Интернет-безопасность всегда была так же важна, как и ваша личная безопасность. Если вы зарабатываете деньги через свой блог или веб-сайт, безопасность вашего веб-сайта становится столь же важной, как и защита вашего банковского счета. К счастью, WordPress стремится обеспечить лучшую безопасность с каждой новой версией. Кроме того, существует множество плагинов, которые вы можете использовать для усиления безопасности вашего сайта или блога.
Однако не все пользователи, включая разработчиков, настолько опытны в области безопасности, насколько они могут и должны быть.
Самое интересное, что оптимизация блога / веб-сайта WordPress для повышения безопасности требует лишь небольших изменений, большинство из которых ранее были описаны в одном из наших постов. Сегодня мы поделимся еще несколькими интересными и эффективными советами, которые помогут вам обезопасить свой веб-сайт / блог от кражи информации, взломов, вторжений и перехвата.
Принудительное использование SSL
Уровни SSL или Secure Sockets Layers — это криптографические алгоритмы, которые используются для защиты связи через Интернет. Это широко используемый протокол, особенно на сайтах электронной коммерции. Хорошо, что для обеспечения безопасности вашего блога или веб-сайта вам нужно лишь немного технических знаний. С внедрением SSL хакерам и злоумышленникам не удается подслушать, подделать или подделать данные, даже если они могут получить к ним доступ. Это может показаться преувеличением, но многие разработчики считают это воплощением интернет-безопасности. Не говоря уже о том, что SSL-сертификат сделает ваш сайт / блог более правдоподобным и заслуживающим доверия даже для тех, кто не разбирается в технологиях.
Плохая новость заключается в том, что только несколько хостинговых служб, таких как WP, WebHost или HostGator, позволяют использовать SSL. Поэтому убедитесь, что ваш хост также поддерживает SSL. После того, как вы проверили у своего хоста, обратитесь к ним и получите сертификат SSL. Теперь следуйте этим шагам, чтобы включить SSL на вашем сайте.
Откройте файл wp-config.php из каталога файлов. Это самый важный файл конфигурации во всем каталоге. После открытия вставьте следующий фрагмент кода в файл wp_config.php .
|
1
2
3
4
5
|
/* Enable SSL Encryption */
define(‘FORCE_SSL_LOGIN’, true);
define(‘FORCE_SSL_ADMIN’, true);
|
Сохраните и закройте файл. Шифрование SSL теперь включено в области администрирования вашего сайта. Область администратора теперь будет загружаться с помощью «https» вместо «http». Поскольку большинство веб-сайтов требуют, чтобы конфиденциальная информация использовалась только в административной области, включение SSL для внешнего интерфейса не требуется.
Защита от скриптовых инъекций
Инъекция SQL стала одной из основных угроз для веб-сайтов сегодня. При внедрении сценария злоумышленники внедряют часть вредоносного кода в пользовательские переменные ввода, которые затем анализируются и выполняются сервером SQL. Даже одна зараженная страница может подвергнуть риску весь сайт и повредить все данные.
Чтобы защитить ваш сайт / блог от таких атак, вы должны защитить переменные PHP GLOBALS и _REQUEST. Вы можете сделать это, следуя приведенным ниже инструкциям.
Откройте файл .htaccess, расположенный в каталоге файлов вашей установки WordPress. Теперь вставьте следующий код.
|
01
02
03
04
05
06
07
08
09
10
11
|
Options +FollowSymLinks
RewriteEngine On
RewriteCond %{QUERY_STRING} (\<|%3C).*script.*(\>|%3E) [NC,OR]
RewriteCond %{QUERY_STRING} GLOBALS(=|\[|\%[0-9A-Z]{0,2}) [OR]
RewriteCond %{QUERY_STRING} _REQUEST(=|\[|\%[0-9A-Z]{0,2})
RewriteRule ^(.*)$ index.php [F,L]
|
Этот код будет проверять входящий запрос для любого сценария, который пытается изменить значение переменных PHP GLOBALS или _REQUEST. Если атака обнаружена, код заблокирует запрос и вернет ошибку 403.
Здесь важно упомянуть, что редактирование файла .htaccess не рекомендуется, пока вы не будете абсолютно уверены, что делаете это правильно. Если вы измените файл неправильно, на вашем сайте будут созданы пользовательские страницы или URL-адреса будут перенаправлены в другое место. В некоторых случаях вы даже не сможете получить к нему доступ или повредить всю базу данных. Однако, если у вас есть резервная копия файла и базы данных, вы можете редактировать ее без каких-либо забот.
Если вы используете сервер nginx, вам придется использовать другие методы для защиты вашего сайта. Это потому, что файл .htaccess не поддерживается сервером nginx.
Защита от скребков контента и хотлинкинга
Контент всегда был королем, но с Пандой и Пингвином контент стал очень важным. Ваш контент всегда подвергается риску быть плагиатом других. Это относится ко всем типам контента, включая текст и изображения. Удаление содержимого также включает в себя горячие ссылки на изображения, которые, в свою очередь, ослабляют пропускную способность сервера.
Правда заключается в том, что лишь немногие прикладывают достаточные усилия и преданность делу для создания высококачественного оригинального контента. Если вы прошли всю тяжелую работу, вы должны защитить свой контент от ненужных файлов. Сделайте это, выполнив следующую процедуру.
Откройте файл single.php и перейдите к строке, где отображается заголовок. Все, что вам нужно сделать, это заменить эту строку следующим кодом.
|
1
2
3
4
5
|
<h1>
<a href="<?php the_permalink();
</h1>
|
Этот код ставит ссылку на заголовок вашего сообщения. Поэтому, когда сборщики используют ваш контент вместе с этим заголовком, украденное сообщение будет автоматически ссылаться на ваше сообщение.
Для хотлинкеров создайте изображение с именем nohotlink.jpg и загрузите его в папку «Изображения». Откройте файл .htaccess и вставьте следующий код. Перед этим вы должны поместить изображение в папку «Изображения».
|
01
02
03
04
05
06
07
08
09
10
11
|
RewriteEngine On
#Replace ?mysite\.com/ with your blog url
RewriteCond %{HTTP_REFERER} !^http://(.+\.)?mysite\.com/ [NC]
RewriteCond %{HTTP_REFERER} !^$
#Replace /images/nohotlink.jpg with your "don’t hotlink"
RewriteRule .*\.(jpe?g|gif|bmp|png)$ /images/nohotlink.jpg [L]
|
На сайте с горячей ссылкой теперь будет отображаться любое изображение, которое вы назвали nohotlink.jpg . Еще раз, сделайте это с особой тщательностью и убедитесь, что у вас есть необходимые резервные копии, потому что редактирование файла .htaccess может быть рискованным.
Обновления WordPress
Один из лучших и самых простых способов защитить ваш сайт WordPress — регулярно обновлять программное обеспечение. Как и любая другая программа, WordPress часто настраивает меры безопасности и выпускает новые обновления.
Защита от атак грубой силы
WordPress не накладывает ограничений на попытки входа в систему, если указан неправильный пароль. Однако неограниченное количество попыток позволяет хакеру взломать пароль и получить доступ. Поэтому вам следует ограничить количество попыток входа в систему. Для этого загрузите плагин, доступный на сайте WordPress, и распакуйте его в каталог wp-content / plugin. Затем плагин можно активировать из интерфейса администратора.
Сильные Пароли
Самые простые правила обеспечения безопасности часто забываются среди множества продвинутых способов сделать это. Большинство людей имеют привычку сначала выполнять самые сложные процедуры, а не самые простые. То же самое относится и к паролям, установленным для вашей учетной записи администратора. Попробуйте выбрать сложный пароль, который будет буквенно-цифровым, а также содержит знаки препинания. Также измените имя пользователя учетной записи «admin» на другое.
Ошибки входа
WordPress отображает ошибки неверного имени пользователя или неправильного пароля, если данные для входа неверны. Это должно быть отключено, чтобы хакеры не могли отслеживать свой прогресс. Это можно сделать, написав следующую строку в вашем файле functions.php .
|
1
|
add_filter(‘login_errors’, create_function(‘$a’, “return null;”));
|
Префикс базы данных
Префиксы всех баз данных по умолчанию одинаковы, поэтому они известны другим. Вы должны изменить их, чтобы повысить безопасность. Это можно сделать, добавив данную строку в файл wp-config.php .
|
1
|
$table_prefix = ‘wp_a123456_’;
|
Файловые права
Как и базы данных, права доступа к файлам одинаковы для всех пользователей, пока вы их не измените. Вы должны добавить строку кода для всех файлов, чтобы предотвратить нежелательный доступ.
|
1
|
chmod who=permissions filename
|
Редактор тем и плагинов
Редактор тем и плагинов должен быть отключен, чтобы никто не мог изменить ваш контент. Откройте файл wp-config.php и вставьте следующую строку.
|
1
|
define(‘DISALLOW_FILE_EDIT’, true);
|
Вывод
Интернет-безопасность, как доказано снова и снова, имеет первостепенное значение, и слишком многие люди не относятся к ней достаточно серьезно. Шаги, представленные здесь, просты, но обеспечивают более безопасную среду. Сообщите нам в комментариях ниже о любых других простых и эффективных советах по безопасности, которые вы используете.