Блог SEOBurn о продвижении сайтов

Как увеличить безопасность сайта на Wordpress

03.06.2010 | Без категории |

В последнее время хакеры все больше и больше интересуются взломом популярных сайтов на Wordpress. У вас, скорее всего, есть конкуренты, которые хотели бы быть выше вас в поисковой выдаче и которые заинтересованы в том, чтобы вашего сайта вообще не было в выдаче, с этого, обычно, все и начинается. Хакеры достаточно умно и у них есть много времени, чтобы найти уязвимости на вашем сайте. Чтобы избежать взлома, либо уменьшить его вероятность, нужно воспользоваться советами, которые будут описаны в статье.

Только я сразу хочу напомнить, что у разных людей могут быть разные ситуации и я не утверждаю, что можно взломать любой сайт на платформе Wordpress. Но, если вы делаете сайт на Wordpress, было бы разумно свести вероятность взлома к минимуму.

Обновление версий Wordpress

Это палка о двух концах. Если вы не обновите версию движка, то даете возможность хакерам воспользоваться известным уязвимостям. Но если вы поставите новую версию, то рискуете потерять доступ к сайту из-за неизвестных уязвимостей. Однако, меньшим злом являются неизвестные уязвимости, так как чтобы ими воспользоваться, их нужно найти (но они могут быть критическими).

Удалите информацию о версии Wordpress со страниц и кода сайта

Оставляя на страницах и в коде сайта информацию о текущей версии Wordpress, вы даете подсказку хакерам в каком направлении им копать и какие известные уязвимости использовать, либо какие искать. Пользователи не должны ни в коем случае знать, какая у вас версия. Также я бы воздержался от упоминаний на страницах блога текущей версии. Поэтому, в обязательном порядке удалите любые упоминания о версии из кода и со страниц сайта. Удалите эту строку (ну или хотя бы bloginfo('version')):

PHP код:
<meta name=”generator” content=”WordPress <?php bloginfo('version'); ?>” /> <!-– leave this for stats please -->
Поиск и переименование

Постарайтесь переименовать стандартные названия директорий, базы данных, адресов и т.д., начинающихся на «wp-». Конечно, вы не сможете переименовать все, что захотите, но то, что можно, желательно переименовать. Чем более уникальной и не трафаретной будет структура вашего сайта, тем сложнее хакерам будет найти уязвимости и использовать их в своих целях.

Запретите доступ к папкам Wordpress

Хакеры будут пытаться попасть в ваши папки с данными. Остановите их! С помощью файла Htaccess можно запретить доступ к наиболее важным папкам только с вашего IP-адреса. Вообще, нужно заблокировать все папки, которые не должны быть доступны обычным пользователям. Кроме этого, запретите использование пользователям HTML-кода на ваших сайтах на Wordpress. Это еще больше уменьшит шансы хакерам взломать сайт. В Htaccess я добавил этот текст (IP-адреса в примере взял из головы):

PHP код:
AuthUserFile /dev/null AuthGroupFile /dev/null AuthName “Access Control” AuthType Basic order deny,allow deny from all # whitelist home IP address allow from 16.523.111.4 # whitelist work IP address allow from 26.141.12.110 allow from 15.521.136.18
Таким образом я разрешил доступ к /wp-admin/ только с трех IP-адресов. Один из них домашний и два рабочих.

Уменьшите количество плагинов

В плагинах могут быть критические ошибки, которыми могут воспользоваться хакеры. Удалите все плагины, которые вы редко используете и которые не особо вам важны. К тому же, таким образом вы уменьшите нагрузку блога и, тем самым, увеличите скорость загрузки страниц. Используйте только проверенные плагины с надежных источников.

Логин Admin

Не будьте как все, смените логин к панели управления. Не используйте Admin, так как это наиболее популярный логин. У меня, кстати, на многих блогах именно такой логин. Также сделайте сложный пароль, с использованием цифр и букв. Также старайтесь менять пароль к аккаунту хотя бы раз в месяц.

Не используйте ненадежное подключение к интернету

Я знаю, что многие хотят работать со своими блогом сутки напролет и в любом месте, где есть доступ в интернет. Особенно соблазнительны бесплатные WiFi точки. Не подвергайте себя ненужному риску, не вводите важные логины и пароли. Любые введенные данные могут быть перехвачены злоумышленниками. Даже интернет-кафе нельзя назвать надежными. Используйте только свое домашнее подключение для работы со своими сайтами и блогами. Быть может вы подумаете, что у меня паранойя, но лучше лишний раз перестраховаться, чтобы защитить свои сайты от взлома. Ни в коем случае не вводите пароль от админки в общественных местах. Никогда не знаешь, кто находиться рядом. :)

Как только улучшили безопасность сайта - продвижение неизбежно, это факт.

Обновлено 01.07.2011 в 18:13 grazer

6 Комментарии

Отличный мануал, особено то, что для многих целей не используются плагины, а правится код и загрузка блога от этого не увеличивается.
Nish 03.06.2010 18:21
Про allow и htaccess еще не слышал, про wifi точки тоже, ибо нефиг. Давай еще продолжение.
terehoff 03.06.2010 18:27
Инересные способы. Что плагины проверенные надо юзать, так это точно. А то сделаем кто-нибудь с дырами, а потом расплачивайся.
grazer 03.06.2010 20:18
Сообщение от terehoff
Давай еще продолжение
А еще не все рассказал? Я вроде как не знаю, что и добавить.
seoburn 03.06.2010 20:24
просто запретите всем ip адресам в интернете заходить на адрес */wp-admin/ кроме Вашего. Значительно увеличивает безопасность на ровном месте. делается с помощью трюка в htaccess
mall 03.06.2010 21:39
Сообщение от mall
просто запретите всем ip адресам в интернете заходить на адрес */wp-admin/ кроме Вашего. Значительно увеличивает безопасность на ровном месте. делается с помощью трюка в htaccess
Ну вроде как это в статье написано в пункте "Запретите доступ к папкам Wordpress" :)
grazer 03.06.2010 22:47