Защита сайта на WordPress от взлома

Защита сайта на WordPress – важная задача, как для новичка, который запустил свое детище несколько дней-недель назад, и для собственника seo-империи.

К сожалению, вы не в полной мере сможете противостоять взлому блога, работающего на WordPress, так как это самый популярный движок из-за чего многим, даже начинающим хакерам, известны дыры в коде, уязвимости в дополнениях.

Если Вы являетесь обладателем молодого ресурса, придется противостоять немногим недоучкам-взломщикам или людям, которые делают первые шаги в этой сфере. Если Ваш блог начинает набирать обороты, то Вами начинают интересоваться конкуренты.

Итак, Вы установили блог. Опубликовали десяток заметок, через некоторые время счетчик насчитал первую сотню посетителей. Может самое время задуматься о том, как защитить блог от взлома?

Первое

Когда Вы создавали аккаунт на хостинге, придумайте и запишите логин и пароль от него в тетради, а не в блокноте, и не сохраняйте документ в моих документах под названием «Мои пароли». Логин создастся один раз при регистрации, его не возможно сменить, Вы только можете создать новый аккаунт и перенести свои блоги, заказать перевод средств.

Когда придумываете пароль и логин используйте как можно больше неповторяющихся букв и цифр, лучше всего вперемешку, не забывайте о возможности изменять регистр.

Скачивайте установочный дистрибутив на официальном сайте wordpress, обходите стороной сборки. Логин и пароль к админ-панели WordPress можете задать при установке движка на хостинг. На момент написания статьи администратор блога может сменить только пароль в своем профиле. Логин меняется путем редактирования базы данных. Об этом я написал очень подробную инструкцию, ее прочтете здесь.

В качестве логинов не используйте банальные слова: admin, administrator, собственное имя, фамилию, отчество, прозвище, игровой или сетевой ник, дату рождения, имена близких родственников, либо простых их комбинации. Обычно такую информацию можно получить, посетив Ваши страницы в социальной сети.

При формировании пароля можете использовать латинский буквы, кириллицу, цифры.

Второе

Изменить префикс таблиц БД возможно двумя способами:

• во время установки WordPress на хостинг
• на работающем блоге.

Третье

Не позволяйте регистрироваться на вашем блоге посетителям. Пока Ваш ресурс малоизвестен, интерес со стороны обычных посетителей к нему минимален. А вот злоумышленники смогут на нем потренироваться. Когда настанет время дать избранным больше прав, используйте другие методы предоставления закрытой информации, чем банальная регистраций: закрытый раздел, платный доступ.

Четвертое

Используйте самую новую версию CMS WordPress, вовремя обновляйтесь: через 2 – 3 дня после появления нового релиза. Благо движок оповестит об этом вовремя, а после появления  версии 3.7, он это сделает в автоматическом режиме.

Удаляйте файлы readme.html и license.txt, они находятся, в корне Вашего сайта(рядом с каталогом wp-admin).

Обновите все установленные плагины. Они сами Вас уведомят о возможности это сделать. Не используйте много дополнений, если у Вас есть выбор между установкой плагинов и интеграцией PHP-кода в код шаблона или движка, отдайте предпочтение второму варианту. К примеру, существуют плагины, выводящие кнопки социальных сетей, формы комментирования от Facebook, VK и так далее. Найдите им альтернативу.

Постарайтесь не устанавливать плагины, которые добавляют свой код в общий код страницы, к примеру это делает общеизвестный плагин All in One SEO Pack.

Перед установкой тем Wordpess убедитесь, что в ней нет скрытых ссылок с помощью плагина TAC, не устанавливайте слишком «тяжелый шаблон». Он может представлять опасность для Вашего сайта.

Пятое.

 Наберите в вашем браузере адреса:

• http://ваш блог/wp-content/
• http://ваш блог/wp-content/plugins/

Если отображаются названия подкаталогов, которые находятся в каталоге wp-content, значит кто-то удалил файл index.php. Их можете найти в скачанном дистрибутиве на официальном сайте WordPress. можете просто создать пустой файл index.php.

