С каждым днем количество пользователей глобальной паутины растет. Однако не у всех у них добрые намерения. Есть и такие люди, которые пытаются нанести вред чужим сайтам. Хакеры ищут уязвимые места сайта с целью его взлома. Причин для взлома может быть масса — это и взлом с целью завладения сайтом, и взлом чисто из хулиганских побуждений. Для того, чтобы обезопасить блог на WordPress существует несколько способов. В данном посте я расскажу о базовых мероприятиях по обеспечению безопасности блога.
Итак, способы и советы по защите блога на WordPress:
1. Придумываем сложный пароль
Пароль должен быть надежным. При составлении пароля следует использовать прописные и заглавные буквы. Можно также использовать цифры. Не следует в качестве пароля указывать дату своего рождения. Часто это делают неопытные пользователи, злоумышленники об этом прекрасно знают. Пароли лучше записывать в записную книжку, чтобы не забыть. Не стоит хранить свои пароли на хостинге.
2. Изменяем имя пользователя
При установке WordPress создается учетная запись администратора с именем «admin», что существенно облегчает работу хакерам. Ведь зная логин, подобрать пароль намного проще. Изменить логин «admin» можно различными способами, начиная от запроса к базе данных и заканчивая использованием специальных плагинов. Самый простой способ изменения имени администратора – создать нового пользователя с правами администратора, затем выйти из «админки» блога и «залогиниться» под новым именем. После этого нужно проверить все ли функции доступны и удалить первую учетную запись, связав все записи с новым пользователем.
3. Скрываем версию WordPress
Система WordPress периодически обновляется. В новых версиях движка вносятся доработки, исправляются ошибки. Рекомендуется регулярно обновлять свой блог. Злоумышленники, зная версию WordPress и, соответственно, известные в ней «дыры», могут попытаться взломать Ваш блог. Версию WordPress можно посмотреть в исходном коде страницы. Чтобы убрать версию движка достаточно отредактировать нужные файлы. Для этого открываем файл «header.php», в котором находим и удаляем такую строку:
<meta content="WordPress<?php bloginfo ('version'); ?>" />
После этого открываем файл "functions.php" и добавляем такой код:
<?php remove_action ('wp_head', 'wp_generator'); ?>
4. Изменяем права на файлы и папки
Права на файлы и папки устанавливаются автоматически при закачке сайта на хостинг. Однако, при работе их часто приходится изменять, например, для редактирования файлов темы. Поэтому после внесения всех необходимых изменений не забывайте выставить права обратно. Права на папки должны быть 755, кроме "cache" и "uploads" (у них 777), а на файлы – 644.
5. Генерируем ключи безопасности
В файле «wp-config.php» есть 4 ключа, которые необходимы для обеспечения защиты блога:
define('AUTH_KEY', ''); define('SECURE_AUTH_KEY', ''); define('LOGGED_IN_KEY', ''); define('NONCE_KEY', '');
Эти ключи необходимо сделать уникальными, добавив в них собственные символы.
6. Закрываем возможность просмотра директорий на сервере
Необходимо скрыть от просмотра системные директории движка WordPress (например, «wp-content», «wp-includes»). Для этого нужно прописать в файле «.htaccess» следующую строку:
Options-Indexes
7. Устанавливаем плагин «Login LockDown»
Плагин блокирует IP-адрес, с которого идут запросы, после нескольких неудачных попыток авторизации. Количестве этих попыток и время блокировки можно задать в настройках плагина. Кроме этого, данный плагин запоминает все неудачные попытки входа в «админку». Всегда можно посмотреть с каких IP-адресов были попытки авторизации и в какое время.
8. Обновляем WordPress и плагины
В каждой новой версии WordPress учтены и исправлены все уязвимые места предыдущих версий. Поэтому следует своевременно обновлять, как сам движок WordPress, так и плагины.
9. Делаем резервные копии базы данных и файлов сайта
Следует постоянно делать резервные копии базы данных и движка WordPress. Это позволит в любой момент восстановить работоспособность блога. Копии баз данных можно делать в админ-панели хостинга или с помощью плагина «WP DataBase Backup» в «админке» WordPress.
Вот такие советы. Если им следовать, то можно обеспечить хорошую защиту своему блогу. Есть и другие способы защиты, о них можно дополнительно почитать в Интернете.
Интересные советы, как раз искала что-то подобное. Спасибо.
Я никогда не могла подумать, что мой аккаунт на WordPress будет интересен хакерам! Но, столкнувшись с проблемой взлома, теперь всем рекомендую обезопасить свой блог. Автор статьи молодец!
Дельная статья, много полезных советов. Спасибо огромное, на своем блоге все это тоже проделаю!