Доброго времени суток, посетители inetsovety.ru! Сегодня я хочу рассмотреть следующий вопрос: защита блога на WordPress.
Это один из важных вопросов, о решении которого нужно позаботиться сразу же после создания блога на WordPress. Я постараюсь перечислить основные способы защиты блога на WordPress.
Защищаем вход в панель администратора
- Данные для доступа в админку. Придумайте сложный пароль для доступа в админку, а также смените стандартное имя админ, на любое другое свое. Для этого создайте нового пользователя с новым именем и установите ему права доступа администратора. После этого выйдите из админки и зайдите под новыми данными. После этого удалите учетную запись админа. Сделав это Вы обезопасите блог от взлома.
- Пароли. Не храните пароли от админ панели в браузере. Если Вы используете Total Commander для FTP-доступа к сайту, то тоже не рекомендуется хранить там пароль. позаботьтесь о защите своего компьютера — установите хороший антивирус и файерволл.
- Ограничение на количество попыток входа в админку. Установите плагин Login LockDown, который автоматически настроен на ограничение неудачных попыток входа в админку. Дается 3 попытки для ввода данных, после этого доступ к странице будет заблокирован на час. Подробнее о защите админки https://inetsovety.ru/kak-zashtitit-adminku-wordpress/
- Последняя версия WordPress. Используйте последнюю версию движка WordPress, а также не забывайте обновлять плагины до последних версий. Как обновить движок WordPress написано тут.
Скрываем версию WordPress
Установите плагин, который скрывает версию WordPress при просмотре кода страницы. Этот плагин называется Replace WP-Version. Если не хотите создавать дополнительную нагрузку плагином, то тогда Вам нужно в файле header.php удалить следующую строчку кода:<meta name=”generator” content=”WordPress <?php bloginfo (’version’); ?>” />.
Как посмотреть версию движка, который установлен на Вашем сайте. Зайдите в админку и в самом верху перейдите в пункт меню Консоль — Главная. Если Вам предлагают обновиться до новой версии, то не игнорируйте это предложение и уделите пару минут обновлению.
А как узнать какая версия WordPress у любого другого блога? Нужно открыть исходный код страницы анализируемого сайта, нажав комбинацию клавиш CTRL+U и в самом верху найти мета тэг:
<meta name="<a>generator</a>" content="<a>WordPress 3.4.2</a>" >;
Есть два способа скрыть версию движка WordPress.
- Установите плагин Replace WP-Version. Все что нужно — установить и активировать его. И он сам скроет информацию о версии вордпресс.
- Добавить в файл functions.php небольшой код:
remove_action('wp_head', 'wp_generator');
Проверяем шаблон блога на уязвимости
На безопасность Вашего блога может повлиять тема, которую Вы скачали из интернета и в которой содержится зашифрованный код. Поэтому следует проверить установленную тему на наличие скрытых кодов плагином TAC.
О том, какие скрытые угрозы вас могут ожидать в бесплатном шаблоне из интернета читайте по ссылке https://inetsovety.ru/skrytye-ugrozy-v-besplatnyh-shablonah/
В админке блога находим раздел Плагины — нажимаем Добавить новый — и в открывшемся окне вводим в строку поиска его название: TAC.
Устанавливаем плагин TAC и активируем его. Для открытия страницы плагина, найдите в разделе Внешний вид — нажмите TAC. Откроется страница на которой будут представлены результаты поиска закодированных ссылок по всем установленным темам на сайте. Вот пример темы, в которой найден зашифрованный код «base64_decode» в файле сайдбара.
Зашифровали эту ссылку для того, чтобы вы не смогли ее сразу удалить. Расчет идет на то, что вы как новичок, смиритесь с ее наличием. Предлагаю вам самостоятельно разобраться тем, как удалять подобные ссылки. Вопросу как удалить ссылки в шаблоне WordPress посвящена отдельная статья, прочтите ее.
Защита файлов сайта
- WP-Security Scan. Данный плагин подскажет, какие уязвимости есть на Вашем блоге и что нужно исправить. Подробнее о плагине WP-Security Scan я напишу в отдельной статье. К примеру, он показывает какие права сейчас стоят на папках и какие должны быть, чтобы обеспечить защиту блога на WordPress.
- Доступ к папкам. Введите в адресную строку по очереди эти адреса
http://ваш домен/wp-content/
http://ваш домен/wp-content/plugins/
По каждой из ссылок должна открыться чистая страница. Если же открывается список фалов или что-то другое, то Вам нужно поменять права доступа к папкам. - Хостинг. Какое отношение к безопасности блога имеет хостинг — скажете Вы. Да самое прямое. На форумах иногда можно встретить темы, в которых люди пишут, что их блог погиб из-за некачественного хостинга, который взломали. Выбирайте для своего сайта сразу качественный и надежный хостинг, который обезопасит Ваш блог от подобных проблем в будущем.
Делайте бэкапы
Не поленитесь и установите плагин WordPress Database Backup, который автоматически делает резервные копии базы данных и отправляет на указанный имейл. Также, если Вы решили доработать стандартный шаблон и сделали кое-какие правки в файлах темы, то потратьте в минуты и скачайте на компьютер папку с обновленным шаблоном. В случае чего, у Вас будет под рукой и архив базы данных и темы, что позволит восстановить блог за пару минут.
Скачайте последнюю версию плагина WordPress Database Backup с сайта
После успешной установки и активации, зайдите в раздел Инструменты – Резервное копирование:
На странице настроек плагина WordPress Database Backup можно указать дополнительно какие таблицы базы данных сохранять, кроме основных. Сделать резервную копию базы данных и сохранить ее на компьютер или отправить на имейл. А также задать расписание автоматического создания резервной копии базы данных и отправки ее на имейл:
На установку и настройку плагина WordPress Database Backup у Вас уйдет пару минут, но зато в будущем в случае чего это сохранит Вам кучу нервов и времени.
Надеюсь эти советы помогут Вам сделать свой блог более безопасным. Защита блога на WordPress важна, если Вы не хотите в один день потерять результаты работы и начинать все с чистого листа.
Если Вам известны другие методы защиты блога на WordPress, которых нет в списке, то пишите их в комментариях.