Сегодня поговорим о безопасности вашего сайта на популярной платформе WordPress. Безопасность блога напрямую зависит от степени заботы о нем и качестве администрирования. Используя простые советы и рекомендации вы намного сможете повысить уровень безопасности.
Потребность в увеличении уровня безопасности растет по мере увеличения количества ваших посетителей. Чем ваш ресурс популярнее тем больше хакеров захочет его взломать. Исходя из ваших желаний по увеличении безопасности WordPress и была написана эта статья.
- Безопасность wordpress и файл htaccess.
- Создайте свои секретные ключи для файла wp-config.php.
- Смена префикса таблиц базы данных WordPress.
- Ограничение количества неудачных попыток входа.
- Используйте надежный пароль WordPress.
- Не используйте для входа login «admin».
- Обновляйте версию WordPress, плагины и темы.
- В корне блога удалите файлы readme.html и license.txt.
- Периодически изменяйте пароли к базе данных, административной панели и хостинга.
- Делайте регулярные резервные копии.
Безопасность wordpress и файл htaccess.
Htaccess — это файл, который позволяет корректировать конфигурацию сервера. С помощью него можно проделать множество настроек, в том числе и добавить безопасности сайту.
Давайте рассмотрим все по порядку, раз .htaccess такой ценный значит для начала стоит обезопасить его от стороннего вмешательства.
Как защитить файл .htaccess WordPress сайта?
Говоря о поднятии безопасности при помощи файла .htaccess без защиты его самого было бы глупо. По этой причине защитим сперва наш файл, а затем пойдем далее.
Для того что бы защитить .htaccess нужно внести в него небольшой код:
<Files .htaccess>
order allow,deny
deny from all
</Files>
Этот код позволит закрыть доступ к файлу из вне, что уже значительно обезопасит ваш сайт от взлома.
Как защитить файл wp-config.php?
Нам нужно также защитить важный файл который имеет множество информации связанной с доступом к базе данных и другое. Запретить доступ к файлу из вне можно при помощи .htaccess. Защитный код должен быть таковым:
<Files wp-config.php>
order allow,deny
deny from all
</Files>
Создайте свои секретные ключи для файла wp-config.php.
Для доступа к сайту WordPress использует 4 ключа, которые указываются в файле wp-config.php. Вы должны создать и установить свои собственные уникальные ключи, для обеспечения безопасности. Для облегчения сего действия существует специальный генератор ключей, с помощью которого вы создадите все что вам потребуется.
Сменить ключи можно изменив файл wp-config.php и перезаписать его на сервер.
Смена префикса таблиц базы данных WordPress.
Префикс базы данных создаются при установке WordPress, по умолчанию он назначается как wp_название таблицы. Если при установке вы не задали другое значение, вы можете сменить его в файле wp-config.php задав переменной $table_prefix другое значение. Чем сложнее будет ваш префикс тем меньше вероятность несанкционированного доступа к вашей базе данных. Примером может быть такая строчка $table_prefix = wp65zym6. Запоминать это значение не требуется, вы устанавливаете его только один раз и больше к нему не возвращаетесь.
Ограничение количества неудачных попыток входа.
Одним из способов предотвращения взлома вашего сайта является ограничение количество попыток входа, и дальнейшая блокировка нарушителя. Эти простые настройки позволят обезопасить вас от автоматических переборов паролей бот программами, а так же ручного ввода людьми.
На помощь вам придет плагин Login LockDown, настройка которого не займет у вас много времени, но позволит добавить очередную преграду взломщикам.
Используйте надежный пароль WordPress.
В версии WordPress 4.3 и выше при установке платформы вам будут предложены безопасные пароли, которые отлично подойдут вам, так же вы сможете изменить их в дальнейшем.
Безопасность сайта WordPress по большей мере зависит от безопасности доступа к административной панели, поэтому пренебрегать этими рекомендациями будет большой ошибкой.
Не используйте для входа login «admin».
Если вы выбрали другой логин, отлично! Убедитесь что его трудно подобрать вручную, также зайдите в вашу базу данных в таблицу префикс_users и убедитесь что в ней нету зарегистрированного логина admin. Если таков существует, удалите его.
Обновляйте версию WordPress, плагины и темы.
