Добрый день. В этой статье я расскажу вам о том, как защитить свой блог на CMS «Вордпресс» от различных взломов хотя бы на 90%. Звездочками отмечены более продвинутые средства защиты.
[img]http://ahawks.ru/blog/wp-content/uploads/2011/04/wordpress-security.png[/img]
1. Качественный хостингДа, именно с хостинга надо начинать защищать свой блог от посягательств. Ну не скупитесь вы, не сидите на дешевом хостинге. Добавьте пару баксов и юзайте нормальный. Домик для вашего сайта это не то, на чем следует экономить.
2. Сложный парольЭто очевидно, но все же. Сделайте свой пароль афигительно сложным, с использованием всех возможных символов. И не надо отмазок типа «Его ж сложно запомнить!». Запоминайте не символы пароля, а как он набирается на клавиатуре. Например: q1@we3$rt5^y. Крутой пароль, попробуйте его вручную набрать, и вы увидите закономерность при вводе. И еще. Последние версии WP позволяют изменять логин админа по умолчанию (admin) на свой ник. Сделаете это обязательно.
3. «Чистая» темаНаверняка на вашем блоге установлена сторонняя тема, а не уже встроенная в движок. Стоит ее проверить на наличие левого кода плагином TAC (Theme Authenticity Checker). И в будущем все свежескаченые шаблоны проверять им.
4. Последняя версияНе забывайте обновлять сам вордпресс и установленные плагины. Не надо думать, что кроме нового интерфейса после обновления ничего не появиться. Между прочим, кроме красивостей, разработчики исправляют и уязвимости в своих продуктах. Перед обновлением движка сделайте резервную копию базы данных (вручную через phpmyadmin или с помощью плагина WordPress Database Backup). А перед обновлением плагинов отключайте их.
5. WP-Security ScanУстановите этот плагин и посмотрите, что он вам скажет. Как исправите все косяки, можете его отключить и даже удалить.
6. Пароль от FTPНе стоит хранить пароль от FTP-доступа в самом FTP-клиенте. Особенно в Total Commander. Он, конечно, честно предупреждает, что хранить пароль в нем небезопасно, но мы ж ничего не читаем.
7. Замена wp_По умолчанию все таблицы в ВП начинаются с wp_. Всегда! Это значит, что хакер будет в курсе, как называются ваши MySQL-таблички, а это плохо. С помощью уже известного нам WP-Security Scan можно поменять префикс БД.
8. ПраваПри установке wordpress сам раздает права своим файлам и папкам. Но на всякий случай проверьте: папки cache и uploads должны иметь права 777, остальные папки – 755, все файлы – 644. Изменить их можно нажав Файл -> Изменить атрибуты (в тотал коммандере).
9. Ограничение попыток ввода пароляПо умолчанию wordpress никак не реагирует на большое количество попыток входа в админку. Плагин Login Lock Down дает хакеру 3 попытки ввести правильные логин/пароль, после чего блокирует его IP. Вы сможете просматривать логи таких входов.
10. index.html в каждой папкеДопустим, вы создали папку «blabla» в директории вордпресса. Ну нужна она вам, там вы что-то будете хранить. Но вы не создали в этой папке файл index.html. А если там не будет такого файла то, перейдя по ссылке tvoiblog.ru/blabla злоумышленник увидит список всех лежащих там файлов и сможет путешествовать по всем папкам блога. Для невозможности такого действия в файл .htaccess (лежит в корне) надо добавить следующую строку:
Options -Indexes.
11*. Блокировка wp-admin по IPЕсли у вас статический IP-адрес, можно ограничить доступ к админке. Создаете файл .htaccess, пишите туда три строчки:
order deny,allow
deny from all
allow from хх.ххх.ххх.хх
где хх.ххх.ххх.хх – ваш айпишник. И заливаете его в папку wp-admin.
12*. ШифрованиеЕсли ваш хостинг позволяет работать через SSL, то рекомендую в файле wp-config.php дописать строчку:
define('FORCE_SSL_ADMIN', true);
13*. Anti-XSS attackПлагин защитит ваш блог от XSS атак. Такие атаки внедряют вредоносный код на страницы блога , которые в свою очередь способны заражать посетителей вашего сайта.
14*. Stealth LoginДля входа в админку блогов на ВП нужно набрать tvoiblog.ru/wp-admin. А этот плагин позволит изменить этот путь на любой другой.
[img]https://masterwebs.ru/sp/maxtrust-konkurs.jpg[/img]
Maxtrust.ru - сеть по продаже VIP-товаров. Высокий заработок для качественного трафика - от 270$ за 1000 посетителей
Обсудить на форуме.
[img]https://masterwebs.ru/sp/admitad-konkurs.jpg[/img]
Admitad.com - агрегатор партнерских программ с оплатой за действие пользователя. Выбор множества выгодных предложений для вашего трафика.
Обсудить на форуме.