В настоящее время WordPress является наиболее используемой платформой с открытым исходным кодом для любого типа веб-сайтов: будь то блог, CMS или любое другое специальное решение. WordPress естественным образом основан на PHP (среди других языков), поэтому, как разработчик PHP, я всегда проверяю / применяю некоторые советы для WordPress, чтобы сделать сайт безопасным и ускорить разработку. В этом руководстве по WordPress вы найдете советы и рекомендации по обеспечению безопасности WordPress и оптимизации вашего блога WordPress.
В этом разделе будут рассмотрены советы, связанные с защитой вашего сайта WordPress. Советы включают защиту файлов, ограничение входа в систему, ограничение администратора WordPress, защиту базы данных и т. Д.
Совет по безопасности 1: оставаться в курсе
Самый важный совет для защиты самодостаточных веб-сайтов WordPress также является наиболее очевидным; WordPress постоянно предоставляет обновления с исправлениями безопасности. Когда вы получаете уведомление в панели администратора, не игнорируйте его! Это самый эффективный способ защитить ваш сайт от атак, и все же многие люди покидают свой сайт (и сайты своих клиентов) без обновления, опасаясь взломать их темы и / или плагины.
Вот реальный совет: если ваши темы и плагины не работают с последней версией WordPress, они, вероятно, не настолько безопасны для начала;)
Совет по безопасности 2. Создание пользовательских секретных ключей для вашего файла wp-config.php
Все конфиденциальные данные для вашего сайта WordPress хранятся в файле wp-config.php в корневом каталоге WordPress. Секретные ключи — одна из частей информации, хранящейся в этом файле … поэтому убедитесь, что вы изменили секретные ключи по умолчанию на что-то другое.
Если вы не уверены, что указывать в значениях по умолчанию, перейдите по этой ссылке , и она сгенерирует случайные ключи для вас.
Совет по безопасности 3: изменение префикса базы данных
Многие базовые настройки WordPress одинаковы для многих сайтов … особенно если вы используете одношаговый мастер установки через веб-хостинг. Это очень удобно, но множество общих параметров настройки, таких как префикс (и) вашей базы данных, в результате известны хакерам. Если вы не измените префикс базы данных, имена таблиц базы данных вашего сайта будут легко известны человеку, который пытается взломать ваш сайт.
Совет по безопасности 4. Защитите ваш файл wp-config.php
Как упоминалось ранее, файл wp-config.php содержит все конфиденциальные данные вашего сайта. Поэтому очень важно, чтобы вы защищали его любой ценой. Простой способ защитить этот файл — просто поместить следующий код в ваш файл .htaccess на вашем сервере.
|
1
2
3
4
|
<Files wp-config.php>
order allow,deny
deny from all
</Files>
|
Совет по безопасности 5: Защитите ваш файл .htaccess
Мы можем защитить наш файл wp-config.php, как упомянуто выше, но как насчет защиты самого файла .htaccess ? Не волнуйтесь, мы можем использовать тот же файл .htaccess, чтобы защитить себя от преследования. Вам просто нужно разместить код ниже в вашем файле .htaccess.
|
1
2
3
4
|
<Files .htaccess>
order allow,deny
deny from all
</Files>
|
Совет по безопасности 6: скрыть версию WordPress
Еще одна хорошая идея — удалить мета-генератор для WordPress. Эта мета показывает версию вашего сайта WordPress. Если вы включили версию WordPress, то хакеры узнают о недостаточной безопасности вашего сайта. Если вы абсолютно не можете обновить свою версию WordPress (совет № 1), это хороший отказоустойчивый способ хотя бы скрыть тот факт, что вы не используете самую последнюю версию.
Для этого вам нужно поместить код ниже в function.php вашей активной темы.
|
1
|
remove_action(‘wp_head’, ‘wp_generator’);
|
Вы можете сделать еще один шаг и дополнительно удалить его из RSS-каналов, используя это:
|
1
2
3
4
|
function wpt_remove_version() {
return »;
}
add_filter(‘the_generator’, ‘wpt_remove_version’);
|
Совет по безопасности 7. Установите плагин сканирования безопасности WordPress
Это хороший плагин, который сканирует вашу установку WordPress и дает соответствующее предложение. Этот плагин будет проверять наличие следующих вещей:
- Пароли
- Файловые права
- Безопасность базы данных
- Защита администратора WordPress
Загрузите плагин отсюда .
Есть и другие проверки безопасности — например, VaultPress (о котором мы поговорим ниже) сделает это, а также часть гораздо большего пакета служб безопасности.
Совет по безопасности 8. Ограничение числа неудачных попыток входа
Этот красивый плагин может ограничить количество неудачных попыток входа в систему; Полезно, если кто-то пытается угадать ваш пароль вручную или с помощью робота.
Вы можете скачать плагин здесь .
Совет по безопасности 9: попросите Apache защитить паролем
Вот еще один хороший плагин, предоставленный Ask Apache. что дает вам больший контроль над вашим блогом с точки зрения безопасности.
Вы можете защитить свой сайт с авторизацией 401 в несколько простых шагов. Все это вы можете управлять из панели администратора WordPress.
Вы можете скачать этот плагин здесь .
Совет по безопасности 10. Не используйте «admin» в качестве имени пользователя (и выбирайте надежные пароли)
Это, пожалуй, самый простой из них — WordPress обычно устанавливает имя вашей основной учетной записи администратора как «admin», поэтому обычно это первое имя пользователя, которое хакеры попытаются использовать. Начиная с версии 3.0 вы можете изменить это во время начальной настройки, но легко забыть, что вы можете вернуться и изменить его, даже если вы настроили свой сайт до версии 3.0. Итак, выберите новое имя, отличное от admin;)
Кроме того, выбор надежных паролей для всех пользователей вашего блога (и вашей базы данных MySQL) — это фундаментальные способы повысить вашу безопасность. Используйте генератор надежных паролей, если не можете придумать его самостоятельно.
Совет по безопасности 11: последний, но не менее, резервный!
Я поместил резервную копию как последний элемент здесь. но не считайте это менее важным. Регулярное резервное копирование вашего сайта сделает вас более безопасным, чем любой другой. Есть несколько плагинов для WordPress, которые управляют резервным копированием для вас.
Вот несколько бесплатных плагинов для резервного копирования WordPress.
Но если вы более серьезно относитесь к резервному копированию своего блога, вам следует воспользоваться платным решением. Два крупнейших решения премиум-класса на данный момент — это Backup Buddy и VaultPress .
Вывод
Есть много других советов и приемов, но я старался изо всех сил, чтобы представить лучшие советы «на все деньги» для тех, кто только начинает работать с безопасностью WordPress. Обязательно ознакомьтесь с нашими другими статьями по безопасности WordPress для получения дополнительной информации! Поделитесь своими мыслями об этом ниже!