Блог на WP        20 февраля 2017        196         0

Как защитить WordPress?

Как защитить WordPress?Если у вас есть блог на WordPress, то его будут пытаться взломать, хотите вы этого или нет. WordPress на сегодняшний день самая популярная платформа для создания блогов с открытым кодом, что дает козыри в руки взломщиков. Наша с вами задача — максимально усложнить жизнь взломщикам и заставить из долго стучаться в закрытые бронированные двери вашего блога! Итак, приступим к защите блога на WordPress

  1. Скачайте и установите себе плагин Limit Login Attempts. Данный плагин запрещает взломщику подбор логина и пароля и блокирует доступ. При попытке подбора пароля включится счетчик (настраивается в админ-панели вашего блога), который закрывает доступ в административную панель блога, когда достигает определенного значения (стандартные настройки блокируют вашу консоль на 20 минут при 4 попытках подбора).
  2. Обязательно поменяйте пароль от вашей учетной записи. Основные правила хорошего пароля: большая длина (15-20 символов), специальные символы (%, №, @ и другие) и цифры. Такой пароль будет подобрать очень непросто и большинство взломщиков просто переключится на более доступные сайты. Кстати, вы можете воспользоваться моим генератором паролей.
  3. Настройте доступ в консоль вашего сайта по IP. Для этого на сервере в папку /wp-admin/поместите файл .htaccess (именно так, начинающийся с точки и без расширения) и внесите в него такие строчки:
order deny,allow
deny from all
# allow my home IP address
allow from XXX.XXX.XXX.XXX
# allow my work IP address
allow from XXX.XXX.XXX.XXX
  1. Вместо иксов поставьте свой ip-адрес. Как узнать мой ip-адрес?
    Если у вас уже есть файл .htaccess, то просто добавьте эти строчки в начало файла.
  2. Необходимо удалить в корневой папке вашего блога на сервере два файла — readme.html и license.txt. По содержимому этих файлов взломщик может узнать версию вашего движка и понять, как именно нужно взламывать ваш сайт.
  3. Движок WordPress часто показывает свою версию в html-коде блога, давая лишний повод для взлома. Давайте уберем с вами эту потенциально опасную информацию из кода. Для этого в файле functions.php вашей темы перед самой последней строчкой ?> внесите вот эту строку:
remove_action( 'wp_head', 'wp_generator' );
  1. Теперь информация о версии движка не появится в html-коде ваших страниц.
  2. Внимательно следите за обновлениями как самого движка, так и установленных плагинов и своевременно делайте обновления.
  3. Удалите все плагины, которыми вы не пользуетесь. Это положительно скажется также и на производительности вашего сайта и скорости его работы.
  4. Желательно запретить регистрацию новых пользователей на вашем блоге. Для этого перейдите в пункт меню Параметры->Общие и снимите галочку с пункта Членство->Любой может зарегистрироваться.
  5. Перейдите по адресам http://ваш-блог.ru/wp-content/ и http://ваш-блог.ru/wp-content/plugins/. Если вместо белого экрана или сообщения об ошибке вы видите список ваших файлов, то это очень плохо и такую ситуацию необходимо исправить во что бы то ни стало. Для этого вы можете поместить в эти папки пустые файлы index.html либо отредактировать файл .htaccess и добавить в него вот эту строку:
# Prevents directory listing
Options -Indexes

Теперь взломщик не сможет просмотреть содержимое ваших директорий на сервере.
Это все рекомендации, которые я хотел бы дать по поводу защиты блога на WordPress. Ваши вопросы, пожелания и замечания буду рад выслушать в комментариях. Подписывайтесь на рассылку, нажимайте на кнопочки соц.сетей. До скорых встреч!

  Метки: ,

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

Декабрь 2017
Пн Вт Ср Чт Пт Сб Вс
« Сен    
 123
45678910
11121314151617
18192021222324
25262728293031
Войти
Поделиться