Мы уже много говорили об оптимизации, о продвижении, об ускорении сайта на WordPress, но мы не говорили о его безопастности, что очень и очень важно в настоящее время. Конечно, если Вы думаете, что разработчики WordPress создали этот движок и все, Вам надо только его скачать, установить и наустанавливать различные плагины и все? Ничего больше не боятся? Тут Вы не правы тогда будете.
Конечно, разработчики какие-то меры по безопасности принимают, при чем с каждым обновлением WordPress, но Вы же не забывайте, что все зависит только от WordPress, это также зависит и от Вашего хостинга например.
Ваш ресурс, навернека никто не будет трогать, когда он будет на стадии раскрутки, разве, что каким-нибудь начинающим хакерам, которые хотят самоутвердиться, а вот если Ваш ресурс очень популярный в сети, то шанс на хакерскую атаку, на Ваш сайт значительно увеличивается.
Начнем по порядку. Давайте установим два хороших плагина WordPress:
- Anti-XSS attack – защищает Ваш сайт (блог) от XSS-атак
- Login LockDown или Limit Login Attempts – я думаю из названия плагинов можно догадаться для чего они. Данные плагины предназначены для установки лимита на ввода логина и пароля в админский блок. То есть, если хакер будет подбирать пароль и логин, то ему необходимо будет уложиться в определенное количество попыток. А это гораздо сложнее, чем бесконечно количество раз.
Идем дальше. Необходимо в корне Вашего сайта (блога) удалить такие файлы как: readme.html и license.txt. Они поставляются вместе с WordPress, то есть после его установки. Данные файлы Вам ни к чему и в принципе они носят только информационный характер. А для хакеров это дополнительная возможность узнать Вашу версию движка WordPress.
Также посмотрите все файлы, где может выводиться версия Вашего сайта WordPress, обычно это находится в файле header.php и такой строчкой:
<meta name=”generator” content=”WordPress <?php bloginfo (’version’); ?>” />Как Вы уже поняли, данная строка также показывают версию движка WordPress.
Следующий наш шаг – это установка плагина WordPress database backup. Данный плагин я считаю также необходим, так как в случае взлома Вашей базы данных, у Вас будет резервная копия. Конечно, можно настроить бекап на хостинге, но данный плагин позволит высылать Вам копию вашей базы прямо Вам на электронный адрес.
Следующее наше действие. Набираем в адресной строке браузера следующие адреса:
http://адрес_вашего_сайта/wp-content
http://адрес_вашего_сайта/wp-content/pluginsИ Вы должны посмотреть, в браузере отображается содержимое данных папок. Если это происходит, то данную ситуацию в скором времени необходимо исправить. Для того чтобы исправить данную ситуацию необходимо в данных директориях создать пустой файл index.php, затем повторно откройте данные адреса и у Вас в браузере должна отобразиться пустая (белая) страница.
Также в файл .htaccess можно добавить дополнительную строчку, следующего вида:
Options All –IndexesНу и переходим к последнему нашему пункту. Если у Вас есть файл functions.php, то в нем необходимо сделать небольшие изменения. Необходимо в конце данного файла написать следующий код:
<!--?php remove_action (’wp_head’, ‘wp_generator’); ?-->А также, если в файле search.php есть код:
<!--?php echo $_SERVER ['PHP_SELF']; ?-->То его необходимо заменить на
<!--?php bloginfo (’home’); ?-->Данные действия помогут запретить лазить хакерам по Вашему серверу.
Примерно это все мои советы по защите блога на WordPress. Также хочется заметить то, чтобы Вы посмотрели все Ваши плагины, удалите плагины, которые Вы просто не используете, которые Вы не активировали. Также следите за обновлениями самого движка WordPress и плагинов. Обновлять это необходимо, так как устаревшие версии могут содержать различные виды лазеек.
Вот и все, мои дорогие друзья, до новых встреч!
Также советуем почитать на PressDev.RU
Короткая ссылка: http://pressdev.ru/?p=456
Loading...
Андрей, а вот есть такой плагин, Bullet Proof, он создает свои файлы .htacess в нужных дирректориях и с нужным содержанием (по мнению самого плагина). Стоит ли доверять этому плагину, или все же ручками лучше все прописывать? Для новичков, типа меня, проще конечно все регулировать плагинами, так как нагрузка на сервер с блога минимальная, а знаний порой не хватает, чтобы все посредством кода регулировать. Со временем, конечно, от тех плагинов, функции которых можно заменить внесением определенного кода, буду избавляться. Но хотелось бы изначально создать максимальную безопасность. Хотелось бы твоего мнения, как специалиста, послушать. Правильная ли это стратегия?
Еще функция у этого пагина, кстати — отслеживание изменений в .htacess файлах, или структуре сайта в целом. И если какие-то изменения внесены, он сразу же сигнализирует.
Да, и еще. .htaccess созданный этим плагином содержит множество закомментированного текста с описанием. Если нужно, для анализа могу написать незакомментированные строки файла.
Вот например, в созданном файле строка:
Options -Indexes
А в вашей статье рекоммендация: Options All -Indexes
Я так понимаю, это не критическое отличие?
Если плагин находится в директориях WordPress.ORG, то можешь его устанавливать, со сторонних ресурсов не качай плагин. Со временем избавляйся от них, то что можно сделать вручную, например.
Нет, это не слишком критично!