Как защитить WordPress за 5 шагов


WordPress без сомнения отличная система, но как любая система она имеет узкие места. В виду такой популярности и осведомлённости пользователей о возможностях системы, вполне вероятно предположить, что могут найтись те, кто может воспользоваться узкими местами для взлома Вашего блога. В связи с этим возникает вопрос - как защитить блог WordPress. Ниже приведён список действий, которые могут повысить защищённость WordPress.

1. Не используйте аккаунт администратора– Аккаунт пользователя по умолчанию, который создаётся при каждой новой инсталляции WordPress называется административным или аккаунтом администратора. К сожалению весь мир знает об этом, включая хакеров, которые могут использовать атаку с подбором по словарю и угадать Ваш установленный пароль. Если хакеры узнают имя администратора, можно считать, что полдела сделано. Настоятельно рекомендую удалить этот аккаунт или изменить его имя с admin на любое другое. Для правильного удаления административного аккаунта необходимо выполнить следующее:

  • Создайте новый аккаунт пользователя WordPress. Подберите уникальное имя
  • Установите для этого пользователя привилегии администратора.
  • Сделайте выход (Log out) из WordPress и войдите обратно, используя новое имя созданного аккаунта
  • Удалите аккаунт администратора

2. Используйте секретные ключи (Secret Keys)– Секретные ключи это хэш последовательности, которые используются для Вашего пароля, чтобы сделать его еще более сильным. Секретные ключи установлены в файле wp-config.php Вашего блога. Просто откройте ссылку https://api.wordpress.org/secret-key/1.1чтобы получить новый набор ключей, сгенерировынных случайным образом для Вас. Скопируйте эти 4 секретных ключа в Ваш файл wp-config.php и сохраните его. Вы можете добавлять или изменять секретные ключи в любое время. После изменения ключей, единственное что произойдёт это все текущие WordPress cookies станут недействительными и все пользователи должны будут обновить страницы.

3. htaccess блокировка – Использование файла .htaccess может блокировать доступ к директории wp-admin для IP адресов. Это значит, что только IP адреса, которые Вы указали смогут иметь доступ к Вашей панели управления. Это сделает невозможным для остальных попытки взлома системы WordPress. Для того чтобы это сделать, просто создайте файл с названием .htaccess и добавьте в него следующий код, заменяя xxx.xxx.xxx.xxx на адреса Ваших IP:

AuthUserFile /dev/null AuthGroupFile /dev/null AuthName "Access Control" AuthType Basic order deny,allow deny from all #IP address to Whitelist allow from xxx.xxx.xxx.xxx 

4. Перейдите на SSL логин и доступ администратора– SSL (https) это метод кодирующий данные передаваемые с web сайта. Чтобы легко обеспечить администрирование WordPress по защищённому каналу (SSL), в файле настроек wp-config.php необходимо установить две переменные. Перед этим нужно убедиться , что SSL правильно установлен на Вашем сервере.

define('FORCE_SSL_LOGIN', true); define('FORCE_SSL_ADMIN', true); 

5.Установите плагины безопасности (WordPress Security Plugins)– Установите рекомендованные ниже плагины, которые помогут Вам защитить Ваш сайт от хакеров и эксплойтов.

  • WP Security Scan– сканирует разрешения, установленные на папки/файлы и проверяет их правильность. Также отображает советы по безопасности в зависимости от настроек конфигурации.
  • WordPress Exploit Scanner– сканирует Ваши исходные файлы и контент базы данных на наличие злонамеренного кода.
  • WordPress File Monitor– производит мониторинг всех исходных файлов WordPress и высылает письмо с уведомлением об их изменениях.
  • Login Lockdown– блокирует пользователя, который неудачно ввёл пароль при входе заданное число раз.

Выполнив эти шаги, мы значительно повысим защищённость блога WordPress/

Продолжение следует...

http://wordcampboston.com/2010/02/08/top-5-wordpress-security-tips-done-in-under-5-minutes/
Реклама
Поделиться
Качественные премиум темы и шаблоны для Вашего сайта:

Смотреть полный каталог качественных тем и шаблонов

Здесь Вы можете выбрать из более чем 46 000 готовых дизайнов. Шаблоны сайтов + установка + хостинг + персонализация + поисковая оптимизация + копирайтинг — все эти услуги вы всегда можете получить от профессионалов мирового уровня!

9 комментариев

  1. Ferkinast23/03/2010
  2. Hikoderip20/03/2010
  3. Bettech20/03/2010
  4. Mcomes18/03/2010
  5. Rabinovich15/03/2010
    • Николай15/03/2010
  6. Pingback: Защита блога от вредоносных URL запросов | Main View - Копилка разработчика 04/03/2010
  7. Nikotinka02/03/2010

Добавить коментарий

четыре × четыре =