Блог Мексиканца

Усиливаем защиту WordPress

Не для кого не секрет что блоги на движке WordPress пестрят дырами, которые используют взломщики. Дак как же защитить и без дого дырявый движок? Ниже я перечислю все основные методы усиления защиты от взлома WordPress:

1. Чаще обновляйте сам движок и плагины которые вы к нему ставите.

2. Наперед зная версию вашего движка злоумышленник может попытатся использовать уже имеющуюся уязвимость, поэтому необходимо скрыть вывод версии wordpress. Делается это так – идем header.php ( в админке – внешний вид-редактор-header.php) и удаляем оттуда строчку

<strong><meta content=”WordPress <?php bloginfo(’version’); ?>” /></strong>

Версию движка можно узнать и из файлов readme.html и license.txt которые находятся в корне, их тоже необходимо удалить. Можно поставить плагин Replace WP version который подменяет или просто удаляет эту строчку.

3. Попробуйте открыть ссылку вида http://вашблог.ру/wp-content/plugins/ мы увидим список файлов и папок, а это и есть наши плагины. Опять же злоумышленник может увидеть те плагины что у вас стоят и использовать их уязвимости для взлома блога. Чтобы скрыть отображение плагинов необходимо скрыть их содержимое в файле .htaccess либо просто создать пустой файл index.html в директории wp-content/plugins/ т.е полный путь к файлу у нас будет следующего вида wp-content/plugins/index.html.

4.Сделайте ревизию ваших плагинов и отключите те которые вы не используете.

5. Ограничте доступ к директории wp-admin для этого отредактируйте файл .htaccess либо установите плагин AskApache. Очень полезный плагин который спрашивает дополнительный пароль при попытке попасть в админку блога. Использование двух паролей, один стандартный на вход в WordPress и второй дополнительный на вход в папку, намного повышает безопасность блога, от несанкционированного доступа в интерфейс администратора.

6. Выполняйте резервные копии ваших баз данных, в случае взлома вам будет к чем вернуться. Это можно сделать через плагин Wp DB Backup или BackUpWordPress в отличии от первого плагин делает полную резервную копию вашего блога, включая базы данных, плагины, файлы самого WordPress.

7. Следите за правами доступа. Лучше не ставить больше чем 755 на папки и 666 на файлы. А на wp-config.php безопаснее всего будет поставить 644.

8. Защитите файл wp-config.php для этого исключаем внешний доступ к файлу при помощи .htaccess. Для этого необходимо в нем прописать следующие строчки кода:

# protect wpconfig.php
<files wp-config.php>
Order deny,allow
deny from all
</files>

Очень важно убедится в том что эти два файла находятся у вас в одной директории.

9. Удалите учетную запись администратора по умолчанию. Для этого содайте ещё одного администратора, выйдите из админки, войдите под новым и удалите старого.

10. Выбирайте качественный и надежный хостинг. Прочитать о том что такое хостинг вы можете на тематических форумах посвященных поисковой оптимизации в специальных разделах, где идет обсуждение услуг хостинг провайдеров.

11. Ограничьте количество попыток входа в админку. WordPress не хранит данных о попытках неудачного входа в систему, поэтому злоумышленник может хоть до бесконечности подбирать ваш пароль. Для ограничения существую плагины Login LockDown и Limit Login Attempts. После установки они записывают в журнал все попытки входа. Кроме того вы можете заблокировать пользователя на определенное время после нескольких неудачных попыток входа.