Шестое

Когда человек наберет в адресной строке браузера адрес админ-панели Вашего блога, в форму авторизации впишет неправильный пароль или логин, то вверху появляется сообщение об ошибке на красном фоне.

Откройте functions.php программой Notepad++, он размещен в каталоге Вашей установленной темы. В самом вверху или в низу впишите такую строку:

Она обязательно должна находиться между . После внесенного изменения при ошибочной авторизации на блоге WordPress мы сможем увидеть только красный фон, без уведомления, где именно была допущена ошибка.

 Седьмое.

Во время установки движка или обновлении ввести сложные секретные коды в wp-config.php

Они предназначены для аутентификации посетителя, после изменения ключей происходит сброс всех cookies, и посетителю придется заново вводить пароль и логин.

Восьмое.

Поместите  в файл .htaccess ниже размещенный код:

<Files wp-config.php>
order allow,deny
deny from all
</Files>

<Files .htaccess>
order allow,deny
deny from all
</Files>

Он закроет доступ к файлу wp-config.php и .htaccess.

Девятое.

В каталоге wp-admin отредактируйте файл .htaccess, вставив в него такой код

Замените 95,133,141,149 на свой ip, его поможет определить http://2ip.ru/.

Десятое.

Если публикуете заметки с помощью программы Windows Live Writer, не позволяйте ей запоминать логин и пароль, каждый раз вводя из вручную. То же касается и файлового менеджера, к примеру FileZillla, или Microsoft Word.

Когда выполняете вход в админ панель блога, не позволяйте браузеру запоминать пароль, время от времени чистите куки, удаляйте историю. Выделите для работы с Вашим блогом один браузер, серфите по интернету с помощью любого другого браузера.

Одиннадцатые

Измените содержание одной строки в файле version.php, который находиться в каталоге wp-includes.

$wp_version = '3.6';

Вместо числа 3.6, которое указывает на версию используемого движка, впишите свои. К примеру, я могу их заменить на 3,72. Тогда движок мне укажет о необходимости обновляться сражу же после того, как появиться WordPress 3.73. Потенциальные взломщики, просматривая код страницы, не получат от этого ничего.

или в файл в functions.php шаблона поместить  строку:

remove_action ('wp_head', 'wp_generator');

Двенадцатое

Установите плагин anti-xss-attack — защитит блог от XSS-атак. Суть его работы в следующем: когда проходят посетители по адресу админки появляется белый экран, в верху которого появляется ссылка. Чтобы перейти на страницу входа в админ панель нужно по ней кликнуть. Многие этого не смогут сделать.

Установите плагин Login LockDown — он позволяет ограничить количество неудачных ввода логина и пароля, а так же время пребывания на страницы авторизации. Если кто-то(или Вы) не успели пройти успешную авторизацию на блоге, плагин пресекает попытки дальнейшего входа в админку блога. Его альтернатива — плагин Limit Login Attempts.

Тринадцатое

Заказывайте бекап файлов и БД на хостинге хотя бы раз в 3 – 4 дня, если конечно Вы часто пишите. Если же публикуется 1 заметка в неделю, то и бекапить блог можно раз в неделю.

Четырнадцатое

• Установите плагин WordPress WP-DB-Backup, http://wordpress.org/extend/plugins/wp-db-backup/ Он позволяет настроить авто рассылку резервных копий базы данных на электронный ящик или сохранить ее на жесткий диск.
• WP-DBManager — http://wordpress.org/plugins/wp-dbmanager/ позволяет наладить получение резервной копи БД, оптимизировать блог, но он обладает более расширенными настройками.
• wp Time Machine (for Backups) — http://wordpress.org/plugins/wp-time-machine/ позволяет создавать резервную копию файлов и БД и отправлять ее на Dropbox, Amazon's S3, указанный FTP-host.

Надеюсь, прочитанные рекомендации по защите блога от взломе на seomans.ru, упростят Вашу жизнь.