Мы с Вами уже много говорили о безопасности WordPress, что необходимо сделать, чтобы предохранить свой сайт от несчастного случая. В данной статье, мы рассмотрим основные угрозы безопасности, которые возникают на многих WordPress сайтов или блогов. Вам следует только позаботиться о том, чтобы эти самые угрозы не материализовались (не воплотились) в реальность. Ниже представлены 5 угроз безопасности WordPress, на которые следует обратить внимание, а также то, как их предотвратить.

Логин и пароль, при использовании различных комбинаций. Пользователи, которые не авторизированные на сайте, могут использовать различные комбинации логинов и паролей. Имея, в своем арсенале, различные специализированные программы, злоумышленники в итоге, смогут получить Ваш логин и пароль, такой метод называется брутфорс.

Так вот, чтобы предотвратить эту ситуацию, можно воспользоваться плагином —  Limit Login Attempts, который позволяет устанавливать ограничения, на количество попыток авторизации. Если пользователь превышает данное количество, то он просто блокируется. Вам лишь необходимо ограничить количество попыток входа, в консоль WordPress.

Подтверждение информации для входа. Большим недостатком формы авторизации WordPress, является то, что при неудачном входе, сообщает, что было введение не правильно: либо логин, либо пароль. Поэтому, злоумышленнику становится легче определить и дальше подбирать нужную комбинацию. Но это, с легкостью можно исправить, для этого Вам необходимо в файле functions.php, Вашего WordPress шаблона, вставить следующий код:

Исходный код

function failed_login () {
    return 'the login information you have entered is incorrect.’
}
add_filter ( 'login_errors', 'failed_login' );

Открыта глобальная регистрация на Вашем сайте. Если у Вас такая функция включена, на Вашем WordPress сайте или блоге, то любой человек, из любой точки мира, может зарегистрироваться на Вашем сайте. По умолчанию, данная функция выключена в WordPress, но всеже стоит убедиться в этом. Для этого, в консоли WordPress, необходимо зайти в Параметры-Общие и функция Членство, должна быть отключена:

Также лучше всего, Вам стоит установить роль – Подписчик, как роль по-умолчанию. Не забудьте прочитать про роли пользователей в WordPress.

Доступ редакторам. То, что Вы даете доступ к консоли, свои редакторам – это нормально, но не забывайте то, что они могут менять тему, различную разметку, а также фон для Вашего сайта. Для того, чтобы предотвратить несанкционированный доступ, Вам необходимо в файл wp-config.php, добавить следующий код:

Исходный код

define ( 'DISALLOW_FILE_EDIT', true );

Версия WordPress. В поставке WordPress, имеется файл readme.html, в котором показывается информация о текущей версии WordPress и другая информация. Поэтому, злоумышленники смогут посмотреть Вашу версию WordPress и затем воспользоваться уязвимостью, данной версии. Вам необходимо скрывать такие данные вручную, либо воспользоваться кодом:

Исходный код

function remove_wp_version () {
    return '';
}
add_filter ( 'the_generator', 'remove_wp_version' );

Заключение

Это не все угрозы и риски, которые могут угрожать Вашему WordPress сайту (блогу), но Вам стоит позаботиться о них и использоваться другие способы и трюки, чтобы, как можно лучше, обезопасить свой сайт.