Так как wordpress, пожалуй, самый распространенный блоговый движок, он просто не мог не привлечь внимание злоумышленников, которые с теми или иными целыми, хотели бы получить несанкционированный доступ к вашему блогу. Чего греха таить, wordpress имеет большое количество уязвимостей, которыми с легкостью пользуются хакеры. Достаточно почитать форумы, посвященные взломам сайтов, чтобы понять это. Сегодня я хотел бы начать долгую тему, посвященную безопасности в сети.
Для начала поговорим о самых основных мерах безопасности.
Во время установки wordpress:
Затрудняем идентификацию wordpress.
1. При установке блога, рекомендую удалить из корневой папки файлы readme.html и license.txt. Далее необходимо скрыть версию движка, делается это в файле header.php:
удаляем строчку:
<meta name=»generator» content=»WordPress<?phpbloginfo(‘version’); ?>» />
После чего добавляем в файл functions.php следующую строку:
<?php remove_action (‘wp_head’, ‘wp_generator’); ?>
2. Когда создаем базу данных MySql для сайта, меняем стандартный префикс таблиц с wp_ на что-нибудь менее очевидное.
3. По умолчанию логин для входа в админку – admin, настоятельно рекомендую изменить его на свой собственный.
Все эти действия необходимо сделать еще вовремя установки блога на сервер, так как позже это сделать будет либо невозможно, либо затруднительно.
При работе с wordpress:
1. Через robots.txt закрываем от индексации поисковиками все системные папки движка, такие как, wp-admin и wp-includes.
2. В последних версиях WP это реализовано, в старых нет – посмотрите системные папки – в них должен находиться файл index.php. Если файла нет, то просто создайте пустой текстовый файл, назовите его index, сохраните его в формате php и закиньте в папки движка. Делается это для того, чтобы любой желающий через адресную строку не смог разглядывать файлы в системных каталогах.
3. Если вы являетесь единственным автором блога, то с помощью файла .htaccess стоит ограничить доступ к странице входа в админку по ip-адресу. Как это делается мы поговорим в отдельном посте про .htaccess.
4. Если блог коллективный, то есть его ведут более одного автора или разрешена регистрация всем желающим, то это порождает некоторые проблемы в безопасности. Прежде, чем открывать доступ к страницам админ панели посторонним людям, постарайтесь получше их узнать, чтобы обезопасить себя от нежелательных проблем.
5. Регулярно обновляйте WordPress и установленные плагины до последней версии. Перед обновлением на всякий случай делайте резервную копию базы данных.
6. Не храните пароли ftp-доступа в ftp-клиентах, таких как Total Commander и FileZilla и любых других.
7. Старайтесь хотя бы изредка менять пароли к админке сайта, ftp-серверу и панели вашего хостинга.
В следующий раз я выложу для скачивания подборку плагинов для WP, которые позволят значительно повысить уровень безопасности вашего блога.
Надо использовать хостин Jino — FTP доступ включается и отключается ручками!