Обновитесь, обновитесь и еще раз обновитесь. Обновления версий ваших плагинов и самого движка WordPress выходят не просто так, основная их задача увеличить функционал и закрыть дыры в безопасности, по этому важность обновления стоит на одном из первых мест.
В корне блога удалите файлы readme.html и license.txt.
Эти файлы не нужны нам, но они показываю текущую версию WordPress и некоторую другую информацию сайта, а зачем нам лишняя утечка информации. По этому удалите их.
Эти файлы доступны всем пользователям по адресу ваш-сайт/readme.html, проверти это на своем блоге.
Периодически изменяйте пароли к базе данных, административной панели и хостинга.
Эти действия не займут у вас много времени раз в один два месяца меняйте пароли и вы сможете поставить очередную галочку в безопасности вашего блога на WordPress.
Делайте регулярные резервные копии.
В ручном режиме или автоматическом, с помощью плагинов или программ делайте резервные копии своего сайта, что бы при необходимости быстро восстановить последнюю версию сайта. Вас взломали? Или же вы сами поломали свой сайт? Резервные копии помогут быстро восстановить дееспособность вашего ресурса.
Все эти рекомендации и множество других, которые вы найдете в сети никогда не обезопасят вас на 100% но с каждой новой настройкой вы сможете уменьшит шанс взлома.
Очень часто вижу рекламу модуля All in one WP security – сам пока на боевом сайте не испытывал, хотя по обещанным функциям впечатляет.
Помимо удаления файлов readme и license, неплохо также удалить соответствующие заголовки (наподобие meta generator) и из создаваемых страниц. Если уж не показывать подлинную версию, то никому.
Я бы ещё советовал использовать HTTPS, когда возможно, и создать отдельного пользователя для написания контента – входить под административными правами – это всегда немного испытывать судьбу.
Можете ли посоветовать специализированные модули (плагины), которые решали бы вопросы безопасности комплексно?
Спасибо.
Тоже интересовался плагинами безопасности WordPress, на хакере нашёл неплохую статью о безопасности и некоторые плагины, кроме описанных в статье:
Revisium WordPress Theme Checker — ищет типичные вредоносные фрагменты в темах WordPress;
Sucuri Security — проводит мониторинг и обнаружение вредоносного кода;
iThemes Security (бывший Better WP Security) — многофункциональный плагин для защиты WordPress;
TOC – ищет вредоносный код в темах.
А почему описанные в статье способы улучшения безопасности сайта на WordPress (например: Как защитить файл .htaccess WordPress сайта? и другие) не вносят в очередные версии дистрибутива WordPress? Почему их нужно вносить в ручном режиме, да еще не сразу найдешь описание, что да как и где?
По большей части это серверные настройки безопасности. По этому их и не вносят в wordpress
Хорошая статья! не важно под каким она заголовком, важно то, что я этого не знал) теперь на все свои сайты которые работают на WP я установлю выше перечисленные плагины! И совет от меня) не устанавливайте ломаных тем, то есть те которые продаются разработчиком, и которые потом выкладывают в свободном доступе наши умельцы) я как-то очень попал с подобной историей… залил ломаную тему на рабочий сайт.. а там был левый код.. да так глубоко сидел.. что пришлось убивать базу данных.. иначе просто не мог ничего сделать… в итоге сайту капут пришел) так что я теперь покупаю лицензионные темы на themeforest и очень доволен) классные темы! просто бомбезные) таких в свободном доступе не сыщешь, и при случае ЧАВО есть хорошая тех. поддержка, в общем статья классная, спасибо) и скупой платит дважды! А Вордпресс это крутой движок) еще бы наши разработчики подсуетились в написании русских хороших тем… было бы вообще супер) посмотрите рейтинг CMS и увидите кто лидирует) ага именно WP!!! P.S. “А те кто хают WP, просто не научились на нем работать”.
Статья полезная, спору нет. Автору респект, только одно но – пишите, как будто для учебника. Не всем понятно, в какое место код добавлять.Прошу прощения, но с безопасностью, сталкиваются как продвинутые, так и новички. Открывать ещё несколько вкладок, чтобы по каждому пункту читать на других ресурсах, не очень удобно.
Это крик души, а не обличение. С уважением, Максим!
Учтем, будем писать мягче)))
Cпасибо, полезно. Только не очень понятно, куда именно добавлять эти коды. После добавления кода в файл wp-config.php сама не могу зайти в админку, выдается ошибка.