| WMmagnat,Защита wordpress 1. Ну, наверное, самое важное, что я могу вам посоветовать, делайте чаще резервные копии своего сайта! Лично я, взял себе за правило делать бэкап (резервную копию) базы данных каждый день, а бэкап всех системных файлов и папок ресурса, раз в месяц! Это от взлома не спасет, но, если не дай бог это случится, всегда можно будет восстановить большую часть файлов и не потерять все в одно мгновенье! Можно поручить делать бэкапы своему хостеру, задав определенную периодичность на хостинге. Также существует множество плагинов для wordpress, которые смогут сделать это за вас. Но плюс ко всему, я вам все-таки рекомендую, для надежности, делать ручное резервное копирование. Это не займет много времени, все происходит на автомате! Но решать конечно же вам, я лишь даю вам свои рекомендации. Если вы решите воспользоваться плагинами, вот некоторые из них, которые мне известны: — wordpress database backup — плагин, предназначенный для бэкапов базы данных; — wp-dbmanager — плагин, аналогичен предыдущему, но его главное отличие и преимущество, в том, что он имеет возможность восстановления базы данных прямо из административной панели вашего ресурса. Более подробно заострять внимание на этих плагинах мы не будем. 2. Проверяйте время от времени свой сайт на наличие обновлений, как самого движка, так и установленных на нем плагинов! В систему управления содержимым сайта (CMS) wordpress встроен автоматический поиск обновлений, так же как и в большинство плагинов. Поэтому, веб мастера часто используют на своих ресурсах плагин Disable WordPress Updates или ему подобные, запрещающий автоматический поиск обновлений, с целью избежать излишней нагрузки на ресурс. Но многие используют для этих целей простой код. К чему все это я? А к тому, что некоторые ребята, к примеру, установили плагин и забыли про него. И не движок не плагины на блоге не обновляются долгое время! А вы думаете, для чего все это делается? Разработчики постоянно усовершенствуют движки и плагины с целью безопасности! Они постоянно ищут «дыры» и затыкают их выпуском новых версий. Получается, как круговорот. Одни (разработчики) постоянно усовершенствуют своих детищ, вторые (хакеры) ищут новые пути взлома, дабы еще раз подтвердить свою квалификацию! Поэтому обновления просто необходимы и ими не следует пренебрегать. Я советую вам с периодичностью, хотя бы раз в два месяца отключать плагин (или убирать код), проверять наличие обновлений и обновляться, если таковые имеются! 3. Позаботьтесь о защите админки wordpress. Многие ребята оставляют в административной панели, имя пользователя по умолчанию — admin. Это не есть хорошо и способствует ухудшению защиты wordpress, тем, что злоумышленникам для взлома останется подобрать лишь один пароль! Если вы увидели у себя эту ошибку, то я вам настоятельно рекомендую ее исправить. Делается это в панели управления хостингом, выбрав раздел базы данных/phpMyAdmin/Таблица/wp_users: Жмем на карандашик «Изменить»: И теперь в поле user_login и user_nicename изменяем admin на заранее придуманное имя и жмем «ОК»: Кстати, если вам необходимо будет сменить пароль для входа в административную панель на более сложный, что я вам тоже рекомендую, делается это здесь же. Удалите в поле user_pass все иероглифы и впишите свой пароль. Только перед тем, как нажать кнопку «ОК», в выпадающем меню установите «MD5», во избежание ошибок при входе в админ панель: После сохранения данных пароль автоматически будет зашифрован в новый набор иероглифов! 4. Если при создании блога вы не меняли секретные ключи в файле wp-config.php, то сделайте это! Файл wp-config.php находится в корневом каталоге вашего ресурса. Откройте его, найдите вот такие строчки: и измените все символы на свои без упорядоченные. Запоминать их не нужно, просто поменяйте, клацая по клавишам клавиатуры. Пере сохраните файл и залейте его обратно в корень блога. 5. Теперь нужно защитить файл wp-config.php. Делается это в файле .htaccess, который также должен присутствовать в корневой папке вашего блога. Откройте его и вставьте в самом конце вот эти строки: <Files wp-config.php> order deny,allow deny from all </Files> |
6. Ну, а теперь давайте защитим и сам файл .htaccess. Делается это также в самом файле .htaccess, прописав в него вот такие строчки: <Files .htaccess> order deny,allow deny from all </Files> |
7. Давайте еще усложним задачу «нехорошим ребятам», спрятав версию wordpress, т.к. зная версию, они будут знать, какие инструменты следует применить для взлома. Для этого вам понадобятся два файла. Первый файл находится в папке с темой вашего блога и называется header.php. Советую вам для удобства работы с файлами . Откройте, с помощью notepad ++ файл header.php и удалите следующую строку: <meta name=”generator” content=”WordPress <?php bloginfo (’version’); ?>” /> |
И второй файл, который мы сейчас будем редактировать, находится в папке wp-includes/version.php. Также откройте этот файл и в самом его начале найдите вот такую строку: и измените в ней версию wordpress, что бы она отличалась от вашей существующей! Теперь при просмотре вашей версии, «вредители» будут видеть версию отличную от нее! И еще два файла, указывающие на версию вашего движка, readme.html и license.txt. Они находятся в корне вашего блога. Их просто нужно удалить и все! 8. Не устали? Ну, тогда идем дальше. Наберите в поле браузера после доменного имени вашего блога wp-content и wp-content/plugins. После открытия каждого из них браузер должен отображать пустую белую страницу. Если вместо этого у вас отображается содержимое папок, создайте в обеих папках пустой файл с именем index.php. 9. Откройте файл в папке с темой вашего блога functions.php и в самом конце, после закрывающегося тега ?>, вставьте вот эту строчку: <!--?php remove_action (’wp_head’, ‘wp_generator’); ?--> |
10. Ну и последнее, вот вам два плагина, которые часто используют для защиты wordpress, Anti-XSS attack и Login LockDown. Последний раз редактировалось gyroscope; 23.03.2015 в 08:59. |