Vadimon's Blog. Блоггерам и вебмастерам

WordPress, конечно же, хороший движок для блога, но он не защищен от хакерских атак, спамеров, взломщиков аккаунтов и прочей «нечисти», бродящей в сети Интернет. А это значит, что безопасность вашего блога находится под большой угрозой.

WordPress является движком с открытым исходным кодом, поэтому исследование его внутренней структуры на наличие уязвимостей не представляется большой сложностью для злоумышленников.

Хорошо, что есть специальные меры, которые помогут вам обезопасить свой блог от этих неприятностей.

В этой статье я расскажу о нескольких методах и специальных хаках, которые помогут укрепить безопасность WordPress.

1. Регулярно создавайте резервную копию базы данных MySQL

Возьмите за правило регулярно сохранять копии файлов своего сайта или блога, ну и, конечно же, копию базы данных MySQL.  Для сохранения базы данных, экспортируйте ее в формат sql и храните в безопасном месте.

Рекомендую ежедневно делать резервную копию базы данных. Даже, если вы не каждый день обновляете свой блог, то все равно будете получать комментарии к своим статьям и трекбеки, а они могут быть утеряны.

Согласитесь, резервное копирование базы данных вручную, да еще и каждый день утомительное и нудное занятие. Не удивлюсь, если с каждым днем вы будете резервировать свою базу данных все реже и реже. Чтобы не повторяться каждый день, нужно автоматизировать этот процесс.

Для автоматизации резервного копирования есть специальный плагин, называется он WordPress Database Backup. Можно делать резервные копии так часто, как вам это захочется. Плагин предоставляет возможность делать это ежемесячно, еженедельно, ежедневно, да хоть ежечасно. Это очень удобно, имея резервную базу, можно быстро восстановить работу своего ресурса. Существуют и другие инструменты для автоматизации сохранения копии базы данных, каким именно пользоваться – решать вам.

2. Примите дополнительные меры для защиты вашей wp-admin папки.

Папка wp-admin содержит все ваши файлы, которые отвечают за администрирование вашего блога и поэтому ее защита является самым приоритетным. Угрожая ей, злоумышленники угрожают также  всему вашему ресурсу и домену.

Эффективным способом защитить вашу администраторскую папку – это ограничение доступа IP-адресов, которые могут получить доступ к файлам через файл .htaccess (для сервера Apache). Если у вас другой тип сервера, то изучите инструкции, как разрешить доступ к вашим файлам для данного типа сервера.

Создайте новый документ в обычном текстовом редакторе, например блокноте, и сохраните его под именем .htaccess.

Вписываете в только что созданный файл следующие строчки:

order deny, allow
allow from 123.456.78 #Свой IP-адрес
deny from all

Сохраняете файл и помещаете его в папку wp-admin.

Как видно, доступ к папке администрирования разрешен только для вашего IP-адреса. А что делать, если у вас динамический  IP-адрес или вы решили зайти в свою панель администрирования с другого компьютера? Явно неудобно…

Попробуйте плагин AskApachePasswordProtect, он добавляет такую функцию безопасности, как ввод имени пользователя и пароля к любой странице панели администрирования. Дополнительно плагин пишет файл .htaccess автоматически, если вдруг вы не знакомы с Apache.

Таким же способом можно установить защиту и на любую другую папку или страницу.

3. Не показывайте номер версии  вашей WordPress публично.

Некоторые разработчики WordPress часто отображают номер версии своей WordPress на блоге либо в исходном коде. Опубликовав номер версии, вы тем самым облегчаете работу злоумышленникам, ведь зная номер версии вашей WordPress, они заранее знают об уязвимостях конкретно данной версии.

Тогда зачем рисковать, лучше удалить этот код. Для этого в файле header.php вашей темы ищете и удаляете следующий код:

4. Установите последнее обновление WordPress

Старайтесь использовать самую последнюю версию WordPress, ведь новая версия выходит с обновлениями, в которых исправлены уязвимости, обнаруженные в более ранних версиях, а это значит, что у вас также появляется возможность обезопасить свой блог или сайт.

Не поленитесь обновить WordPress, обновление займет не более пяти минут.

5. Не используйте (а лучше всего, удалите) имя пользователя по-умолчанию «admin»

При начальной установке WordPress, по-умолчанию вам присваивается имя пользователя «admin».

Настоятельно рекомендуется не использовать имя пользователя, присвоенное по-умолчанию. Зная ваше имя, злоумышленникам останется подобрать только пароль, поэтому измените имя на что-то более оригинальное и сложное.

Чтобы удалить имя пользователя по-умолчанию, создайте нового пользователя  со сложным именем и присвойте ему права администратора. Затем удалите пользователя с именем «admin».

Можно воспользоваться плагином Login Lockdown Plugin, суть которого заключается в том, что он записывает ip-адрес, с которого осуществляется доступ к папке администрирования и всю онформацию о нем  в log-файл. Если число неудавшихся попыток входа за короткое время превышает максимально разрешенный, то данный ip-адрес блокируется и никакие другие попытки входа на сайт не разрешаются. В настройка плагина можно задать временной интервал и количество попыток.

6. Используйте надежный пароль

Использование сложного надежного пароля является, пожалуй, одним из самых простых способов для обеспечения безопасности. Существует много сервисов для проверки надежности пароля. У компании Microsoft тоже есть сервис для проверки надежности пароля,  можете им воспользоваться.

7. Измените префикс таблиц базы данных WordPress, установленный по-умолчанию

По-умолчанию, WordPress использует wp_ в качестве префикса в своих таблицах базы данных. Чтобы еще добавить безопасности, можно изменить этот префикс на какой-нибудь другой.

Префикс может содержать в названии только буквенные символы и цифры, поэтому можете изменить префикс по-умолчанию на другой, например w0rdprss_ или yourblogname_.

Чтобы изменить префикс, сделайте соответствующее изменение в файле wp-config.php.

$table_prefix = 'wp_';

8. Испоользуйте правильные права доступа к файлам

Для файлов и папок WordPress используются различные права доступа. Чтобы проверить WordPress на наличие уязвимостей, воспользуйтесь плагином WP-Scan. Этот плагин сканирует ваши файлы и выдает информацию о возможных уязвимостях.

Этот плагин сканирует ваши файлы и выдает информацию о возможных уязвимостях.

А вы поддерживаете такие советы? Если у вас есть еще советы для обеспечения безопасности WordPress, поделитесь ими в коментариях.