Как защитить сайт wordpress от взлома
Содержание:
Сайты на любой CMS подвержены хакерским атакам. Цели у злоумышленников бывают самые разные: воровство контента и информации, размещение на вашем ресурсе своих ссылок, почтовые рассылки от вашего имени и прочие. Самым популярным движком для сайтостроения на сегодняшний день является Wordpress, поэтому ресурсы, собранные на нем, подвергаются более частым нападкам злодеев. Предлагаю полезные, буквально, пошаговые действия, выполнив которые, вы во многом повысите безопасность своего сайта.
↑ Установка плагинов Login LockDown и Anti-XSS attack
Первым шагом безопасного существования сайта в интернете является установка двух очень важных плагинов:
- Login LockDown;
- Anti-XSS attack;
Первый ограничивает количество ошибочных входов в админпанель. Если злодей начнет методом подбора искать подходящий логин и пароль к блогу, то этот плагин остановит и заблокирует IP адрес ворюги. Количество неправильных вводов логина и пароля, а так же время блокировки адреса устанавливаете Вы.
Второй плагин, как видно из названия, защищает блог от XSS-атак.
↑ Меняем имя пользователя для доступа и пароль
Стандартно для входа в панель администрирования сайтом используется логин admin и выбранный Вами пароль. Однако использования такого логина это упрощение задачи злоумышленникам, им не нужно искать Ваш логин…
Поменять его можно в панели управления Вашим хостингом. Заходим в phpMyAdmin, находим таблицу в БД которая называется wp_users, и редактируем запись пользователя admin.
Что касается пароля, то советую придумать длинный пароль, не менее 10-15 символов, используя цифры и буквы латинского алфавита.
↑ Коррекция скриптов CMS
↑ Удаление файлов license.txt и readme.txt
В корневом каталоге Вашего сайта находятся файлы license.txt и readme.txt. Для Вас они не несут абсолютно никакой ценности, а вот для злодюг, это источник очень полезной информации, как например, версия вашей CMS, которая поможет им в процессе взлома. Именно поэтому советую удалить эти файлы.
↑ Редактирование файла header.php
В коде файла header.php есть строка
<meta name=”generator” content=”WordPress <?php bloginfo (’version’); ? >” />
Точно так же, как и предыдущие файлы, от которых мы избавились, эта строка должна быть удалена, так как она тоже показывает версию Вашего движка.
↑ Редактирование файла function.php
В каталоге с Вашей темой находиться файл function.php. Открыв его, необходимо в конце добавить такую строчку:
<!—?php remove_action (’wp_head’, ‘wp_generator’); ?— >
↑ Редактирование файла search.php
В файле search.php найдите строчку:
<!—?php echo $_SERVER [‘PHP_SELF’]; ?— >
и замените ее на строку вида
<!—?php bloginfo (’home’); ?— >
Тем самым мы запретим разного рода злоумышленникам перемещаться по серверу. В случае если таких файлов Вы не нашли, то менять ничего не следует.
↑ Плагин WordPress database backup
Установив плагин WP database backup, Вы беспокоиться за сохранность Вашей БД, так как он будет автоматически создавать резервные копии и отправлять их Вам на почту. В настройках плагина можно задать, как часто вы хотите создавать копии базы данных.
↑ Закрыть содержание папки wp-content
Введите в адресной строке Вашего браузера следующие строки:
- http://адрес сайта/wp-content/
- http://адрес сайта/wp-content/plugins/
По итогу загрузки, если Вы видите содержимое этих директорий, это очень плохо. Для запрета такого просмотра необходимо в этих папках поместить по пустому файлу index.html. Если все сделали правильно, то при перейдя по этим ссылкам Вам откроется пустая страница.
↑ И еще рекомендации по защите сайта
Напоследок также хочу порекомендовать:
- Регулярно проверять наличие обновлений и обновлять WordPress и плагины, которые Вы используете, в старых версиях CMS могут содержаться лазейки для воров.
- Проверьте список своих плагинов и избавьтесь от тех, которыми Вы не пользуетесь.
- Закройте пользователям регистрацию на своем блоге, это дополнительный плюс к безопасности.
- И еще раз хочу напомнить, логин и пароль должны быть как можно сложнее, если хакеры их узнают, то любая защита, как говорится, «коту под хвост».
На этом все. Теперь вы в курсе как защитить свой WordPress блог!
