WebTutorWordPressУсиление мер безопасности в WordPress — 1 Часть

Усиление мер безопасности в WordPress — 1 Часть

Первая часть посвящена теме, которая расскажет о том, как сделать свой сайт WordPress надежно защищенным от взлома. Так, что сейчас поговорим про усиление мер безопасности в WordPress.

Возможно вас заинтересует еще темы:

Блокировка по IP для страницы авторизации WordPress сайта.

Усиление мер безопасности с помощью плагинов — 2 часть.

5 плагинов для безопасности сайта на WordPress.

Как забанить пользователя WordPress.

Очень актуальным является вопрос о безопасности WordPress платформы. Программного обеспечения большое разнообразие. Недостатки есть, скорее всего, везде. Частые обновления не говорят о том, что код плохо написан или же программа не имеет защиты от внешних угроз. Разработчики и хакеры ведут вечную борьбу, которая была, есть и будет. Поэтому, такая масштабная платформа как WordPress не может остаться без внимания взломщиков.

Что является важным? Быстрая реакция на некоторые случаи, а также возможное их предвидение. WordPress отличается тем, что сообщество разработчиков этой платформы может устранить проблему в день ее возникновения. Также над безопасностью ядра WordPress работает целая команда. Нужно понимать, что 100% гарантии безопасности никто не сможет дать, но нужно стремиться все же ее увеличить.

Меры повышения безопасности WordPress. Файл htaccess

Если сайт размещен на веб-сервере Apache, а в настройках Постоянных ссылок включено «Название записи», тогда WordPress создаст соответствующий файл с именем .htaccess. Этот файл предназначен для сохранения инструкций по настройке ссылок, параметров безопасности и многого другого. Однако, если настройки постоянных ссылок не менялись, то такой файл .htaccess не будет создаваться ядром. Будут актуальными следующие советы для применения, а файл можно вполне создать самостоятельно.

Совет следующий – если возникли трудности при создании файла .htaccess, то необходимо просто загрузить файл с любым придуманным именем и после этого изменить название и расширение в FTP клиенте. После переименования  необходимо просто добавить приведенные ниже строки в файл:

# protect .htaccess
<Files .htaccess>
   order allow,deny
   deny from all
</Files>

Воплощение данного совета поможет защитить файл .htaccess от жаждущих получить к нему доступ. После необходимо отключить показ содержимого папок:

# disable directory browsing
Options All -Indexes

Это дает возможность избавить всех от просмотра содержимого ваших папок. То есть с этим «трюком» посторонние увидят лишь ответ сервера 403 Forbidden.

Стоит упомянуть о «черном списке» от Perishable Press: The 5G Blacklist. Такой список является защитой вашего сайта от вредоносной активности, например: вредные строки запроса или пользовательские агенты.

Безопасность сайта WordPress — файл wp-config.php

Если говорить о безопасности, то стоит понимать, что файл wp-config.php – самый значимый файл во всей установке WordPress. Определенные действия, которые проводятся над ним, помогут в дальнейшем повысить безопасность сайта в целом.

Есть первое интересное действие, которое предлагается вам сделать: разместите файл wp-config.php на уровень выше в корневом каталоге WordPress. Обычно устанавливается WordPress в директориях public_html, а файл wp-config.php внутри root. Теперь необходимо вернуться к файлу .htaccess и добавить не приведенные строки, которые запрещают доступ к файлу wp-config.php:

# protect wpconfig.php
<files wp-config.php>
    order allow,deny
    deny from all
</files>

Второе действие – удалить разрешение на редактирование темы, файлов и плагинов. Для этого необходимо добавить строку в файл wp-config.php:

define( 'DISALLOW_FILE_EDIT', true );

Для отключения возможности установки или удаления плагинов вообще, необходимо под вышеприведенную строку добавить следующее:

define( 'DISALLOW_FILE_MODS', true );

Есть еще два варианта улучшить безопасность WordPress:

  • изменить префикс базы данных. Здесь необходимо проверить, установлен ли префикс базы данных как значение по умолчанию. Для этого нужно найти такую строку:
$table_prefix  = 'wp_';

Если в этой строке задано значение wp, то его просто нужно поменять на какое-нибудь другое из букв и цифр. Даже запоминать это значение не придется. В базе тоже не забудьте поменять, а лучше при установке WordPress сразу менять префикс;

  • добавить ключи безопасности (salt-ключи) в файл wp-config.php. Для изменения ключей безопасности нужно убедиться, что ключи пустые. Для этого найдите следующие строки:
/**#@+
 * Authentication Unique Keys and Salts.
 *
 * Change these to different unique phrases!
 * You can generate these using the {@link https://api.wordpress.org/secret-key/1.1/salt/ WordPress.org secret-key service}
 * You can change these at any point in time to invalidate all existing cookies. This will force all users to have to log in again.
 *
 * @since 2.6.0
 */
define('AUTH_KEY',         'put your unique phrase here');
define('SECURE_AUTH_KEY',  'put your unique phrase here');
define('LOGGED_IN_KEY',    'put your unique phrase here');
define('NONCE_KEY',        'put your unique phrase here');
define('AUTH_SALT',        'put your unique phrase here');
define('SECURE_AUTH_SALT', 'put your unique phrase here');
define('LOGGED_IN_SALT',   'put your unique phrase here');
define('NONCE_SALT',       'put your unique phrase here');

Если во всех них написано: ‘put your unique phrase here’ – значит, что ключи еще не установлены. Поэтому, вам необходимо перейти вот по этой ссылке: https://api.wordpress.org/secret-key/1.1/salt/ и скопировать сгенерированные ключи на этой странице.

Просмотров: 38

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *