WordPress часто считают неофициальным козлом отпущения, обвиняющим в различных нарушениях безопасности. Как и многие другие популярные веб-приложения, WordPress является привлекательной целью для атаки. Очевидно, что безопасность в WordPress, как и в любом приложении, должна быть представлена в контексте. К счастью, WordPress извлекает выгоду из широкого спектра параметров конфигурации безопасности и сторонних плагинов, которые помогают удовлетворить тех, кто стремится повысить общую безопасность.
В этой статье я собираюсь добавить к 10 советам Тима Карра по защите WordPress еще больше способов защиты вашего сайта, начиная с момента установки WordPress.
Чистый компьютер
Перед началом установки WordPress убедитесь, что ваш компьютер не содержит вредоносных программ и вирусов. Это может показаться очевидным, но очень важно, чтобы ваша система была свободна от вредоносных программ и находилась в надежном состоянии.
Если ваш компьютер заражен, все ваши меры безопасности могут оказаться бесполезными. Предлагается защитить ваши системы антивирусом, чтобы держать все вредоносное ПО и вирусы в страхе.
Установите WordPress в другой каталог
Основные файлы WordPress могут успешно существовать в другом месте, кроме корневого каталога. Эта техника часто обсуждается, поэтому ваш пробег может отличаться. Сканеры и злоумышленники все еще могут узнать, где живет WordPress, однако мы подумали, что стоит упомянуть, поскольку эта тема часто поднимается.
Даже если это напрямую не обеспечивает дополнительную безопасность, это определенно поможет сохранить ваш сервер организованным, что также очень важно.
Например, если ваш сайт имеет домен www.example.com, было бы предпочтительнее установить WordPress в нечто вроде www.example.com/directory.
Следующим шагом является копирование файлов index.php
.htaccess
Если файл .htaccess
Не беспокойтесь об ошибке, которую вы получите, если зайдете на свой сайт. Перейдите в index.php
требуется ( ‘/ WP-блог-header.php’);
в
требуется ( ‘/ каталог / WP-блог-header.php’);
Теперь ваш логин будет www.example.com/directoy/wp-admin.
После установки вы должны перейти к настройкам WordPress в панели администратора и изменить URL-адрес WordPress, чтобы он указывал на www.example.com/directory и URL-адрес блога www.example.com .
Изменить префикс базы данных
По умолчанию WordPress создает базу данных с таблицами с префиксом в wp_
Смысл в том, что спамеры и хакеры, использующие автоматизированные инструменты, знают структуру вашей базы данных. Наличие префикса базы данных по умолчанию делает их жизнь намного проще. Это еще одна тема для обсуждения, однако, как и при установке WordPress в другой каталог, этот вопрос часто возникает.
Во время настройки wp-config.php
Чтобы организовать таблицы более эффективно, начните префикс с wp_
_
Вы можете использовать цифры, буквы и подчеркивания.
Безопасный wp-config.php
Как наиболее важный файл в WordPress, он хранит ценную информацию, такую как база данных, имя пользователя, пароль и ключи аутентификации, никто не должен иметь прямой доступ к wp-config.php
Как упоминалось выше, мы можем хранить wp-config.php
Теперь мы добавим к нему дополнительный уровень безопасности.
Чтобы запретить доступ к этому файлу, вы должны добавить приведенный ниже код в верхней части файла .htaccess
<files wp-config.php>
order allow,deny
deny from all
</files>
Этот файл не должен быть изменяемым или доступным для записи другими. Чтобы другие пользователи не могли его прочитать, разрешение на файл должно быть 440 или 400, однако вам следует проконсультироваться с хостом, чтобы проверить это.
Удалить номер версии WordPress
Иногда оставление номера версии WordPress может быть угрозой безопасности, особенно если WordPress не обновляется регулярно. Конечно, мы настоятельно рекомендуем регулярно обновлять, как и при выполнении других обычных задач обслуживания WordPress .
Код, который генерирует версию WordPress, находится в header.php
<meta name="generator" content="WordPress <?php bloginfo('version'); ?>" />
Чтобы удалить номер версии WordPress, вы должны добавить следующую строку в файл functions.php
<?php remove_action('wp_head', 'wp_generator'); ?>
Используйте секретные ключи
Использование секретных ключей играет важную роль в безопасности WordPress. Эти ключи безопасности помогают зашифровать данные, хранящиеся в файлах cookie, используемых WordPress. Не зная этих ключей, злоумышленникам будет сложнее войти на ваш сайт WordPress.
WordPress создает их для вас во время установки, однако эти значения могут отсутствовать на старых сайтах или если файл wp-config.php
По умолчанию секретные ключи перечислены в wp-config.php, как показано ниже:
define('AUTH_KEY', 'put your unique phrase here');
define('SECURE_AUTH_KEY', 'put your unique phrase here');
define('LOGGED_IN_KEY', 'put your unique phrase here');
define('NONCE_KEY', 'put your unique phrase here');
define('AUTH_SALT', 'put your unique phrase here');
define('SECURE_AUTH_SALT', 'put your unique phrase here');
define('LOGGED_IN_SALT', 'put your unique phrase here');
define('NONCE_SALT', 'put your unique phrase here');
Если вам когда-нибудь понадобится восстановить эти ключи, вы можете посетить официальный генератор, предоставленный WordPress.org по адресу https://api.wordpress.org/secret-key/1.1/salt/ .
Если у злоумышленника есть ключи безопасности, он может восстановить доступ к сайту, даже если пароли были изменены. Поэтому, если ваш сайт взломан, не забудьте поменять секретные ключи, а не только свои пароли!
Отключить просмотр каталогов
WordPress позволяет пользователям просматривать веб-каталоги, если они знают, где искать. Очевидно, это то, чего мы хотим избежать. Просмотр каталогов может использоваться злоумышленниками для поиска наиболее уязвимых файлов. Разработчики или веб-мастера нередко оставляют резервные копии файлов или архивов в нечетных местах.
Убедиться в том, что никто не может просматривать содержимое каталогов, можно, добавив одну строку в .htaccess
Options –Indexes
Безопасные множественные установки
Если у вас более одного экземпляра WordPress на одном хосте, вы должны использовать разные учетные данные пользователя для каждой базы данных. Имя пользователя и пароль базы данных должны быть уникальными в файлах wp-config.php для каждого из ваших сайтов. Это обеспечит изоляцию каждого сайта в случае взлома одного из них.
Это простой совет, но повторное использование одних и тех же учетных данных — это то, что люди делают все время.
Плагины безопасности WordPress
Если вам неудобно вносить вышеуказанные изменения, есть несколько плагинов, которые помогут вам сохранить безопасность вашей установки WordPress или даже помочь вам быстро восстановиться, если вы станете жертвой злонамеренной атаки.
Вот список самых популярных плагинов безопасности:
Чарльз Коста ранее исследовал тему плагинов безопасности WordPress , которую стоит прочитать.
Вывод
Учитывая большой процент сайтов, работающих на WordPress, неудивительно, что безопасность WordPress является популярной темой. Если вы серьезно относитесь к своему веб-сайту и безопасности своего веб-сайта, вам обязательно нужно изучить свои возможности и уделить дополнительное время блокировке своего сайта.
Напомним, что ранее мы рассмотрели 10 советов по защите WordPress , в этой статье мы рассмотрели еще больше советов, которые помогут вам лучше управлять безопасностью вашего сайта. Если вы хотите узнать больше, я также рекомендую прочитать официальную документацию WordPress.org « Укрепление WordPress ».
Пожалуйста, дайте нам знать в комментариях ниже, если у вас есть какие-либо дополнительные советы по повышению безопасности WordPress.