[Landorn]

Честно говоря, на тему безопасности WordPress написано уже немало постов, предлагающих достаточно эффективные способы защиты блога (хотя на данном форуме я таковых не заметил). Тем не менее, многие вебмастера продолжают упорно игнорировать элементарные правила. Поэтому я решил написать статью, в которой я разберу все возможные методы защиты блога на движке Wordpress, которые я знаю. Данные методы включают в себя плагины безопасности, работу с базой данных, SQL запросы, работу с панелью администратора, директориями на сервере и многое другое. Читать далее: Защита Wordpress

[En@n]

Довольно познавательная статья, и понятным языком написано

[edger]

Плюсую! Хорошая статья! Давно интересовали эффективные методы защиты сайтов на wp.

[Демиург]

Согласен с предыдущими ораторами. Большинство озвучивается в каждой первой статье такого плана, и тем не менее, полезного гораздо больше, чем обычно бывает в подобных публикациях.

[bober]

Landorn, взял себе на вооружение пустой index.html и htaccess как раз недавно такое искал. Но вот от этой ошибки вам избавиться не удалось, тут я создал тему по этому поводу, но пока не удалось все решить.

Да и посмотрите еще сюда _http://landorn.ru/wp-settings.php, в теме, которую я указал выше я
написал как это исправить.

[Landorn]

bober, А зачем вообще такие урлы вводить надо? Вроди это не сильно опасно.

[bober]

А зачем вообще такие урлы вводить надо? Вроди это не сильно опасно.

Затем что это позволяет прощупывать уязвимости в движке.

[fiin]

Также поможет найти уязвимость эта программка _tp://avtuh.ru/2011/09/14/wordpress-pe.html

[Landorn]

fiin, Прикольно! Но я насколько знаю, с помощью плагинов не так уж и часто взламывают сайты.

[K-2]

Если уж защищать - так можно еще с помощью следующих констант вообще постараться скрыть, что используется Wordpress (дописать в файл wp-config.php и соответственно переименовать папки):

Код:

define('WP_CONTENT_FOLDERNAME', 'content');
define('WP_CONTENT_DIR', ABSPATH . WP_CONTENT_FOLDERNAME );
define('WP_CONTENT_URL', 'http://your-domain/'.WP_CONTENT_FOLDERNAME);
define('WP_PLUGIN_DIR', WP_CONTENT_DIR . '/plugins' );
define('WP_PLUGIN_URL', WP_CONTENT_URL.'/plugins');

и всякое ненужное в хедере почистить, а не только версию (это дописать в functions.php вашей темы):

Код:

remove_action('wp_head', 'rsd_link');
remove_action('wp_head', 'wp_generator');
remove_action('wp_head', 'feed_links', 2);
remove_action('wp_head', 'index_rel_link');
remove_action('wp_head', 'wlwmanifest_link');
remove_action('wp_head', 'feed_links_extra', 3);
remove_action('wp_head', 'start_post_rel_link', 10, 0);
remove_action('wp_head', 'parent_post_rel_link', 10, 0);
remove_action('wp_head', 'adjacent_posts_rel_link', 10, 0);

выборочно оставить, если что нужно.
И конечно показывать ошибки на "боевом" сервере - это просто глупо, ошибки надо полностью скрывать, и писать только в лог:

Код:

php_flag display_startup_errors off
php_flag display_errors off
php_flag html_errors off

php_flag  log_errors on
php_value error_log  /home/path_to_file/php_errors.log