress

Эта статья раскроет способы и тонкости защиты одной из самых распространенных платформ для ведения блогов современного интернета - WordPress.

Огромное количество веб-мастеров не беспокоятся о безопасности своего блога, устанавливая настройки по умолчанию и подключая несколько плагинов, после чего сразу начинают наполнять блог материалами, продвигать его и уже не возвращаются к вопросам защиты от атак. Пока однажды их хорошо посещаемый и приносящий стабильный доход сайт не взламывают, меняя пароли и логины, лишая возможности контролировать собственное детище. На самом же деле сразу после создания блога необходимо озаботиться, по меньшей мере, осложнением жизни хакеров, взломщиков и прочих неблагонадежных элементов, жаждущих воспользоваться результатами вашего труда, а в идеале созданием непроницаемого защитного барьера. Ведь как только ваш сайт наберет популярность, найдется несметное их количество.

Ниже вы найдете 6 простых способов защитить свой блог и информацию от угона и кражи.

Защита админки WordPress

Инсталлируйте два плагина для защиты входа в админ-панель блога:

  1. Anti-XSS attack
  2. Login LockDown или Limit Login Attempts

Эти плагины помогут защититься от подключения вредоносных скриптов с домена, принадлежащего хакеру, и предотвратят множественные автоматические попытки подбора пароля, называемые подбором «грубой силой». Достаточно скачать их, положить в папку wpcontentplugins, активировать в панели управления и сконфигурировать в соответствии со своими требованиями.

Смена стандартного логина Вордпресс

Не забудьте поменять логин и пароль администратора сайта. Сменить пароль, чаще всего, не составляет труда. Стоит лишь выбирать слово подлиннее, не менее 15 символов, и включить в него цифры и специальные символы. Логин стандартными средствами изменить невозможно, но это вполне осуществимо посредством вмешательства в базу данных.

Для начала запустите phpMyAdmin или любую другую систему управления БД. Необходимая таблица, в которой хранятся данные о всех пользователях, называется wp_users. В ней нужно отредактировать запись с user_login равной admin и установить любой удобный для вас логин. В этой же записи можно отредактировать хэш пароля, не забыв указать функцию преобразования MD5.

Удаление файлов, способных раскрыть версию CMS WordPress

Постарайтесь скрыть от недоброжелателей версию используемого вами ПО. В корневой директории блога по умолчанию лежат файлы license.txt и readme.html, где содержатся данные о версии, настройках PHP и множество других данных, облегчающих взлом.

Из файла header.php нужно удалить метаданные генератора, закомментировав или удалив строку

<meta name="generator" content="WordPress" />

Она так же помещает информацию о версии платформы в код страницы.

Безопасность базы данных

Для сохранения резервных копий базы данных установите плагин database backup. В его настройках можно указать электронный адрес, на который ежедневно будут приходить дампы БД. Теперь даже в случае повреждения данных вы сможете откатить блог на предыдущий день.

Запрет просмотра файлов в служебных директориях

Откройте браузер и перейдите по адресам

­ http://seo-praktika.com/wp-content/plugins/

­ http://seo-praktika.com/wp-content/

Вы увидите содержимое директорий, списки файлов и сможете досконально изучить структуру и наборы плагинов и файлов своего блога. То же самое может сделать и любой другой пользователь интернета. Чтобы избежать отображения содержимого директорий создайте в каждой из них пустой файл с наименованием index.php. Он будет выводиться при наборе прямого адреса папки и скроет важную информацию от чужих глаз. Еще более надежным будет запрет листинга в файле .htaccess, отвечающем за привилегии доступа. Впишите в него строку Options All –Indexes.

Запрет анализа сервера

Поищите в директории с вашим блогом файл function.php. Если его нигде нет, то волноваться не о чем. Если же вы его нашли, то впишите в конец строку

 <!--?php remove_action ('wp_head', 'wp_generator'); ?-->

Замените в файле search.php строку

<!--?php echo $_SERVER ['PHP_SELF']; ?-->

на

<!--?php bloginfo ('home'); ?-->

Эти действия ограничат возможности хакеров по анализу содержимого вашего сервера.

Вот простые, но действенные способы обезопасить свой блог на WordPress и информацию в нем.

Не забывайте удалять неиспользуемые плагины, так как они могут стать лазейкой для злоумышленников. Почаще обновляйте ПО, в свежих версиях постоянно закрывают уязвимости. Использование устаревших версий модулей и самой платформы опять же дает возможность воспользоваться различными известными эксплойтами.

Старайтесь закачивать контент через безопасное соединение с администраторской панелью, а не через открытый канал FTP. Ко всему прочему, не забудьте установить сложный логин и пароль для хостинга, ведь если хакер получит доступ к вашему серверу, то вся защита блога будет, мягко говоря, бесполезна.

Если это возможно, то стоит запретить регистрацию новых пользователей, это перекроет доступ потенциальным взломщикам к некоторым важным функциям, которые могли бы быть использованы для атак.

Теперь вы сможете обезопасить свой блог на WordPress. Успешного вам блога и ценной информации в нем.


Меню сайта

Безопасность WordPress
Безопасность WordPress