WordPress »
Рекомендаций по защите блога на WordPress
Какие меры предпринять чтоб защитить блог? Возможно, ваш сайт уже надежно защищен, если нет, то вот 10 советов которые помогут обеспечить надежную защиту.
1. Никто не должен иметь возможность поиска на вашем сервере
Не используйте следующий код в файле search.php:
1 | < ?php echo $_SERVER ['PHP_SELF']; ?> |
Вместо него используйте:
1 | < ?php bloginfo ('home'); ?> |
Закройте от индексации поисковыми системами все папки, начинающиеся с wp:
1 | Disallow: /wp-* |
2. Директории должны быть закрыты от просмотра
Благодаря открытым директориям, злоумышленники могут без проблем разведать, какие плагины используются. Это поможет им написать вредоносный код для возможно уязвимого плагина.
Чтобы этого избежать, создайте пустой index.html файл, и разместите его по адресу: wp-content/plugins/index.html
Или же просто добавьте следующую строку в файл .htaccess в корне сайта:
1 | Options All –Indexes |
3. Удалите строку, содержащую информацию о версии WordPress
Информации о версии WordPress злоумышленнику достаточно, чтобы совершить удачный взлом блога. Чтобы этого не случилось, удалите следующую строку из шаблона темы оформления:
1 | <meta name=”generator” content=”WordPress <?php bloginfo(’version’); ?>” /></meta> |
4. Защитите директорию wp-admin
Злоумышленники могут использовать брутфорс-атаки, суть которых заключается в подборе администраторских логина и пароля. Существует несколько решений данной проблемы:
- Ограничьте доступ к директории wp-admin по IP. В файле .htaccess прописываются IP, с которых доступ к этой директории открыт.
- Использование плагина AskApache Password Protect. Данный плагин запрашивает логин и пароль, при каждой попытке получить доступ к wp-admin.
- Использование плагина Login Lockdown. Фиксирует все IP, пытающиеся получить доступ к директории wp-admin. IP, совершающие ряд неудачных попыток авторизации, автоматически распознаются как брутфорс-атаки и блокируются.
5. Всегда устанавливайте обновления
В обязательном порядке устанавливайте обновления тем оформления, плагинов и виджетов сразу же после их выхода.
6. Делайте бекапы базы данных и файлов своего блога
Старайтесь ежедневно делать полные бекапы своих блогов. Для бекапа баз данных посоветую плагин — WordPress Database Backup — отличный многофункциональный и удобный плагин.
7. Обновляйте движок по мере выхода новых версий
Это самое первое, что нужно делать, когда выходит новая версия движка. О новых версиях всегда пишется на сайтах поддержки, и оповещается через администраторскую панель вашего блога. А для обновления до новой версии одним кликом рекомендую этот плагин.
8. Используйте SSH/Shell доступ вместо FTP
Если злоумышленник получит данные из Вашего FTP-клиента, находящиеся в незашифрованном виде, то он получит полное управление над всеми файлами на сервере, что может привести к серьезным последствиям.
9. Не беспокоитесь о безопасности файла wp-config.php
Обезопасьте логин и пароль от базы данных, добавив следующую строку в файл .htaccess:
1 | <filesmatch ^wp-config.php$>deny from all</filesmatch> |
10. Защитите свой блог с помощью сложного пароля
Сгенерируйте сложный пароль для доступа к администраторской панели блога. Пароль должен содержать цифры, прописные и заглавные буквы.
Комментарии (6) ↓
Amuth / 21 Март 2009 в 16:48
Супер! Спасибо.
Тюнинг Wordpress / 22 Март 2009 в 20:37
Также для безопасности полезны плагины: Secure WordPress, WP Security Scan, Replace WP-Version (убирает версию WP из HTML).
Рома Лобацкий / 27 Март 2009 в 16:59
Интересно, а почему так редко блог обновляете?
Илья Федотов / 27 Март 2009 в 17:21
Рома Лобацкий, если вы будете присылать нам свои статьи, мы сможем обновлять блог чаще (:
Haben / 7 Июль 2009 в 08:39
Спасибо за инфу. Советы дельные, и главное все понятно изложено.
Phonelover / 23 Июль 2010 в 16:45
Спасибо за рекомендации (: