WordPress построен на PHP (в числе других языков),  потому, как PHP-разработчик, я всегда стараюсь учесть/применить некоторые штуки для WordPress, чтобы сделать разрабатываемый мной сайт более быстрым и защищенным. В этом руководстве вы найдете советы и трюки для того, чтобы защитить WordPress и оптимизировать ваш блог на WordPress.

Эта часть будет о советах по защите вашего WordPress сайта. Будут советы по защите файлов, авторизации, авторизации администратора WordPress, защите базы данных, и т.д.

Совет 1: Обновляйтесь

Самый важный совет для защиты WordPress сайтов, которые вы размещаете сами, является одновременно и самым очевидным;  WordPress постоянно предоставляет обновления с исправленными дырами в безопасности.

Когда вы получаете уведомление в панели администратора, не игнорируйте его! Это единственный наиболее эффективный способ  защитить свой сайт от атак, и, тем не менее, так много людей оставляют свои сайты (и сайты своих клиентов) необновленными из-за страха поломать свою тему оформления и/или плагины.

Вот реальный совет: если ваши темы и плагины не работают с последней версией WordPress, скорее всего, что начинать с них вообще не стоит.

Совет 2: Используйте сложные пароли с Diceware Password

Это, наверное, самый простой совет здесь: WordPress обычно устанавливает  в качестве имени основного администратора "admin", так что это первый логин, который хакеры попытаются использовать.

Начиная с версии 3.0 вы можете это изменить при начальной установке, но многие забывают,  что можно вернуться и изменить его, даже если вы создавали свой сайт до версии 3.0.  Так что, выберите другой логин, не admin!

Выбор сложных паролей для всех пользователей вашего блога (и вашей базы данных MySQL) — это основной способ повышения уровня защищенности вашего сайта. Используйте Diceware Password Generator от компании Hidester, если вам трудно придумать сложный пароль самостоятельно.

Главная особенность этого генератора в том, что он создает пароли, состоящие из простых и запоминающихся слов, разделенных знаками или цифрами. В результате у вас есть пароль, который легко запомнить, но практически невозможно взломать. Более подробно о методе подбора слов для паролей и криптографической стойкости такого подхода вы можете почитать на сайте разработчика по ссылке выше.

Совет 3: Создавайте свои секретные ключи для файла wp-config.php

Вся секретная информация вашего сайта на WordPress хранится в  wp-config.php в корневой папке вашего WordPress. Секретные ключи – это один из блоков данных, которые хранятся в этом файле…. так что убедитесь, что вы изменили секретные ключи, установленные по умолчанию, на какие-то другие.

Если вы не уверены, что размещать в качестве значения ключей, перейдите по ссылке для генерации случайного набора символов в ваш ключ.

Совет 4: Измените префикс базы данных

Много базовых настроек при установке WordPress одинаковы для многих сайтов… особенно, если вы используете стандартный мастер установки на вашем хостинге. Это очень удобно, но многие стандартные значения при установке, например, префикс(ы) базы данных, в результате известны хакерам.

Если вы не меняете префикс базы данных, названия таблиц в вашей базе данных очень просто узнать человеку, который пытается взломать ваш сайт.

Совет 5: Защитите ваш файл wp-config.php

Как упоминалось ранее, файл  wp-config.php содержит всю секретную информацию вашего сайта. Потому важно защитить его любой ценой.

Простой способ защиты этого файла – размещение в вашем файле .htaccess на сервере следующего кода:

<Files wp-config.php>  
   order allow,deny  
   deny from all  
</Files>

Совет 6: Защитите ваш файл .htaccess

Мы можем защитить наш файл wp-config.php указанным выше способом, но что с защитой самого файла .htaccess? Не переживайте, мы можем использовать .htaccess файл для защиты самого себя от нападений. Вам просто нужно вставить в .htaccess файл этот код:

<Files .htaccess>  
   order allow,deny  
   deny from all  
</Files>

Совет 7: Спрячьте версию своего WordPress

Еще одна хорошая идея – удалить генератор мета-информации для WordPress. Эта информация показывает версию вашего WordPress.

Если вы показываете версию WordPress, хакеры будут знать дыры в безопасности вашего сайта. Если вы точно никак не можете обновить свой WordPress (см. совет #1), хорошим вариантом будет хотя бы скрыть факт того, что он не последней версии.

Чтобы сделать это, вам нужно поставить следующий код в function.php вашей текущей темы.

remove_action('wp_header', 'wp_generator');

Вы можете пойти дальше и удалить эту информацию еще и из RSS-лент, используя следующее:

function wpt_remove_version() {
   return '';
}
add_filter('the_generator', 'wpt_remove_version');

Совет 8: Установите плагин WordPress Security Scan

Это хороший плагин, который следит за инсталляцией вашего WordPress и дает советы.

Этот плагин проверит следующие вещи:

  • Пароли
  • Права доступы на файлы
  • Защищенность баз данных
  • Защиту администратора WordPress

Скачать плагин можно здесь.

Есть и другие плагины для проверки – например, VaultPress (который мы еще упомянем в этой статье), который делает это же, плюс гораздо больший набор сервисов по безопасности.

Совет 9: Ограничьте количество неудачных попыток авторизации

Есть хороший плагин, который может ограничить количество неудачных попыток авторизации – полезен в случае, когда кто-то пытается подобрать ваш пароль вручную или с помощью бота.

Плагин можно скачать здесь.

Совет 10: Защита пароля Ask Apache

Вот еще один хороший плагин от Ask Apache, который дает вам больше контроля за блогом в плане безопасности.

Вы можете защитить свой сайт  авторизацией 401 очень просто. Все это вы сможете делать в панели администратора WordPress.

Этот плагин можно скачать здесь.

Совет 11: Последний по порядку, но не по значению. Делайте бекапы!

Я сделал бекап последним пунктом здесь, но я не считаю его наименее важным. Регулярное резервное копирование  вашего сайта даст вам больше уверенности в защищенности, чем любой из перечисленных ваше способов. Есть несколько плагинов для WordPress, которые будут управлять бекапами для вас.

Вот некоторые бесплатные плагины для резервного копирования WordPress:

Но если вы настроены по поводу бекапа своего блога более серьезно, используйте платные решения. Два самых больших платных решения на данный момент – это Backup Buddy и VaultPress.

Заключение

Есть еще много советов и трюков по этому поводу, но я постарался показать лучшие советы «по соотношению цена/качество»  для каждого, кто только собирается улучшать защищенность WordPress.

Источник: WP.TutsPlus.com

Вам понравился материал?

Лучшие темы от Tesla Themes:

Добавить комментарий

Такой e-mail уже зарегистрирован. Воспользуйтесь формой входа или введите другой.

Вы ввели некорректные логин или пароль

Извините, для комментирования необходимо войти.

8 комментариев

сначала новые
по рейтингу сначала новые по хронологии
Эльдар

Спасибо за инфо. Кстати на счет бэков. Разве хостинг такую функцию не выполняет?)

Выполняет, конечно же.

" Вам просто нужно вставить в .htaccess файл этот код:
1
2 order allow,deny
3 deny from all
4 "

Куда конкретно? Я вставила этот код в конец страницы: перед # END WordPress. И сайт пропал! Я конечно этот код удалила.Но как быть с этим советом? Если даете,то объясняйте как и куда.

Этот код нужно вставлять без цифр 1,2,3,4, просто сам код в файл .htaccess

Спасибо. Воспользуюсь.

Отличный материал (как обычно:)) Спасибо!

Большое спасибо автору за полезную статью! Узнал много нового :)

Абу Умар

Отлично! Спасибо вам за полезные советы!