Как защитить WordPress от взлома

Защита WordPress

Здравствуйте, уважаемые читатели моего seo блога. Сегодня мы поговорим о безопасности WordPress. Хочется, как можно больше накопить в одном блоге ценной информации по защите блога WordPress.

В предыдущих статьях, посвященных защите WordPress мы говорили: 1) плагин для защиты админки WordPress, который создает виртуальную клавиатуру, с помощью которой можно ввести пароль, что защитит от программ шпионов на компьютере; 2) как заблокировать посетителя по IP адресу и другие хаки htaccess; 3) как сменить логин в WordPress, обычно стоит логин admin, что уменьшает защиту вашего сайта.

Сегодня мы поговорим о плагинах WordPress, которые защитят ваш блог от взлома.

Во-первых, установите плагин, чтобы защитить вход в админку WordPress:

1) Login LockDown или Limit Login Attempts (берите, тот который обновился недавно).

2) Также люди советуют плагин Anti-XSS attack, котоырй защищает ваш блог от XSS атак. Но в сети множество ответов, что данный плагин не актуален, начиная в WordPress 2.5, для более новых версий подходит плагин Paranoja. Больше положительных отзывов о втором плагине для защиты от XSS атак.

XSS — атака на сайта по его уязвимым местам. Существует несколько видов XSS атак. XSS-атаки могут направлены на хищение личных данных, к которым могут относиться cookies, пароли и т.д., либо внедрять код в html страницы, скрипты.

Плагины Login LockDown или Limit Login Attempts — предотвращают многократные попытки входа в админку. То есть, если злоумышленник попытается ввести комбинацию логина и пароля и у него не получится это с определенного количества раз ( устанавливайте количество попыток 1-3), то он будет ( IP адрес) заблокирован на определенное время, которое задаете Вы.

Во-вторых, можно ограничить доступ к админке сайта, указав только 1 или несколько IP адресов, с которых можно получить доступ.

Заходим по FTP в корневую папку сайта. Закачиваем на компьютер файл .htaccess и открываем его:

Вход в админку WordPress с определенного IP адреса

Можно прописать как один IP адрес, так и несколько, с которых вы сможете получить доступ к админке.

#IP адреса через пробел, имеющие доступ к админке Order deny,allow deny from all Allow from 154.125.30.248 93.148.57.30

НО, данный способ работает, если у вас статистический IP адрес, если же у вас динамический (меняется) IP адрес, то вставьте  в файл .htaccess такой код:

<Files admin.php> Order deny,allow Deny from all Allow from 225.88.55.x </Files>

То есть мы указываем только маску — диапазон возможных адресов. Таким образом доступ будут иметь, например, такие IP адреса: 225.88.55.64, 225.88.55.10, 225.88.55.94 и т.д.
В-третьих, поменяйте логин и пароль для входа в админку.

1 Стандартный логин admin замените на более надежный, с наибольшим количеством символов 7-20. Я об этом уже писал урок под названием, как сменить логин в WordPress.

2 Также поменяйте ваш пароль на новый длиной 15-25 символов с набором букв и цифр. Для того, чтобы поменять пароль в WordPress можно множеством способов, вот два из них:

1) Войдите в админку WordPress и перейдите в Пользователи -> Ваш профиль, внизу введите новый пароль и нажмите «Обновить профиль»:

Смена пароля в WordPress

2) Идите в панель управления хостинга и перейдите в phpMyAdmin, переходите в таблицу базы данных и выберите пункт wp_users.

Смена пароля в WordPress

Выбирайте поле user_pass, которое находится в той же строке, что и ваш логин.Нажмите «Правка» и удалите все иероглифы, вписав новый пароль. В выпадающем списке выберите MD5, нажмите OK.

В-четвертых, зайдите в FTP менеджере в корневой папке удалите два текстовых файла — readme.html и license.txt. Они не влияют на работу блога, и никак вам не нужны, а вот мошенникам данная информация очень полезна, так как в этих файлах можно узнать версию движка и много другого, что полезно хакерам.

Также удалите в файле header.php, который находится в Внешний вид -> Редактор строчку

  1. <meta name=”generator” content=”WordPress <?php bloginfo (’version’); ?>” />

Она также показывает версию вашего движка, правда, не вовсех видах шаблонах это есть.

В-пятых, сделайте бекап вашей базы данных, чтобы восстановить сайт в случае потери данных ( статей, плагинов и т.д.). Для этого подойдет плагин database backup он делает бекап базы данных по расписанию, отправляя на вашу электронную почту, либо сохранить на сервере ( также удобно, так как тратятся секунды для восстановления, если речь идет о больших объемах файлов).

Доступен плагин будет по следующему пути: Инструменты -> Резервное копирование:

wordpress database backup

В-шестых, перейдите с главной страницы вашего сайта в другие директории сайта:

1. http://ваш сайт.ru/wp-content/

2. http://ваш блог.ru/wp-content/plugins/

Если, перейдя на данные страницы вы увидите файлы, содержащиеся в ней, то это плохо, необходимо создать в каждой директории пустой файл index.php. То есть закачайте на сервер по FTP файл index.php в /public_html/wp-content и в /public_html/wp-content/plugins. Теперь, перейдя на данные страницы будет выводиться пустая страница.

Также можно добавить в файл .htaccess строчку:

Options All -Indexes

В-седьмых, из админки WordPress перейдите в файл темы function.php и добавьте в конец кода следующую строку:

<!--?php remove_action (’wp_head’, ‘wp_generator’); ?-->

В файле search.php замените строку:

 <!--?php echo $_SERVER ['PHP_SELF']; ?-->

на:

<!--?php bloginfo (’home’); ?-->

Если данная строка не найдена, то заменять ничего не надо ( хотя иногда они немного не совпадают точь в точь).

Данные действия запретят лазить мошенникам по вашему серверу.

Защита wordpress

Также можно удалить все ненужные плагины. Не забывайте обновлять плагины и сам движок WordPress, не забывая делать перед этим бекап бд ( относится к обновлению движка).

На этом все. Теперь вы чуть больше знаете, как защитить WordPress блог


Похожие записи:

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

Похожие записи: