Настройка на сигурността на WordPress след инсталиране. Разбиваме и защитаваме WordPress със собствените си ръце. Определяне на инсталираните компоненти

Днес в Nulled прочетох доста добра статия за подобряване на сигурността на уебсайта в WordPress. Тъй като текстът на nulled е видим само за регистрирани потребители с определен брой публикации, ще публикувам статията в моя блог за обществено ползване 😉 Като цяло каня всички да я прочетат и да направят свои собствени предложения и корекции (ако, разбира се, има такива).

1. Преди монтажа;
2. След монтажа;
3. Периодични проверки и актуализации.

1. Преди монтаж

1.1. Изтриваме всички ненужни файлове:
readme.html, license.txt, hello.php, ненужни теми и добавки.

1.2. Нека редактираме правилно файла wp-config.php:

define("DB_NAME", "wpdb"); // Вместо "wpdb" трябва да измислите силно име, например wp433Fd6HW
define("DB_USER", "wpuser"); // Например UserFB56SKl
define("DB_PASSWORD", "силна парола"); // Трябва да има силна парола, например 'FE876!8e#fh#9fDfds9f'
define("DB_HOST", "localhost"); // В 99% от случаите тази стойност не трябва да се променя
define("DB_CHARSET", "utf8"); define("DB_COLLATE", "");

Променете секретния ключ от стандартния:

define("AUTH_KEY", "изменете това на уникалната фраза");
define("SECURE_AUTH_KEY", "изменете това на уникалната фраза");
define("LOGGED_IN_KEY", "изменете това на уникалната фраза");
define("NONCE_KEY", "изменете това на уникалната фраза");

към генерирания с помощта на услугата

define("AUTH_KEY", "M.uFL(R Bw5UkRw%P&+>E*jJZBikz3-OV7sO*-_g*(9z,PnM,T&LPAE");
define("NONCE_KEY", "d2A~8NBb%2?+6`z)?nWoD0`f]-.gUOC);

Направете таблиците по-сигурни:

$table_prefix = "wp_4i32aK_"; // Използвайте само букви, цифри и долна черта, за да направите вашия table_prefix уникален. Това поне ще ви предпази от някои публични подвизи.

1.3. Създайте потребител и база данни за блога в MySQL конзолата:
Първо влезте като root и създайте база данни за блога:

$ mysql -u корен
mysql> СЪЗДАВАНЕ на база данни wpdb;

$ mysql -u корен
mysql> СЪЗДАВАНЕ на база данни wp433Fd6HW;
Заявката е ОК, 1 засегнат ред (0,00 сек)

След това създаваме потребител: този акаунт ще има достъп само до базата данни на WordPress. Можем също така да сме сигурни, че потребителят е достъпен само от локалния сървър, а не от разстояние.

mysql>
-> НА wpdb.*
-> ДО "wpuser"@"localhost"
-> ИДЕНТИФИЦИРАН ОТ "strongpassword"; Заявката е ОК, 0 засегнати реда (0,01 сек)

В нашия пример ще изглежда така:

mysql> GRANT SELECT, INSERT, UPDATE, DELETE, CREATE, DROP
-> НА wp433Fd6HW.*
-> ДО "UserFB56SKl"@"localhost"
-> ИДЕНТИФИЦИРАН С "FE876!8e#fh#9fDfds9f";
Заявката е ОК, 0 засегнати реда (0,01 сек)

1.4. Премахнете мета блока от кода на вашата тема
В стандартната тема, част от кода, отговорен за показването на мета блока:

Мета

• Валиден XHTML


• XFN


• ">WordPress

2. След монтажа

2.1. Промяна на паролата на администратора по подразбиране
Променете паролата на администратора, генерирана по време на инсталацията

2.2. Премахване на версията на WordPress

remove_action("wp_head", "wp_generator");

Във файла header.php в папката с вашата тема изтрийте реда:

" />

За WordPress версия 2.8.4 намерете имплементацията на функцията get_the_generator($type) и я променете:

функция get_the_generator($type) (
$gen = "";
връщане apply_filters("get_the_generator_($type)", $gen, $type);
}

2.3. Празен index.php
Поставете празен файл index.php в папките wp-includes/, wp-content/, /plugins/

2.4. Промяна на администраторското потребителско име на нещо по-неочевидно
Променете името чрез MySQL конзолата:

wp $ mysql -u UserFB56SKl –p
mysql> използвайте wp;
АКТУАЛИЗИРАНЕ wp_users SET user_login="adm" където user_login="admin";

В нашия пример ще изглежда така:

wp $ mysql -u wpuser –p
mysql> използвайте wp433Fd6HW;
АКТУАЛИЗАЦИЯ wp_4i32aK_users SET user_login="adm234Df" където user_login="admin";
Заявката е ОК, 1 засегнат ред (0,01 сек.) Съвпадащи редове: 1 Променени: 1 Предупреждения: 0

Или, ако не искате да се забърквате със заявки, можете да направите следното:

1. Създайте нов акаунт. Потребителското име трябва да е уникално;
2. Задайте на новия потребител ролята на администратор;
3. Влезте отново като нов Администратор;
4. Изтрийте стария акаунт на администратор.

2.5. Създаване на нови потребителски роли
За да направите това, първо трябва да инсталирате плъгин във вашия блог. Този плъгин ще ви даде възможност внимателно и прецизно да задавате потребителски права. След като активирате приставката, първо трябва да създадете потребител за себе си. Премахнете всички потребителски права и след това внимателно изберете само онези права, които са ви необходими за ежедневна дейност (писане на публикации, модериране на коментари и т.н.). Уверете се, че само администраторският акаунт има привилегии за активиране/деактивиране на добавки, качване на файлове, управление на опции, превключване на теми, импортиране и т.н.
Ако вашият блог ще бъде многопотребителски, тогава трябва да помислите от какви права наистина се нуждаят потребителите и да създадете свои собствени роли въз основа на това.
Когато създавате роли, бъдете внимателни, когато давате на потребителите права като: качване на файл, достъп до редактиране на изходния код на приставки, активиране на приставки, редактиране на файлове/публикации/страници, импортиране, нефилтриран HTML, тъй като тези роли дават на потребителите по-големи правомощия.

2.6. Ограничаване на достъпа до папките wp-content и wp-includes
Използвайки файла .htaccess и специални правила, ние ще забраним всичко освен заявки за изображения, CSS и JavaScript. Файловете .htaccess трябва да бъдат поставени в съответните директории.

Поръчка Разреши, Откажи
Отказва от всички

Разрешете от всички

Можете също да добавите конкретни PHP файлове за определени шаблони и плъгини.

2.7. Скриване на директорията wp-content
Започвайки с WordPress 2.6, стана възможно преместването на директорията wp-content.
Променете редовете в wp-settings.php:

define("WP_CONTENT_DIR",$_SERVER["DOCUMENT_ROOT"]."/blog/wp-content");
define("WP_CONTENT_URL","http://domain.ru/blog/wp-content");

И за да избегнете проблеми с добавките:

define("WP_PLUGIN_DIR",$_SERVER["DOCUMENT_ROOT"]."/blog/wp-content/plugins");
define("WP_PLUGIN_URL","http://domain.ru/blog/wp-conten/plugins");

2.8. Ограничаване на достъпа до папката wp-admin
Ако имате статичен IP
Тази стъпка е лесна за блог с един потребител, но може да бъде истинско главоболие за блог с много потребители. Този трик работи само ако имате статичен IP. Файлът .htaccess за директорията wp-admin трябва да съдържа следните правила:

AuthUserFile /dev/null
AuthGroupFile /dev/null
AuthName "Примерен контрол на достъпа"
AuthType Basic

поръчка откажи, разреши
отричам от всички
разреши от a.b.c.d. #Вашият статичен IP

Поставете файла в директорията wp-admin и опитайте да получите достъп до тази папка чрез прокси. Ако всичко работи правилно, достъпът ще бъде отказан. След това опитайте да влезете от вашия IP.

Ограничаване на достъпа с парола
Може да е за предпочитане да получите достъп до папката wp-admin с парола. Това означава, че имате достъп до административния панел отвсякъде. Това също е опция, ако имате динамичен IP.
Файлът .htaccess за директорията wp-admin трябва да съдържа следните правила:

#Файлът.htpasswd се намира извън основната директория на вашия блог

ErrorDocument 401 по подразбиране
AuthUserFile /srv/www/user1/.htpasswd
AuthType Basic
AuthName „Табло за управление на WordPress“

изисква потребител adminuser #Създайте защитено потребителско име


изисква валиден потребител

Генерирайте парола с командата:

$ htpasswd -cm .htpasswd администратор

Или използвайте услугата, за да генерирате парола. Ето пример за потребител: администратор, парола: тест

администратор:$apr1$t3qLL...$uUmj9Wm/WbJk7YNza6ncM/

По-добре е да поставите файла .htpasswd в директория над корена на блога.

2.9. файл wp-config.php
Вариант 1: за да защитите данните си, трябва да ги преместите в папката по-горе, WordPress автоматично ще провери директорията по-горе, ако не намери wp-config.php в корена.
Ако по някаква причина не можете да направите описаното по-горе, тогава има друга възможност. А именно, защитете своя wp-config.php с помощта на .htaccess:

# защита на wpconfig.php

Поръчка откажи, разреши
отричам от всички

2.10. Задаване на правилните разрешения за файлове и папки
Основно правило:

1. За файлове - 644
2. За папки - 755 бр

От обвивката тези операции могат да се извършват с помощта на:

CD
намери (вашият път) -type d -exec chmod 755 '()' \
намери (вашият път) -type f -exec chmod 644 '()' \

2.11. SSL за администратори
Ако вашият сървър поддържа SSL, тогава е по-добре да направите достъпа до административния панел защитен. За да направите това, във файла wp-config.php премахнете коментарите в реда:

define('FORCE_SSL_ADMIN', true);

2.12. Премахнете изходния файл на WordPress
Във файла functions.php в папката с вашата тема добавете реда:

add_filter("login_errors",create_function("$a", "return null;"));

2.13. Ние забраняваме индексирането чрез Robots.txt
Можете да проверите коректността на

2.14. Добавки за вашата безопасност
Заключване на влизане- Задайте броя на фалшивите влизания
Има две решения за това под формата на и добавки. След като плъгинът е активиран, той записва всички опити за влизане. Плъгинът ви позволява да забраните на посетител да влиза за определено време, след като посетителят е въвел паролата неправилно няколко пъти.

Белавир– Мониторинг на промени в ключови php файлове

WPIDS– Ние определяме признаците на изпълнение

Скенер за онлайн сигурност на WordPress– Сканиране на блога за уязвимости

Акисмит– Борба със СПИН и СПАМ

SpamBam– Определете дали клиентът използва валиден браузър

3. Периодични проверки и актуализации

3.1. Поддържайте WordPress актуализиран
3.2. Поддържайте плъгините актуализирани
3.3. Очаквайте актуализации за сигурност

3.4. Проверете кода на темата и добавките, които искате да добавите, за течове
3.5. Борба със спама
3.6. Редовно правете пълно архивиране на базата данни на вашия блог
3.7. Четете блогове за развитие
Малък списък:

Повечето хора смятат, че техният уебсайт на WordPress е защитен само защото няма никакво съдържание, което си заслужава да бъде хакнато. За съжаление не е така. Уебсайтовете често се хакват, например за разпространение на спам. Или основните и тематични файлове са пълни със злонамерен код за заразяване и хакване на компютрите на посетителите на вашия сайт. Възможно е да сте забелязали повредата само когато Google или Yandex вече са маркирали вашия сайт или са го премахнали от индекса. Не позволявайте това да се случи и вземете предвид моите съвети за перфектния wp-config.php.

Има много начини да защитите вашия WordPress уебсайт от хакване. Оптимизацията може да се счита за важна част от добрата стратегия за сигурност. Разбира се, сайтът няма да се превърне в банка, но го направихте малко по-труден за хакерите.

За оптимизиране на wp-config.php се използват така наречените константи. WordPress има много константи, които могат да се използват. Но какво е константа? PHP.net описва константите по следния начин:

Константата е идентификатор (име) за проста стойност. Както подсказва името, тази стойност не може да се променя по време на изпълнение на скрипт (за магически константи, които всъщност не са нищо друго освен константи). Константата е чувствителна по подразбиране. По конвенция постоянните идентификатори винаги са с главни букви.PHP.net

Константите са вградени във функциите define() и изглеждат така: define("NAME_OF_THE_CONSTANT", value);

wp-config.php е контролен файл за WordPress. Зарежда се преди всички други файлове, защото WordPress трябва да настрои връзка с база данни. Необходимата информация е в конфигурационния файл. Когато промените стойността на константа или добавите константа, можете също да промените поведението на WordPress.

Преди работа: моля, създайте резервно копие на wp-config.php

Преди да започнете да редактирате файла wp-config.php, създайте резервно копиетози файл. Вашият сайт няма да работи с неправилни или липсващи записи.

Важно: Винаги актуализирайте WordPress и добавките

Вероятно вече сте чували това няколко пъти. Но този аспект е толкова важен, че не мога да го повтарям достатъчно често. Тонове сайтове са били хакнати, защото WordPress или добавките не са били актуализирани. Актуализациите са най-добрата застраховка срещу хакване!

Ситуация на сигурността:

Експертите по сигурността Sucuri вече са предупредени за пропуск в сигурността в популярния плъгин Jetpack за WordPress. Зловреден код може да бъде внедрен с помощта на функцията за вграждане на кратък код. Automattic наистина ще отговори скоро и ще пусне нова версия.

Как да затворите пропуска в сигурността за сега:

Ако използвате, не сте в опасност. Има голяма 6G защитна стена, която може да отблъсне този тип атака.

Приготвяне:

За цялата следваща работа ще ви трябва програмата, както и HTML редактор. wp-config.php се изтегля на работния плот, редактира се в HTML редактор и се качва обратно на сървъра.

1 – Използвайте ключове за сигурност

Ключовете за сигурност в WordPress са критични, като криптиране на неща като информация за вход в бисквитки. Дори ако във вашия wp-config.phpвече съществуват, замяната им след известно време не може да навреди. Когато ключовете се променят, всички потребители излизат от своите сайтове. След това ще можете да влезете отново с вашето потребителско име и парола.

Ако обаче сайтът вече е бил хакнат, първо трябва да премахнете злонамерения код от сайта си. Насоки за това можете да намерите в допълнителната информация за този аспект. След това посетете генератора на ключове за сигурност на WordPress и копирайте новия набор. Заменете старата част с нова - вижте екранна снимка:

Ако все още не сте внедрили ключове за сигурност, сега е добър момент да го направите.

Допълнителна информация:

2 – принудително използване на HTTPS

SSL сертификат криптира връзката между вашия сайт и браузърите на посетителите. HTTPS прави невъзможно хакерите да хванат и откраднат лични данни. Ако вече имате SSL сертификат за вашия сайт, можете да го принудите да използва HTTPS вместо HTTP. Това значително повишава сигурността на вашия сайт. Ако нямате SSL сертификат, все пак трябва сериозно да обмислите използването му.

Не е нужно да се страхувате от големи разходи, защото...

Следните записи трябва да се използват, когато вашият сайт вече използва SSL. Горното влизане е за защитено влизане, докато долното принуждава браузъра да използва само SSL.

Във всяка инсталация на WordPress можете да редактирате файловете на темата и плъгина директно в областта за администриране. В елементите на менюто „Външен вид“ и „Добавки“ ще намерите съответния редактор за всеки файл. Този редактор е много опасен, ако попадне в ръцете на хакери. Данните могат да бъдат унищожени и могат да бъдат добавени вируси, троянски коне, спам и друг зловреден софтуер. Но редакторът е важен и за администратора на уебсайта. Единствената грешка, липсва една точка и запетая, е всичко, което е необходимо, за да се покажат пословичните бели страници и нищо друго няма да работи.

3 – Промяна на префикса на базата данни

Префиксът на базата данни е известен също като префикс на таблица. Този префикс се използва като разширение към всяка таблица на база данни, генерирана от WordPress. Ето го стандарта wp_. Този стандарт трябва да се промени с нещо друго. Колкото по-мистериозно, толкова по-добре. Не се притеснявайте; Не е нужно да помните какво сте въвели тук. Тази стойност се поставя веднъж.

Мисленето за това намалява възможността за SQL инжектиране до нула. Но е възможно. Така че, променете стойността, преди да инсталирате WordPress. Използвайте нещо подобно fdf2a7r_, Например.

Внимание: Ако промените стойността на съществуваща инсталация на WordPress, уебсайтът няма да бъде достъпен!

Ако искате да промените префикса на таблицата на съществуващ сайт на WordPress, плъгинът за сигурност на Acunetix WP може да ви помогне. Тя ви позволява лесно да промените стойността и всичко, което трябва да направите, е да влезете отново. Все пак трябва да създадете резервно копие предварително.

4 – Изключете редакторите на плъгини и темите

Промените в темата или файловете на плъгина обикновено се правят чрез (S)FTP, тъй като е много по-сигурен. Така че редакторите трябва да бъдат изключени. Един ред в wp-config.php е достатъчен за безопасно деактивиране на двата редактора:

5 – Преместете wp-config.php

wp-config.php е сърцето на вашия уебсайт. Там се въвеждат всички съответни данни, включително пароли за бази данни. Ето защо е изключително важно този файл да бъде възможно най-сигурен. Има два подхода за това. Първият блок за достъп с помощта на файла .htaccess. Вторият подход премества файла на друго място, където хакерът няма да го очаква.

• Преместването на това може да бъде проблематично, ако сайтът е на поддомейн и използвате евтин споделен хостинг.
• Това също може да стане трудно, ако имате много уебсайтове в потребителски директории. Ако нито една от точките не се отнася за вас, можете да преместите файла.

Ако сте конфигурирали правилно пътя към WP-config.php, вашият сайт трябва да работи.

6 – принуждава използването на FTPS

Ако вашият уеб хост е активирал File Transfer Protocol Secure (FTPS), можете да принудите използването на FTPS за прехвърляне на файлове. Той ще шифрова комуникацията между посетителя и сървъра. Сега е невъзможно да получите достъп до данни на сървъра от несигурен протокол. FTP е несигурен, тъй като достъпът до информация се предава на сървъра в некриптирана форма. Затова, ако е възможно, използвайте само защитена връзка чрез FTPS. Вашият уеб хост може да ви каже дали е възможна FTPS връзка.

Принудителното използване на FTPS е просто:

7 – принудително използване на SFTP

Вместо FTPS протокола, някои хостери са активирали SFTP протокола за пренос на данни. Тук комуникацията между FTP потребителската програма и сървъра също е криптирана. Следният ред код ви позволява да принудите използването на SFTP:

8 – Деактивирайте режима за отстраняване на грешки

Ако сте активирали режима за отстраняване на грешки в WordPress за целите на разработката, жизненоважно е да го изключите. В някои случаи режимът на активно отстраняване на грешки може да предава чувствителни данни, които могат да помогнат на хакерите да си свършат работата. Ето защо режимът за отстраняване на грешки е изключително опасен в активна система. Направих тази малка, глупава грешка; хората бързо забравят нещата. Ето защо трябва бързо да вземете мерки за проверка. Деактивирайте режима за отстраняване на грешки:

9 – Изключете индикацията за грешка в PHP

Ако по някаква причина трябва да бъде активиран режимът за отстраняване на грешки, препоръчвам да изключите публичното показване на съобщения за грешки. Съответните съобщения за грешка могат също да бъдат записани в регистър, който не е достъпен за широката публика. Това е много по-безопасен и по-елегантен вариант. Тази константа е необходима, за да излезете от режима на грешка в WordPress и също така да предотвратите показването на грешката на трети страни:

10 – Активирайте функцията за автоматично актуализиране

Както споменах по-рано, незабавното актуализиране на вашето ядро ​​на WordPress и всички добавки е от решаващо значение за поддържането на вашата система защитена. С всяка пусната нова версия на WordPress, дупките в сигурността на предшествениците му се разкриват в Интернет. Това дава на хакера здрава основа, за да може да хакне вашия сайт. Следователно тези недостатъци трябва да бъдат отстранени възможно най-бързо.

Като WordPress версия 3.7, имат по-малки актуализации за сигурност и се извършват автоматично. Това обаче не е така за първоначалните версии на основните актуализации. Основните версии все още трябва да се актуализират ръчно. Активирането на автоматичните актуализации за всички версии на WP обаче е много лесно:

Между другото, това също може да се актуализира автоматично с помощта на добавки. Това обаче включва малко работа. Това изисква създаване на плъгин:

Този плъгин трябва да бъде преместен в папката /wp-content/mu-plugins/. Ако папката не съществува, просто я създайте. Папката /mu-plugins/ съдържа „използвани“ добавки. Съдържанието му се зарежда от всеки с други добавки.

Автоматичното актуализиране на тема може да се извърши по същия начин. За да направите това, плъгинът трябва да бъде разширен със следния ред:

Моля, вземете информация за тези автоматизирани добавки предварително и използвайте кода само ако знаете точно какво прави. Разбира се, двата филтъра са в състояние да поддържат само плъгини и теми досега, които идват от официалната версия на WordPress. Разбира се, темите и добавките от друг източник няма да бъдат актуализирани.

Допълнителна информация:

Заключение

Всички тези аспекти заедно ще повишат значително сигурността на вашия WordPress и трябва да бъдат част от добра стратегия за сигурност. Фактът, че WordPress е най-популярната система за управление на съдържание в света, привлича много хакери. Ситуацията може да се сравни с компютър с операционна система Windows. В операционна система Windows инсталирайте антивирусен софтуер и WordPress изисква малко ръчна работа. Но повишаването на безопасността определено си заслужава.

• Превод

Административната област на всяко уеб приложение отдавна се е превърнала в любима цел за хакери и нейната сигурност е от голямо значение за разработчиците. Това важи и за WordPress - при инсталиране на нов блог системата създава администраторски акаунт с уникална произволно генерирана парола в реално време, която блокира достъпа на всеки до системните настройки, контролирайки го чрез страницата за оторизация.

Тази статия се фокусира върху укрепването на сигурността на WordPress - както на администраторския панел, така и на настройките на блога, което означава цялото съдържание на папката "wp-admin", който се показва само след упълномощаване. Умишлено подчертахме фразата " след упълномощаване" - трябва ясно да разберете, че само една проста заявка разделя "злия хакер" от администратора на целия ви блог или уебсайт! И последният е защитен само толкова силно, колкото и паролата, която сте избрали.

За да направим задачата на хакерите много по-трудна, ние предлагаме набор от операции, които можете да извършвате ръчно. Тези решения не гарантират 100% защита, но с тяхна помощ значително ще подобрите сигурността на вашия блог.

1. Преименувайте папката wordpress.

От версия 2.6 стана възможно да промените пътя на папката wp-съдържание. За съжаление това все още не е приложимо за папката wp-администратор. Блогърите, загрижени за сигурността, приеха това и започнаха да се надяват, че това ще бъде възможно в бъдещи версии. Докато това се случи, предлагаме да използвате следното алтернативно решение на проблема. След като разопаковате архива с WordPress файлове, ще видите папката „WordPress“ - преименувайте папката (в идеалния случай на нещо неясно като " wordpress_live_Ts6K" ) и след това конфигурирайте файла по съответния начин wp-config.php, който се намира в основната директория.
Какво ще ни даде тази промяна?

• Първо, всички WordPress файлове няма да се смесват с други файлове в корена на сайта, като по този начин се увеличава яснотата на основното ниво.
• Второ, множество копия на WordPress могат да бъдат инсталирани паралелно в папки с различни имена, елиминирайки тяхното взаимодействие, което го прави идеален за тестване
• Третото предимство се отнася пряко до сигурността: административната област (и целият блог като цяло) вече не се намира в главната папка и за да извършите хакерски действия, първо трябва да я намерите. Това е проблематично за хората, но що се отнася до ботовете, е въпрос на време.

Няколко инсталирани версии в главната директория - възможно е!

Забележка:Ако системните файлове на WordPress вече не са в главната директория и името на инсталационната папка е променено според препоръките, описани по-горе, блогът все още ще бъде достъпен на wp-config.ru. Защо? Отидете в секцията „Общи настройки“ на вашия блог и въведете истинския адрес на блога на сървъра в полето „Address на WordPress (URL)“, както е показано в примера:

Адресът на блога трябва да е красив и ненатрапчив

Това ще позволи блогът да се показва на хубав виртуален адрес.

2. Подобрете файла wp-config.php

Конфигурационен файл на WordPress wp-config.phpсъдържа някои настройки на сайта и информация за достъп до базата данни. Има и други настройки, свързани със сигурността (те са представени в списъка по-долу). Ако в този файл няма такива стойности или има само стойности по подразбиране, трябва да ги добавите или промените съответно:

• Ключове за сигурност:От версия 2.7 WordPress има четири ключа за сигурност, които трябва да бъдат зададени правилно. WordPress ви спестява от необходимостта сами да измисляте тези редове автоматично генериранеправилни ключове от гледна точка на сигурността. Просто трябва да поставите ключовете в съответните редове на файла wp-config.php.Тези ключове са задължителенза да гарантирате сигурността на вашия блог.
• Префиксът на таблицата на новоинсталиран WordPress блог не трябва да е стандартен "wp_"Колкото по-сложна е стойността на префикса, толкова по-малка е вероятността да възникне неоторизиран достъп до таблици във вашата MySQL база данни. Зле: $table_prefix = "wp_"; . Много по-добре: $table_prefix = "wp4FZ52Y_"; Не се страхувайте да забравите тази стойност - трябва да я въведете само веднъж, няма да ви трябва отново.
• Ако е наличен на вашия сървър SSL криптиране, се препоръчва да го активирате за защита на административната зона. Това може да стане чрез добавяне на следната команда към файла wp-config.php: define("FORCE_SSL_ADMIN", true);

Можете също така да коригирате други системни настройки в конфигурационния файл. Ясен и изчерпателен списък с наличните настройки е достъпен на страницата Код

Не пренебрегвайте да инсталирате правилните ключове за сигурност!

3. Преместете файла wp-config.php

Освен това от версия 2.6 WordPress ви позволява да преместите файл wp-config.phpдо най-високо ниво. Тъй като този файл съдържа много по-важна информация от всеки друг и тъй като достъпът до основната папка на сървъра винаги е много по-труден, има смисъл да го съхранявате в директория, различна от останалите файлове. WortdPress автоматично ще търси най-горната папка, когато търси файл wp-config.php. Всички опити на потребителите сами да конфигурират пътя са безполезни.

4. Защитете файла wp-config.php

Не всички ISP сървъри ще ви позволят да прехвърляте данни на по-високи нива от основната директория. С други думи, не всеки има достатъчно права, за да завърши предишната стъпка. Или по други причини: например, ако имате няколко блога, с определена структура на папките няма да можете да поставите всички файлове в корена, тъй като техните имена ще бъдат еднакви за всеки от блоговете. В този случай можем да откажем достъп до файла wp-config.phpвъншно с помощта на файл .htaccess. Ето кода за това:

# защита на wpconfig.php
Отказ на поръчката, разрешаване на отказ от всички

Много е важно да се уверите, че файлът .htaccessе в същата директория като файла wp-config.php.

5. Премахнете администраторския акаунт.

По време на инсталационния процес WordPress създава администраторски акаунт с потребителско име „admin“ по подразбиране. От една страна, това е съвсем логично, от друга страна, потребител с добре познат псевдоним, т.е. ID - 1, който има администраторски права, е напълно предвидима цел за хакерите с техните програми за отгатване на пароли. Това е нашият съвет:

• Създайте друг потребител с администраторски права и ваш псевдоним.
• Прекратете работната си сесия.
• Влезте с нов акаунт.
• Изтрийте акаунта си" администратор".

Ако нямате нов блог и под акаунта администраторАко вече сте публикували публикации или коментари, тогава от предложените опции по време на изтриването изберете „Свързване на всички публикации и връзки към:“ и изберете името на новия потребител:

Забележка:В идеалния случай е желателно данните за влизане на новия потребител да са различни от потребителското име, показвано в публикациите, така че никой да не разпознава данните ви за вход.

6. Изберете силна парола.

