10 шагов к безопасности WordPress
Безопасность блога очень важна. WordPress набирает популярность с каждым днем, и все больше и больше хакеров уделяют ему внимания. Уделите немного внимания безопасности вашего блога и вы. 10 простых советов помогут вам уберечся от действий недоброжелателей.
1. Плагин WP Security Scan
Очень легкий для использования плагин, который автоматически проверит основные настройки безопасности вашего блога – плагин может изменить имя вашей базы данных и проинформирует вас об ошибках в безопасности, которые произошли при установке блога на WordPress.
2. Защитите ваши плагины
Плагины – легкий путь к взлому для хакеров. Для того чтобы увидеть список плагинов хакеру достаточно перейти в директорию /wp-content/plugins/ вашего блога. Чтобы закрыть доступ к этой директории вам всего лишь нужно создать пустой файл index.html и разместить его в корне директории wp-content/plugins/.
3. Обновите WordPress
Обновление WordPress – это очень простое занятие, но тысячи блоггеров игнорируют эту обязательную процедуры. Однако обновляйтесь только на проверенную на безопаснось версию, т.к. последние версии зачастую содержат баги в безопасности.
4. Выберите хороший пароль
Не используйте одинаковый или похожий пароль на нескольких сайтах. Создавая новый аккаунт генерируйте тяжелозапоминаемый пароль состоящий из букв верхнего и нижнего регистра, цифр и символов разметки. Не забывайте менять ваш пароль как можно чаще.
5. Измените имя администратора
По-умолчанию в WordPress имя пользователя – admin. Тысячи людей не меняют его на свое собственное. Но для хакера узнать имя пользователя – это уже полдела к получению доступа к вашему блогу. Создайте нового пользователя с уникальным именем. Не забудьте удалить пользователя admin.
6. Защитите ваш wp-config
Ваш главный конфигурационный файл wp-config.php содержит имя, а также логин и пароль к вашей базе данных, в которой хранится вся информация о вашем блоге, включая логин и хэш пароля. Согласитесь, есть что скрывать. Для скрытия файла wp-config.php нужно всего лишь добавить следующие строки в файл .htaccess:
# protect wp-config.php order allow,deny from all
7. Скройте версию вашего WordPress
Для начала откройте файл header.php вашей темы и удалите лишнюю meta-информацию( такую как <meta name=»generator» и пр.). Проблема в том, что WordPress добавляет meta-информацию автоматически, но с этим можно легко бороться. Достаточно лишь добавить следующую строку в файл functions.php:
<?php remove_action('wp_header', 'wp_generator'); ?>
order deny, allow allow from a.b.c.d. #your static ip deny from all
10. Вход при помощи SSL
Если ваш хостинг имеет SSL сертификат, вы можете воспользоваться отличным плагином Admin SSL plugin.
И на последок:
Помните, что сложный и частоменяющийся пароль, а также .htaccess-хаки оградят вас от большинства атак хакеров.
Спасибо!
Хотя часть информации уже устарела, тем не менее, очень пригодилось.