8 самых важных твиков для WordPress-безопасности

wordpress-security-update

Доброго времени суток, дорогие читатели!

Примудрствовать не стану, а сразу перейду к делу, т.е. описанию этих самых восьми самых важных действий для обеспечения безопасности Вордпресс.

1. Обновитесь в последнюю версию. Это первое и самое простое действие, которое вам следует выполнить! Обновления выходят достаточно часто, поэтому отслеживайте их и обновляйтесь при первой же возможности. Это позволит избежать ряда действий злоумышленников, которые могли бы завершиться успехом на ранних версиях. Обновления как правило содержат исправления безопасности.

2. Измените пароли, установленные по умолчанию. Кстати, этот совет желательно выполнить не только в аккаунту блога на ВП, но и к хостингу на котором он обитает. Ведь сам аккаунт ВП может и не быть взломан, но злоумышленник может пойти другим путем – через хостинг. Он может попытаться получить доступ к панели управления (DirectAdmin, ISP Manager, cPanel  и т.п.) или же фтп-аккаунту. Меняйте пароли регулярно и старайтесь чтобы они были не менее 10 символов, содержали хаотичный набор символов и цифр. Не используйте слова или какие-то естественные обозначения. Их всегда легче подобрать.

3. Используйте SSH/Shell вместо FTP. Если хостер позволяет, постарайтесь использовать SSH для обмена файлами с хостингом. Он более надежен и защищен шифрованием, нежели обычный ФТП. Отключите ФТП у хостера, чтобы никто и никогда не смог получить доступ на ФТП-сервер.

4. Установите плагин LoginLock. Этот плагин позволяет блокировать по IP-адресам всех, кто пытается войти в ваш аккаунт ВП. Плагин может автоматически блокировать ботов, пытающихся подобрать пароль к вашему аккаунту. По умолчанию блокировка устанавливается на 1 час. Правда если вы сами забыли свой пароль  наберете его несколько раз неверно, то тоже сможете часок отдохнуть и вспомнить пароль. Такое тоже бывает 🙂

5. Создайте пустой index.html в папке плагинов (wp-content/Plugins/). По-умолчанию директория с плагинами видима окружающим, поэтому загрузив пустой файлик index.html мы обезопасим себя от просмотра списка плагинов, используемых в блоге. Не зная какие плагины есть в блоге, хакер не сможет воспользоваться “дырами” этих плагинов. В последних версиях ВП этого делать уже не нужно.

6. Заблокируйте доступ в папку wp-admin используя .htaccess. Создайте в папке wp-admin файл .htaccess и поместите в него что-то подобное:

AuthUserFile /dev/null
AuthGroupFile /dev/null
AuthName “No Access”
AuthType Basic
<LIMIT GET>
order deny,allow
deny from all
allow from хх.хх.хх.хх
allow from хх.хх.хх.хх
</LIMIT>

где хх.хх.хх.хх – это ай-пи адрес, с которого будет разрешен доступ. Можно ввести несколько, по одному в каждой строке полностью повторяя “allow from хх.хх.хх.хх”. Если у вас постоянный ай-пи или вы входите с ограниченного количества ай-пи адресов, то этот способ будет дополнительной мерой безопасности. Если же конечно у вас Интернет с динамическим ай-пи (т.е. при каждом подключении выдается новый), то этот способ не будет полезным.

7. Удалите значение версии движка блога из файла header.php. Этот файл может содержать следующую строку:

<meta name=”generator” content=”WordPress <?php bloginfo(‘version’); ?>” />

Такое выражение будет выводить на каждой странице блога информацию о версии движка, на которой он работает. Как ни крути, но это дополнительный источник информации для хакера о том, где могут быть уязвимости для вашей версии. Удалите эту строку либо воспользуйтесь плагином Replace WP-Version. Плагин все выполнит автоматически.

8. Заблокируйте WP-папки для поисковых систем. Нет смысла в индексации файлов движка Ворпресс поисковыми системами. К тому же, это дополнительный источник информации для хакеров о изъянах и возможных местах проникновения. Лучше заблокируйте индексацию WP-папок, добавив в robots.txt следующую строку:

Disallow: / WP-*

Знаете еще важные твики? Милости прошу в комментарии. А пока все.

IgorOsa

__________

Программисту и веб-мастеру! Самые популярные бесплатные CMS – Webindicator.ru. Узнай  то, чего не знал!

6 комментариев

  1. SeoAdvicer:

    Уйма полезной инфы 🙂 Спасибо! Закатываем рукава и идём перестраховываться.. 🙂

  2. volos_86:

    начну пожалуй с 8-го совета

  3. Апокалиптик:

    Неплохая подборка нужно защищать свой блог. Я только не люблю обновляться до последний версии, а то wp от веосии к версии становится все более прожорливым.

  4. cava150:

    Добрый день!
    Прочитал, ваш пост tпо поводу безопасности блога,хотел добавить пару пунктов как убезопасить блог.
    1.рекщмендую поставить пллагин wp-security,в нем нашел очень полезную вешь-он говорит в какую директорию какими правами защитить, и где надо поставить .htacces.
    2.я в каждой подпапке wp-content, wp-includes прописал в htacces,что можно смореть только картинки и js файлы.

Добавить комментарий

Ваш адрес email не будет опубликован.

Этот сайт использует Akismet для борьбы со спамом. Узнайте, как обрабатываются ваши данные комментариев.