Вероятността и честотата на потенциални атаки зависи пряко от популярността на блога. И е препоръчително до този момент да сте сигурни, че на вашия сайт няма останали слаби звена във веригата за сигурност.

Най-често паролите са най-слабото звено в тази верига. Защо? Начинът, по който повечето потребители избират парола, често е необмислен и небрежен. Много проучвания показват, че повечето пароли са едносрични съществуващи думи, въведени с малки букви, които не са трудни за отгатване. Програмите за отгатване на пароли дори имат списъци с най-често използваните пароли.

WordPress е внедрил интуитивен индикатор за силата на паролата, която въвеждате, който показва нейното ниво на сложност в цвят:

7. Защитете папката “wp-admin”.

Следвайки поговорката две глави са по-добри от една, има начин да удвоите сигурността на административната зона. Сигурността се регулира от файл .htaccess, който трябва да е в папката "wp-admin"заедно с файла .htpasswd, който съхранява данните за вход и паролата на потребителя. След достъп до папката ще трябва да въведете вашето потребителско име и парола, но разликата е, че в този случай оторизацията се контролира от страната на сървъра, а не от самия WordPress.

За лесно и бързо генериране на файлове .htaccessИ .htpasswd, използвайте тази услуга .

8. Деактивирайте показването на грешки на страницата за вход.

Страницата за вход в WordPress е вратата към административната област на вашия блог, която става достъпна след проверка без грешки. Всеки потребител има безкраен брой опити за влизане и всеки път, по подразбиране, полезният WordPress показва точно каква е грешката. Тоест, ако въведеното име за вход се окаже неправилно, WordPress ще го каже. Това е удобно за потребителя, но и за хакера.

Лесно е да се познае колко бързо намалява вероятността за избор на комбинация за вход/парола, когато системата посочи какво точно е въведено неправилно. Прост ред код ще помогне за решаването на този проблем, просто го добавете към файла functions.phpвашата тема:

Add_filter("login_errors",create_function("$a", "return null;"));

Оригинален/променен външен вид на страницата за вход.

9. Ограничете броя на неуспешните опити за влизане.

WordPress не поддържа статистика за авторизациите, както успешни, така и неуспешни. Това е много неудобно за администратора, тъй като той няма как да види дали има опити за неоторизиран достъп, за да вземе мерки, ако зачестят. Ние предлагаме две решения: добавки

Бих искал да отбележа, че напоследък получавам по-малко заявки относно настройки за сигурност, премахване на заплахи и вируси. И във форумите се създаваха по-малко подобни теми.

Или качеството на кода се е стабилизирало, или собствениците на сайтове са увеличили своята отговорност. Надявам се, че са влияли и двата фактора.

Въпреки това, заплахата от инфекция винаги е налице, така че защитата на вашия сайт трябва да се обърне необходимото внимание.

Причините за хакването на практика се свеждат до две неща:

• изоставени и неподдържани добавки- винаги трябва да инсталирате актуализации;
• свързани с пароли и права— трябва да го настроите правилно веднъж и да се придържате към него;

Всеки уебсайт е податлив на хакване, така че единственият начин наистина да се защитите е да създадете резервно копие.

Сериозно.

Настройте създаването на резервно копие!Може би с помощта на плъгин или директно на вашия хостинг..

Буквално съвсем наскоро счупих медийните си файлове в резултат на глупави експерименти, но с налично копие успях да възстановя базата данни за няколко минути.

Как да настроите график зависи от това какво и колко често се променя конкретно на вашия сайт.

Не включвайте ненужен код

WordPress е изключително гъвкав и разширяем. Това е чудесна възможност. Но от друга страна, предприемчивите и не особено разбираеми собственици на уебсайтове могат много бързо да претоварят уебсайта си с ненужен код.

Първо, това е хит за ефективността на сайта. .
На второ място, поставя Сигурността на вашия сайт е застрашенавирусна инфекция и увеличава вероятността от хакване.
Трето, просто трябва повече време за неговото администриране и поддръжка. Когато инсталирате нов плъгин или функционалност за тема, преценете реалната му нужда.

Добри въпроси могат да бъдат:

• Как мога да се откажа от този нов плъгин?Може би ще видите алтернативни опции или изобщо няма нужда да го използвате.
• За какво всъщност ми трябва този плъгин? Какви ползи ще получа от използването му?

За напълно функционален уебсайт е достатъчно да имате около десет от най-необходимите плъгини (което включва SEO плъгин, плъгин за защита на сайта, плъгин за кеширане, антиспам, форма за контакт и може да има няколко специфични плъгина за структурата на вашия сайт или неговото съдържание).
Ако на вашия сайт има инсталирани 30-50 плъгина, значи явно правите нещо нередно.

Освен това не е достатъчно просто да деактивирате неизползваните добавки; най-добре е да ги премахнете напълно. Заедно с неизползваните теми.

Следвайте прост, но ефективен принцип:

По-малко код, по-малко проблеми.

Не давайте на другите участници права, които надхвърлят техните отговорности

Нека да разберем това. Никой не е толкова отговорен за сигурността на вашия сайт, колкото вие.
Ако дадете вашите акаунти или административни роли на някой, на когото имате доверие, вие значително компрометирате сигурността на вашия сайт. Не казвам, че човек, на когото сте предоставили повишени права, с радост ще хакне вашия сайт, но той може да улесни това без никакво намерение. Помислете за факта, че неговият компютър може да не е толкова защитен като вашия (например, не е инсталиран работещ антивирус) и всичките ви усилия да защитите сайта ще отидат на вятъра.

Ограничете ролите, които давате на хората. Ако просто искате човек да публикува статия, изобщо не се нуждаете от администраторски акаунт.
Но има моменти, когато наистина трябва да предоставите пълни права. Например, помолихте фрийлансър да промени кода на сайта.
В този случай, веднага след приключване на работата, генерирайте нова силна парола и също така създайте нов таен ключ за WordPress, за да изчистите напълно работещите бисквитки.

Актуализирайте вашия сайт и добавки

В началото на тази статия вече отбелязах този проблем като основен източник на заплаха за работата на сайта.

Всеки ден милиони уебсайтове са атакувани. Това позволява на разработчиците бързо да откриват опасни уязвимости и да ги коригират в бъдещи актуализации. Но ако пренебрегнете това правило, всеки ден можете да станете жертва на хакване.
В повечето случаи актуализациите се извършват гладко, просто трябва да погледнете страницата за промяна, където авторът може да посочи някои важни бележки относно подобрения, корекции на грешки и уязвимости.

Ако имате инсталирани повече от 30-50 добавки, процесът на актуализиране не отнема много време и обикновено се случва 2-3 пъти месечно. Справедлива цена за добър сън.

Случва се мързеливи начинаещи разработчици да редактират директно файловете на приставките и актуализирането им става трудно. Но това не може да се избегне по един или друг начин.

Същият проблем възниква при премиум теми, които включват допълнителни премиум добавки като Visual composer, Revolution slider, Layer slider и т.н.

Собствениците персонализират сайта, карат го да работи както искат и разбираемо се страхуват да го актуализират.
На практика след шест месеца или година такива сайтове започват да се разпадат: нещо е актуализирано, нещо не, възникват конфликти, спирачки и т.н.

Това е често срещана ситуация, така че обърнете внимание на две неща:

• направете детска тема— въпрос на минути, но помага за лесно актуализиране в бъдеще;
• дай най-доброто от себе си не редактирайте много код в темата— ако това е необходимо, може би е по-добре да се напише допълнителна функционалност?

По-лесно е, разбира се, да коригирате кода директно в темата, но губите в актуализациите. Защитата на себе си в това отношение е по-висок приоритет.

Задайте силни пароли

Надеждните пароли ви помагат да избегнете груба атака, т.е. някой да познае паролата ви. Ако паролата ви съдържа само 3-4 знака и използвате вход администратор, тогава вашият сайт може да бъде хакнат за по-малко от 1 минута! Помисли за това.

5-6 знака в паролата също не са достатъчни, добрата парола започва с 8 знака. Също така е много важно да не използвате прости думи от речника, а да използвате комбинация от букви в различни регистри, цифри, препинателни знаци и специални знаци.

Разбира се, такава парола не е лесна за измисляне, още по-малко за запомняне и използване. Тук на помощ ще ви дойдат автоматизирани приложения: 1password, keepass, lastpass. Изберете един и ги оставете да се погрижат за съхраняването на вашите пароли.

Използвайте доверени източници

Ако изтегляте добавки от сайтове на трети страни, особено на всички видове wareznik и безплатни торенти, тогава значително застрашавате работата на вашия сайт.

Дори ако посетите страницата на плъгина или темата, от която се нуждаете, и ви се струва, че може да се вярва на неговия автор, всъщност това не е така. Защо?

Тъй като кодът на този плъгин не е тестван по никакъв начин за функционалност и уязвимости, както е направено от екипа за разработка и общността на сайта https://wordpress.org/plugins/, и най-вероятно може да съдържа рисков код дори и без умисъл от страна на автора му .

Като мярка за подобряване на сигурността на WordPressинсталирайте плъгини и теми от официалното хранилище или от хранилищата на много големи компании, в чиято почтеност и репутация сте уверени.

Активирайте антивирусната програма на вашия компютър

Без добра антивирусна програма вероятно е немислима безопасна работа на компютър. Няма да препоръчам нито едно от тях, но добро правило е да използвате реномирана марка и за предпочитане такава с пълно обслужване.
Добрият антивирус независимо актуализира своя код и антивирусни бази данни, така че практически няма да е необходимо да наблюдавате работата му.

Не въвеждайте пароли в обществени Wi-Fi зони

На обществени места, където има Wi-Fi, всеки може да прихване трафика и ако не е криптиран, нападателят може лесно да получи вашата информация.

Използвайте криптиран метод за предаване. Създайте и конфигурирайте SSL сертификати за вашия уебсайт, ще имате спокойствие, знаейки, че сте защитили вашия уебсайт и данните на вашите потребители.

Защитени файлове и системни директории

• Правилни разрешения за файлове и директории

Задайте разрешения на 644 за файлове и 755 за директории, тоест записът е достъпен само за собственика - вие. Това намалява риска от потенциални заплахи, особено при споделен хостинг.
Можете ръчно да промените правата през контролния панел на хостинга или чрез ftp клиент.

Ако имате достъп до обвивката, можете да зададете разрешения с помощта на две команди.

За каталози:

Намерете /path_to_your_wordpress_folder/ -type d -exec chmod 755 () ;

За файлове:

Намерете /path_to_your_wordpress_folder/ -type f -exec chmod 644 () ;

• Защита на важни файлове и директории - (wp-admin/, wp-config.php, wp-login.php, wp-includes)

Защитете /wp-admin/.
На този адрес се отваря конзолата за управление на вашия сайт.

На някои хостинг сайтове можете да създадете парола за тази папка директно в контролния панел

Или можете да го направите ръчно.
За да направите това, трябва да използвате генератора на файлове htpasswd, след което да копирате получения файл на вашия сървър, например в директорията над вашата инсталация на wordpress.

Последната стъпка е да създадете или отворите .htaccess файл в основната папка на вашия сайт и да въведете следния код в него:

AuthName "Wordpress Console" AuthUserFile /path_to_your_file/htpasswd AuthGroupFile /dev/null AuthType basic изисква потребителско име

Заменете необходимите стойности.

Защита на файла wp-login.php.

Ако трябва да ограничите влизането по IP адреси, въведете следните директиви във файла .htacesss:

Поръчка отказва, разрешава Отказва от всички Разрешава от xxx.xxx.xxx.xxx

По този начин първо отказвате достъп от всички източници, след това отваряте достъп само за определени ips. Редът е важен.

Защита на файла wp-config.php.

Преместете този файл от основната папка на wordpress в папка по-горе. Задайте разрешения за файлове на 400 или 440, така че само разрешенията за четене ще бъдат достъпни за вас и вашия сървър.

Ако не можете да прехвърлите файла, включете следния код в най-горната част на .htaccess, което напълно ще деактивира достъпа до wp-config.php:

Поръчка разреши, откажи откажи от всички

Защита wp-включва/.

За да подобрите допълнително сигурността на WordPress, можете да ограничите изпълнението
скриптове в папката wp-includes/. Добавете следния код към .htaccess:

RewriteEngine На RewriteBase / RewriteRule ^wp-admin/includes/ - RewriteRule !^wp-includes/ - RewriteRule ^wp-includes/[^/]+.php$ - RewriteRule ^wp-includes/js/tinymce/langs/.+ .php - RewriteRule ^wp-includes/theme-compat/ -

Ако имате многосайтов режим, коментирайте реда

"RewriteRule ^wp-includes/[^/]+.php$ - "

Не позволявайте на роботите за търсене да обработват страници на услуги

Проверете вашия файл robots.txt.

Потребителски агент: * Disallow: /feed/ Disallow: /trackback/ Disallow: /wp-admin/ Disallow: /wp-content/ Disallow: /wp-includes/ Disallow: /xmlrpc.php Disallow: /wp-

Това са всички сервизни папки на WordPress, които търсачката не трябва да индексира.

Скрийте вашата версия на WordPress от потенциални хакери

Информацията за версията е в заглавката и в RSS емисиите:

За да го премахнете от там, трябва да включите следния код във файла functions.php на активната тема:

Функция wp_remove_version() (връщане ""; ) add_filter("генераторът", "wp_remove_version");

Променете името на администраторския акаунт

По подразбиране WordPress създава акаунт под името администратор, което улеснява хакването с груба сила. Определено трябва да го промените.

За да направите това, отидете във вашата база данни с помощта на приложението phpmyadmin, намерете масата wp_users(префиксът може да варира), ще има записи с идентификационни данни. Отворете потребителския акаунт на администратор за редактиране.

В полето потребителски входпроменете стойността администраторкъм вашето ново предпочитано име за вход и щракнете Отивам.

Променете префикса на базата данни

Ако сте инсталирали CMS от вашия хостинг контролен панел, има голяма вероятност сайтът вече да има променен префикс. Има и готови добавки за това, но можете да го направите и ръчно.

1. Направете резервно копие на вашата база данни с помощта на phpmyadmin;
2. Отворете файла в обикновен текстов редактор и заменете префикса "wp_" със стойността на вашия нов префикс;
3. Деактивирайте всичките си добавки;
4. Изтрийте старата база данни и импортирайте тази с новия префикс;
5. Променете настройките на базата данни във файла wp-config.php, за да използвате новия префикс;
6. Активирайте необходимите добавки;
7. Актуализиране на CNC/постоянни връзки.

Активирайте SSL на вашия сайт

Ако сте получили SSL сертификат, активирайте поддръжката на SSL в wp-файла
config.php:

Define("FORCE_SSL_LOGIN", true); define("FORCE_SSL_ADMIN", true);

Този сайт има сертификат от Cloudflare, който се издава безплатно, но трябва да се свържете и да конфигурирате тази услуга.

Ограничете броя на опитите за влизане

Ако забележите активна brute-force атака в регистрационните файлове на вашия сървър, можете да я предотвратите, като ограничите броя на опитите за влизане с помощта на приставката за ограничаване на опитите за влизане.

Плъгинът не е актуализиран от 2 години, но е преминал през милион инсталации и получи добри отзиви за ефективността си, включително и с текущите версии на WordPress.

Предотвратете редактирането на плъгини и файлове с теми в конзолата за управление

Ако не използвате редактиране на файлове от административния панел, можете да деактивирате тази функционалност, за да увеличите сигурността на сайта. Напишете следния ред във файла wp-config.php:

Define("DISALLOW_FILE_EDIT", true);

Ако вашият сайт е хакнат

1. Деактивирайте сайта
2. Уведомете вашия доставчик на услуги, други сайтове може да са заразени
3. Направете резервно копие на сайта
4. Променете всички пароли във файла wp-config.php
5. Преинсталирайте WordPress, това ще замени файловете на двигателя с нови копия
6. Преинсталирайте темите и добавките отново, за да сте сигурни, че няма оставен зловреден код.
7. Можете също да използвате наличните добавки за търсене на потенциален зловреден код.

Не забравяйте, че ако хакери са откраднали паролата ви и са влезли в сайта, дори след като промените паролата, те пак могат да останат в системата, тъй като работещите бисквитки са в сила. За да ги деактивирате, трябва да създадете нов таен ключ. Отворете

Проблемите със сигурността на WordPress винаги са предоставяли много храна за размисъл. Въпреки че повечето от последните актуализации на тази CMS са свързани със сигурността, има много начини за подобряване на сигурността, които са достъпни дори за най-малко технически разбиращите потребители, дори и без добавки.

Ето някои предложения как да подобрите информационната сигурност за WordPress сайт.

Разработчиците на платформата предлагат свой собствен списък от мерки за осигуряване на защита на сайтовете на WordPress, с които ви препоръчваме да се запознаете. Разбира се, някои от тези препоръки ще бъдат повторени по-долу, но няколко допълнителни практически съвета и инструкции не могат да навредят, когато става дума за сигурност на данните.

Създайте отделен акаунт с права на редактор

Когато пишете или редактирате публикации в блогове, „името на автора“ се появява в долния ляв ъгъл на браузъра, когато задържите курсора на мишката върху името на автора в публикацията. Ако името на вашия автор е същото като името на администратора, вие сте свършили половината от работата на хакерите, за да хакнат успешно сайта ви.

Поправката е проста: създайте нов потребител, който има само права на редактор, и влезте под това име, когато ще публикувате или редактирате нещо в блога. Това име ще се показва на всички ваши публикации; и хакерите ще загубят много време в опити да хакнат вашия блог под потребителско име с предполагаеми администраторски права, което всъщност ви позволява само да пишете и редактирате публикации.

В допълнение, специални плъгини за сигурност за WordPress ограничават опитите за достъп до сайта с конкретно влизане и докладват опити за неоторизирано влизане на определен имейл. По този начин ще разберете дали са правени опити за хакване с реално администраторско име и ще можете да обърнете внимание на сигурността на WordPress сайта, преди нападателите да отгатнат паролата.

Не използвайте прости пароли

Запомнете простата дума СЪД – Сложен, Уникален, Дълъг. Това е мястото, където инструменти като 1Password или LastPass влизат в игра, генерирайки пароли с зададена от вас дължина. В зависимост от нивото на защита, което искате, изберете дължината на паролата в символи (20 знака обикновено са достатъчни) и включете рядко използвани знаци като # или *.

"123456" не е парола. “qwerty” е еквивалентно на изписването на неговия ПИН код върху банкова карта. Дори „starwars“ беше включена в списъка с 25-те най-често срещани пароли за 2015 г. Не забравяйте, че не сте толкова уникални, колкото си мислите.

Добавяне на двуфакторно удостоверяване

Дори и да не използвате потребителското име admin и да зададете силна, произволно генерирана парола, атаките с груба сила остават проблем. За да се намали рискът от такова проникване, методите като двуфакторно удостоверяване са ключови.

Да, двуфакторното удостоверяване е караница. Но сега това е вашият Форт Нокс. Неговата същност за защита на WordPress сайт се крие, както подсказва името, в две форми на оторизация. Днес това е стандарт, който подобрява сигурността на вашите точки за достъп. Вече използвате двуфакторно удостоверяване за Gmail и Paypal (поне трябва). Така че защо не добавите WordPress към списъка?

Има специален плъгин на Google Authenticator за внедряване на инструмента. Алтернативен вариант с малко по-различен подход и същия резултат е Rublon Plugin.

Използвайте принципа на най-малките привилегии
Екипът на WordPress.org е събрал отлична статия в кода на WordPress, уреждащ потребителските роли и разрешения. Не забравяйте да прочетете този документ, който се отнася директно до тази стъпка.

Принципът на най-малките привилегии е много прост - дайте достъп само до:

- нуждаещите се;

- когато имате нужда;

- за периода от време, който е необходим.

Ако някой се нуждае от административни права, за да промени конфигурация, дайте им ги, но откажете достъп веднага след завършване на задачата.

Добрата новина е, че тези стъпки няма да ви отнемат много време.

Противно на общоприетото схващане, не всеки потребител, който има достъп до вашия WordPress сайт, трябва да получи администраторски права. Дайте на хората достатъчно права за достъп, за да изпълняват задачите си, и значително ще намалите риска за сигурността на вашия WordPress сайт.

За този вид настройка сигурност на wordpress има плъгин: Google Authenticator. Алтернатива, която използва малко по-различен подход за същата цел, е плъгин

Скрийте файловете wp-config.php и .htaccess

Това е сравнително лесно да се направи, но грешки в процедурата могат да направят вашия сайт недостъпен. Създайте резервно копие и едва след това продължете с промените.

Отидете на Инструменти => Редактор на файлове, за да редактирате файла .htaccess. За да повишите нивото на сигурност и защита на файла wp-cnofig.php, трябва да добавите следния код към файла .htaccess:

Той ще блокира неоторизиран достъп до файла wp-config.php. Подобен код може да се използва за защита на самия файл .htaccess: поръчка позволявам, отказвам отказвам от всички

Можете сами да направите тези промени, тук няма нищо сложно.

