В наши дни ведение блога стало хобби для очень многих людей, и WordPress является наиболее предпочтительной платформой для этого. По умолчанию блоги WordPress используют минимальный уровень безопасности, а также его файлы и / или плагины часто могут быть устаревшими. Эти файлы отслеживаются и уязвимы для лёгкого взлома. Интернет не является безопасным местом для работы, и нужно знать, как его обезопасить.
В этой статье рассматриваются некоторые простые советы и методы, которые могут быть реализованы новичками, чтобы обеспечить безопасность своих блогов и информации, хранящейся в WordPress.
- Используйте уникальное безопасное имя пользователя и пароль
- Включение двухэтапной аутентификации
- Использование плагина
- Переместите wp-config на один каталог вверх и заблокируйте его
- Держите WordPress в актуальном состоянии
- Изменение прав доступа к файлам
- Планирование регулярного резервного копирования данных
- Удалите readme и все ненужные файлы
- Включение входа через SSL
- Спросите Apache Password Protect
Используйте уникальное безопасное имя пользователя и пароль
- Избегайте использования администратора по умолчанию.
- Пользователь также может создать нового пользователя с правами администратора и удалить старое имя пользователя admin.
- Плагин WordPress, такой как Username Changer,также можно использовать для изменения имени пользователя на более безопасное. Старайтесь избегать использования общих имён пользователей, таких как ваше имя или «администратор», которые легко угадываются.
- Выберите сложный пароль, состоящий из букв, цифр и символов. Не выбирайте пароль, похожий на имя пользователя, название веб-сайта или простое слово с небольшими изменениями.
- Предпочтительно рекомендуется использование случайной строки символов.
Включение двухэтапной аутентификации
- У пользователя должна быть учётная запись WordPress, которую можно создать. Если у пользователя уже есть учётная запись WordPress, пропустите этот шаг.
- Щёлкните здесь, чтобы включить двухэтапную проверку. Пользователь перенаправляется на следующую страницу.
- После нажатия кнопки «Начать работу» появляется следующий экран.
- Выберите вариант «Подтвердить через SMS».
- WordPress отправит проверочный код по SMS, который пользователь должен ввести для проверки номера.
- Правильно введите код, отправленный на ваш мобильный телефон. Затем необходимо предоставить несколько резервных кодов, которые можно использовать в качестве альтернативного способа доступа к сайту, если мобильный телефон украден или потерян, или в ситуации, когда телефон не может быть доступен для получения кода. Сохраните эти коды в текстовом файле.
- Теперь вы включили двухэтапную аутентификацию.
Использование плагина
Для защиты от атаки Brute Force есть два отличных плагина.
- Плагин All in One WP Security & Firewall имеет параметр, который просто изменяет URL-адрес по умолчанию (/ wp-admin /) для этой формы входа. Этот плагин также помогает ограничить количество попыток входа с определённого IP-адреса.
- Другой — BruteProtect. Этот плагин недавно был приобретён Automattic , создателями WordPress. Плагин автоматически заботится о защите формы входа пользователя от IP-адресов, которые имеют тенденцию делать много попыток входа в систему.
Переместите wp-config на один каталог вверх и заблокируйте его
- Пользователи могут переместить файл wp-config.php в каталог над установкой WordPress. Это означает, что для сайта, установленного в корне вашего веб-пространства, вы можете хранить wp-config.php вне корневой папки.
- Вот как выглядит wp-config:
Если используемый сервер имеет .htaccess, добавьте этот фрагмент кода в начало файла, который будет запрещать доступ всем, кто просматривает его:
<файлы wp-config.php>
заказ разрешить, запретить
отрицать от всех
</files>
Держите WordPress в актуальном состоянии
Предполагая, что у пользователя установлен Wamp-сервер:
- Запустите Wamp-сервер.
- Откройте сайт WordPress с помощью localhost.
- В разделе панели управления нажмите «Обновления».
- В моём случае я уже обновил свой WordPress. Так что для меня это показывает, что «у вас уже есть последняя версия».
- Для тех, у кого установлена последняя версия, будет возможность обновить. Нажмите здесь. Готово!
Изменение прав доступа к файлам
Пользователи, у которых есть доступ к серверу через оболочку, могут рекурсивно изменять права доступа к файлам с помощью следующей команды:
- Для справочников: найти / путь / к / вашему / wordpress / install / -type d -exec chmod 755 {} \;
- Для файлов: найти / путь / к / вашему / wordpress / install / -type f -exec chmod 644 {} \;
Планирование регулярного резервного копирования данных
- Регулярно выполняйте резервное копирование данных, в том числе MySQL.
- Целостность данных очень важна для надёжного резервного копирования.
- Хороший план резервного копирования может включать в себя хранение набора регулярных снимков всей вашей установки WordPress (включая основные файлы WordPress и вашу базу данных) в надёжном месте.
Удалите readme и все ненужные файлы
- WordPress по умолчанию имеет файл readme.html и множество плагинов и тем, которые идут вместе с ним.
- Их следует удалить, так как они могут использоваться для снятия отпечатков пальцев или общего отслеживания и часто содержат информацию о версии.
- Удалите из папки все ненужные файлы.
Включение входа через SSL
Если у сайта есть сертификат SSL,можно включить вход через SSL.
Чтобы включить SSL, ваш сайт должен быть доступен по https.
Добавьте следующий фрагмент кода в файл wp-config:
define (’FORCE_SSL_LOGIN’, true); // Только для входа в систему
define (’FORCE_SSL_ADMIN’, true); // Для администратора
Спросите Apache Password Protect
- Этот плагин предоставляет пользователям больше контроля над своим блогом с точки зрения безопасности.
- Пользователи могут легко защитить ваш сайт с помощью авторизации 401.
Плагин можно скачать отсюда.
Ссылки:
http://www.sitepoint.com/tips-to-secure-wordpress/
http://code.tutsplus.com/articles/11-quick-tips-securing-your-wordpress-site—wp-22446