Перейти к содержимому



Безопасность блога на CMS WordPress

#1 akill

akill
  • Неактивные
  • 2 сообщений
  • Репутация: 2
2

Отправлено 29 Март 2012 - 00:06

Добрый день. В этой статье я расскажу вам о том, как защитить свой блог на CMS «Вордпресс» от различных взломов хотя бы на 90%. Звездочками отмечены более продвинутые средства защиты.

Изображение


1. Качественный хостинг
Да, именно с хостинга надо начинать защищать свой блог от посягательств. Ну не скупитесь вы, не сидите на дешевом хостинге. Добавьте пару баксов и юзайте нормальный. Домик для вашего сайта это не то, на чем следует экономить.

2. Сложный пароль
Это очевидно, но все же. Сделайте свой пароль афигительно сложным, с использованием всех возможных символов. И не надо отмазок типа «Его ж сложно запомнить!». Запоминайте не символы пароля, а как он набирается на клавиатуре. Например: q1@we3$rt5^y. Крутой пароль, попробуйте его вручную набрать, и вы увидите закономерность при вводе. И еще. Последние версии WP позволяют изменять логин админа по умолчанию (admin) на свой ник. Сделаете это обязательно.

3. «Чистая» тема
Наверняка на вашем блоге установлена сторонняя тема, а не уже встроенная в движок. Стоит ее проверить на наличие левого кода плагином TAC (Theme Authenticity Checker). И в будущем все свежескаченые шаблоны проверять им.

4. Последняя версия
Не забывайте обновлять сам вордпресс и установленные плагины. Не надо думать, что кроме нового интерфейса после обновления ничего не появиться. Между прочим, кроме красивостей, разработчики исправляют и уязвимости в своих продуктах. Перед обновлением движка сделайте резервную копию базы данных (вручную через phpmyadmin или с помощью плагина WordPress Database Backup). А перед обновлением плагинов отключайте их.

5. WP-Security Scan
Установите этот плагин и посмотрите, что он вам скажет. Как исправите все косяки, можете его отключить и даже удалить.

6. Пароль от FTP
Не стоит хранить пароль от FTP-доступа в самом FTP-клиенте. Особенно в Total Commander. Он, конечно, честно предупреждает, что хранить пароль в нем небезопасно, но мы ж ничего не читаем.

7. Замена wp_
По умолчанию все таблицы в ВП начинаются с wp_. Всегда! Это значит, что хакер будет в курсе, как называются ваши MySQL-таблички, а это плохо. С помощью уже известного нам WP-Security Scan можно поменять префикс БД.

8. Права
При установке wordpress сам раздает права своим файлам и папкам. Но на всякий случай проверьте: папки cache и uploads должны иметь права 777, остальные папки – 755, все файлы – 644. Изменить их можно нажав Файл -> Изменить атрибуты (в тотал коммандере).

9. Ограничение попыток ввода пароля
По умолчанию wordpress никак не реагирует на большое количество попыток входа в админку. Плагин Login Lock Down дает хакеру 3 попытки ввести правильные логин/пароль, после чего блокирует его IP. Вы сможете просматривать логи таких входов.


10. index.html в каждой папке
Допустим, вы создали папку «blabla» в директории вордпресса. Ну нужна она вам, там вы что-то будете хранить. Но вы не создали в этой папке файл index.html. А если там не будет такого файла то, перейдя по ссылке tvoiblog.ru/blabla злоумышленник увидит список всех лежащих там файлов и сможет путешествовать по всем папкам блога. Для невозможности такого действия в файл .htaccess (лежит в корне) надо добавить следующую строку:

Options -Indexes.


11*. Блокировка wp-admin по IP
Если у вас статический IP-адрес, можно ограничить доступ к админке. Создаете файл .htaccess, пишите туда три строчки:

order deny,allow
deny from all
allow from хх.ххх.ххх.хх
где хх.ххх.ххх.хх – ваш айпишник. И заливаете его в папку wp-admin.

12*. Шифрование
Если ваш хостинг позволяет работать через SSL, то рекомендую в файле wp-config.php дописать строчку:
define('FORCE_SSL_ADMIN', true);


13*. Anti-XSS attack
Плагин защитит ваш блог от XSS атак. Такие атаки внедряют вредоносный код на страницы блога , которые в свою очередь способны заражать посетителей вашего сайта.

14*. Stealth Login
Для входа в админку блогов на ВП нужно набрать tvoiblog.ru/wp-admin. А этот плагин позволит изменить этот путь на любой другой.

Изображение Maxtrust.ru - сеть по продаже VIP-товаров. Высокий заработок для качественного трафика - от 270$ за 1000 посетителей Обсудить на форуме.

Изображение Admitad.com - агрегатор партнерских программ с оплатой за действие пользователя. Выбор множества выгодных предложений для вашего трафика. Обсудить на форуме.

 

 

  • 2

robot

robot
  • Пользователь PRO
  • 2 652 сообщений
  • Репутация: 85
Советую обратить внимание на следующее:
  1. Создание сайта на Wordpress
  2. Wordpress НЕ только для блога или создание различных типов сайтов на этой CMS
  3. Как полностью обезопасить блог на WordPress?
  4. Англоязычная версия сайта на wordpress
  5. Услуги по сайту на WordPress

#2 phpuser

phpuser
  • Неактивные
  • 520 сообщений
  • Репутация: 8

Отправлено 22 Апрель 2012 - 16:51

Спасибо. Полезная статейка получилась.

Хотел бы ещё добавить:

WordPress Firewall 2 - этот плагин распознаёт и блокирует атаки на сайт а так же высылает вам в письме IP атакующего.

WordPress File Monitor - этот плагин постоянно следит за изменениями в файловой системе вашего сайта и в случае появления таковых он уведомляет вас письмом.
  • 0
Вникаю в тему создания сайтов...


#3 Motorocker

Motorocker
  • Неактивные
  • 2 сообщений
  • Репутация: 0

Отправлено 18 Июнь 2012 - 08:44

6. Пароль от FTP
Не стоит хранить пароль от FTP-доступа в самом FTP-клиенте. Особенно в Total Commander. Он, конечно, честно предупреждает, что хранить пароль в нем небезопасно, но мы ж ничего не читаем.

Тотал уже давно умеет шифровать сохранённые пароли мастер-паролем.
  • 0


Оформление форума – IPBSkins.ru