Използвайте ключове за сигурност на WordPress за удостоверяване

Ключовете за удостоверяване и солните ключове работят заедно един с друг, за да защитят вашите бисквитки и пароли, докато предават данни между вашия браузър и уеб сървъра. Тези ключове за удостоверяване са изградени върху набор от случайни променливи. Те повишават сигурността (криптирането) на информацията в бисквитките.

За да ги промените във файла wp-config.php, просто вземете нов набор от ключове тук - https://api.wordpress.org/secret-key/1.1/salt/ - и го добавете към файла. Когато опресните посочената страница, ключовете се променят, така че всеки път ще получавате нов комплект.

Деактивирайте редактирането на файлове

Най-лесният начин да промените вашите файлове е да получите достъп до елемента от менюто на WordPress „Външен вид => Редактор“. За да повишите нивото си на защита, трябва деактивирайтевъзможност за редактиране на файлове през конзолата. Отворете файла wp-config.php и добавете реда

Define("DISALLOW_FILE_EDIT", true);

Все още ще можете да правите промени в шаблони чрез FTP достъп, но сега никой няма да може да ги променя с помощта на инструменти в конзолата на WordPress.

Ограничете броя на опитите за влизане

Целта на атаките с отгатване на ключове е формата за влизане в сайта. Плъгинът All in One WP Security & Firewall ви позволява да промените пътя по подразбиране (/wp-admin/) към този формуляр за въвеждане. Освен това с помощта на специални плъгини можете да ограничите броя на опитите за въвеждане от определен IP адрес.

Селективно използване на интерфейса XML-RPC

XML-RPC е интерфейс за програмиране на приложения (API), който се използва навсякъде. Той е достъпен от огромен брой плъгини и теми, така че по-малко технически потребители трябва да бъдат особено внимателни, когато експериментират с този инструмент.

Въпреки че е практична стъпка, деактивирането на XML-RPC може да бъде скъпо. Ето защо не се препоръчва да го деактивирате напълно, а да обърнете по-голямо внимание кои програми се опитват да получат достъп до този интерфейс и как. Има много добавки, които помагат при селективно внедряване и деактивиране на XML-RPC.

Хостинг и сигурност на WordPress

Собствениците на уебсайтове често се оплакват, че техните хостинг компании не помагат за защитата на уебсайта им от хакване или изобщо не разбират нищо за защитата на уебсайтове в платформата WordPress.

Хостинг компаниите просто виждат вашия сайт по различен начин. Няма ясни правила за избор на WordPress хостинг, но това е наистина важно, когато става дума за мерки за подобряване на защитата срещу неоторизиран достъп.

Буквално всяка статия за избор на хостинг започва с думите, че евтиното не означава най-доброто. Най-евтините тарифни планове няма да ви помогнат да се предпазите от хакерски атаки. Такива пакети включват минимална защита на ресурсите, като например предварително инсталирана защитна стена на уебсайт.

Споделеният хостинг означава, че сървърът, на който се намира вашият ресурс, е дом и на други сайтове. Те може да имат свои собствени проблеми със сигурността, които засягат сигурността на вашия сайт.

При което Сигурност на WordPress , е може би едно от основните предимства, които хостинг компаниите предлагат в специализираните WordPress планове.

Това обикновено включва резервни копия, резервна защитна стена, сканиране на файлове за злонамерен софтуер, защита срещу и автоматични актуализации на WordPress. Освен това всичко това се предлага, като правило, на много разумна цена.

Не забравяйте за вашия хостинг акаунт

Един от най-големите проблеми с хостинга е свързан с конфигурацията на акаунта за собственика на сайта. Потребителят може да инсталира и конфигурира толкова сайтове, колкото желае, което допринася за появата на „безплатна столова“ за зловреден софтуер в системната среда.

Проблемът е уместен, защото в много случаи уеб ресурс може да бъде хакнат чрез метод, известен като инфекция между сайтове, където векторът на атаката е съседен сайт. Нападателят преодолява защитата на север и след това започва да прониква в съседни сайтове, разположени на този сървър.

Най-добрият начин да се предпазите от този тип хакване е да създадете два акаунта. Единия от тях използвате като работна среда и в него хоствате само активни сайтове, а втория като междинна среда, в която съхранявате всичко останало.

Бъдете в крак с най-новите актуализации

Лесно е да се говори за поддържане на нещата свежи. Но за собствениците на уебсайтове това означава ежедневна усърдна работа. Нашите уебсайтове са сложни същества. Има десетки събития, които се случват на тях по всяко време, така че понякога може да е трудно да се направят незабавни промени.

Скорошни изследвания показват, че 56% от инсталациите на WordPress използват остарели версии на платформата.

Актуализациите трябва да засягат не само ядрото на платформата. В споменатото проучване се посочва още, че голям брой хакерски атаки използват остарели, уязвими версии на плъгини.

Как да изберете сигурни плъгини и теми за WordPress

Повечето потребители предпочитат да инсталират плъгини и теми безразборно на своите уебсайтове. Това е глупаво, освен ако не инсталирате на тестов сървър с единствената цел да тествате функционалността на определена тема или плъгин.

Повечето добавки и много теми са безплатни. И ако авторите поддържат своите продукти за забавление, а не като част от някакъв сериозен бизнес модел, едва ли са отделили много време за проверка на уязвимостите и сигурността на тези продукти.

Как да изберем правилния плъгин за wordpress

Както бе споменато по-горе, безплатните теми и добавки са потенциална заплаха за сигурността на уебсайта. Когато добавяте тези елементи към вашия сайт, не забравяйте да проверите тяхната оценка, например в WordPress.org.

Но само пет звезди няма да кажат нищо за надеждността на плъгина; в зависимост от нишата, той трябва да има определен брой отзиви. Ако достатъчно хора смятат, че това е страхотен продукт и отделят време да го оценят, можете да го изпробвате на собствения си сайт.

Друго нещо, което трябва да проверите, е уместността на приставката или темата. Ако не е имало актуализации през последните две години, WordPress ще отчете това. Липсата на актуализации не означава непременно, че приставката е лоша.

Може би авторът просто не е трябвало да прави корекции в работната програма. Не се препоръчва обаче да инсталирате добавки, които не са актуализирани дълго време. Оценката ще ви разкаже за ефективността на избрания елемент и неговата съвместимост с текущата версия на WordPress. Цялата тази информация може да се види на страницата на плъгина на WordPress.org.

Заключение

Ако сте прочели тази статия до края, тогава просто трябва да вземете допълнителни мерки, за да защитите своя WordPress сайт. Добавете проверка на сигурността на вашия ресурс към списъка си с ежедневни действия. Това трябва да стане същата ежедневна рутина на всеки собственик на уебсайт като редовното добавяне на нови публикации и страници.

Не забравяйте за редовното създаване на резервни копия, за което платформата има много надеждни добавки. Вярно, те не са част от политиката за информационна сигурност, това са по-скоро административни и сервизни задачи.

Предоставихме далеч не пълен списък на това, което може да се направи, за да защитите вашия сайт от хакване. Но се надяваме, че нашите практически съвети ще ви помогнат да осигурите поне първото ниво на информационна сигурност за вашия ресурс.

Помня Сигурност на WordPress никога не е абсолютно.

Така че да усложняваме живота на хакерите е нашата работа като собственици на уебсайтове.