Безопасность WordPress
Эта статья раскроет способы и тонкости защиты одной из самых распространенных платформ для ведения блогов современного интернета - WordPress.
Огромное количество веб-мастеров не беспокоятся о безопасности своего блога, устанавливая настройки по умолчанию и подключая несколько плагинов, после чего сразу начинают наполнять блог материалами, продвигать его и уже не возвращаются к вопросам защиты от атак. Пока однажды их хорошо посещаемый и приносящий стабильный доход сайт не взламывают, меняя пароли и логины, лишая возможности контролировать собственное детище. На самом же деле сразу после создания блога необходимо озаботиться, по меньшей мере, осложнением жизни хакеров, взломщиков и прочих неблагонадежных элементов, жаждущих воспользоваться результатами вашего труда, а в идеале созданием непроницаемого защитного барьера. Ведь как только ваш сайт наберет популярность, найдется несметное их количество.
Ниже вы найдете 6 простых способов защитить свой блог и информацию от угона и кражи.
Защита админки WordPress
Инсталлируйте два плагина для защиты входа в админ-панель блога:
- Anti-XSS attack
- Login LockDown или Limit Login Attempts
Эти плагины помогут защититься от подключения вредоносных скриптов с домена, принадлежащего хакеру, и предотвратят множественные автоматические попытки подбора пароля, называемые подбором «грубой силой». Достаточно скачать их, положить в папку wpcontentplugins, активировать в панели управления и сконфигурировать в соответствии со своими требованиями.
Смена стандартного логина Вордпресс
Не забудьте поменять логин и пароль администратора сайта. Сменить пароль, чаще всего, не составляет труда. Стоит лишь выбирать слово подлиннее, не менее 15 символов, и включить в него цифры и специальные символы. Логин стандартными средствами изменить невозможно, но это вполне осуществимо посредством вмешательства в базу данных.
Для начала запустите phpMyAdmin или любую другую систему управления БД. Необходимая таблица, в которой хранятся данные о всех пользователях, называется wp_users. В ней нужно отредактировать запись с user_login равной admin и установить любой удобный для вас логин. В этой же записи можно отредактировать хэш пароля, не забыв указать функцию преобразования MD5.
Удаление файлов, способных раскрыть версию CMS WordPress
Постарайтесь скрыть от недоброжелателей версию используемого вами ПО. В корневой директории блога по умолчанию лежат файлы license.txt и readme.html, где содержатся данные о версии, настройках PHP и множество других данных, облегчающих взлом.
Из файла header.php нужно удалить метаданные генератора, закомментировав или удалив строку
<meta name="generator" content="WordPress" />
Она так же помещает информацию о версии платформы в код страницы.
Безопасность базы данных
Для сохранения резервных копий базы данных установите плагин database backup. В его настройках можно указать электронный адрес, на который ежедневно будут приходить дампы БД. Теперь даже в случае повреждения данных вы сможете откатить блог на предыдущий день.
Запрет просмотра файлов в служебных директориях
Откройте браузер и перейдите по адресам
https://seo-praktika.com/wp-content/plugins/
https://seo-praktika.com/wp-content/
Вы увидите содержимое директорий, списки файлов и сможете досконально изучить структуру и наборы плагинов и файлов своего блога. То же самое может сделать и любой другой пользователь интернета. Чтобы избежать отображения содержимого директорий создайте в каждой из них пустой файл с наименованием index.php. Он будет выводиться при наборе прямого адреса папки и скроет важную информацию от чужих глаз. Еще более надежным будет запрет листинга в файле .htaccess, отвечающем за привилегии доступа. Впишите в него строку Options All –Indexes.
Запрет анализа сервера
Поищите в директории с вашим блогом файл function.php. Если его нигде нет, то волноваться не о чем. Если же вы его нашли, то впишите в конец строку
<!--?php remove_action ('wp_head', 'wp_generator'); ?-->
Замените в файле search.php строку
<!--?php echo $_SERVER ['PHP_SELF']; ?-->
на
<!--?php bloginfo ('home'); ?-->
Эти действия ограничат возможности хакеров по анализу содержимого вашего сервера.
Вот простые, но действенные способы обезопасить свой блог на WordPress и информацию в нем.
Не забывайте удалять неиспользуемые плагины, так как они могут стать лазейкой для злоумышленников. Почаще обновляйте ПО, в свежих версиях постоянно закрывают уязвимости. Использование устаревших версий модулей и самой платформы опять же дает возможность воспользоваться различными известными эксплойтами.
Старайтесь закачивать контент через безопасное соединение с администраторской панелью, а не через открытый канал FTP. Ко всему прочему, не забудьте установить сложный логин и пароль для хостинга, ведь если хакер получит доступ к вашему серверу, то вся защита блога будет, мягко говоря, бесполезна.
Если это возможно, то стоит запретить регистрацию новых пользователей, это перекроет доступ потенциальным взломщикам к некоторым важным функциям, которые могли бы быть использованы для атак.
Теперь вы сможете обезопасить свой блог на WordPress. Успешного вам блога и ценной информации в нем.
