Защита блога на WordPress

Защита блога на WordPress
Защита блога на WordPress

1. Качественный хостинг
Да, именно с хостинга надо начинать защищать свой блог от посягательств. Ну не скупитесь вы, не сидите на дешевом хостинге. Добавьте пару баксов и юзайте нормальный. Домик для вашего сайта это не то, на чем следует экономить.

2. Сложный пароль
Это очевидно, но все же. Сделайте свой пароль афигительно сложным, с использованием всех возможных символов. И не надо отмазок типа «Его ж сложно запомнить!». Запоминайте не символы пароля, а как он набирается на клавиатуре.

Например: q1@we3$rt5^y. Крутой пароль, попробуйте его вручную набрать, и вы увидите закономерность при вводе. И еще. Последние версии WP позволяют изменять логин админа по умолчанию (admin) на свой ник. Сделаете это обязательно.

3. «Чистая» тема
Наверняка на вашем блоге установлена сторонняя тема, а не уже встроенная в движок. Стоит ее проверить на наличие левого кода плагином TAC (Theme Authenticity Checker). И в будущем все свежескаченые шаблоны проверять им.

4. Последняя версия
Не забывайте обновлять сам вордпресс и установленные плагины. Не надо думать, что кроме нового интерфейса после обновления ничего не появиться. Между прочим, кроме красивостей, разработчики исправляют и уязвимости в своих продуктах. Перед обновлением движка сделайте резервную копию базы данных (вручную через phpmyadmin или с помощью плагина WordPress Database Backup). А перед обновлением плагинов отключайте их.

5. WP-Security Scan
Установите этот плагин и посмотрите, что он вам скажет. Как исправите все косяки, можете его отключить и даже удалить.

6. Пароль от FTP
Не стоит хранить пароль от FTP-доступа в самом FTP-клиенте. Особенно в Total Commander. Он, конечно, честно предупреждает, что хранить пароль в нем небезопасно, но мы ж ничего не читаем.

7. Замена wp_
По умолчанию все таблицы в ВП начинаются с wp_. Всегда! Это значит, что хакер будет в курсе, как называются ваши MySQL-таблички, а это плохо. С помощью уже известного нам WP-Security Scan можно поменять префикс БД.

8. Права
При установке wordpress сам раздает права своим файлам и папкам. Но на всякий случай проверьте: папки cache и uploads должны иметь права 777, остальные папки – 755, все файлы – 644. Изменить их можно нажав Файл -> Изменить атрибуты (в тотал коммандере).

9. Ограничение попыток ввода пароля
По умолчанию wordpress никак не реагирует на большое количество попыток входа в админку. Плагин Login Lock Down дает хакеру 3 попытки ввести правильные логин/пароль, после чего блокирует его IP. Вы сможете просматривать логи таких входов.

10. index.html в каждой папке
Допустим, вы создали папку «blabla» в директории вордпресса. Ну нужна она вам, там вы что-то будете хранить. Но вы не создали в этой папке файл index.html. А если там не будет такого файла то, перейдя по ссылке tvoiblog.ru/blabla злоумышленник увидит список всех лежащих там файлов и сможет путешествовать по всем папкам блога. Для невозможности такого действия в файл .htaccess (лежит в корне) надо добавить следующую строку:

Options -Indexes.

11*. Блокировка wp-admin по IP
Если у вас статический IP-адрес, можно ограничить доступ к админке. Создаете файл .htaccess, пишите туда три строчки:

order deny,allow
deny from all
allow from хх.ххх.ххх.хх

где хх.ххх.ххх.хх – ваш айпишник. И заливаете его в папку wp-admin.

12*. Шифрование
Если ваш хостинг позволяет работать через SSL, то рекомендую в файле wp-config.php дописать строчку:

define('FORCE_SSL_ADMIN', true);

13*. Anti-XSS attack
Плагин защитит ваш блог от XSS атак. Такие атаки внедряют вредоносный код на страницы блога , которые в свою очередь способны заражать посетителей вашего сайта.

14*. Stealth Login
Для входа в админку блогов на ВП нужно набрать tvoiblog.ru/wp-admin. А этот плагин позволит изменить этот путь на любой другой.

От читателя

А еще поменять адрес входа на сайт (как вы и пишете, но можно и руками) и сделать переадресацию 301 на мощный сервер с wp-login.php например на гугл. И тогда если будет много обращений к этому файлу (дос атака), то сайт не будет виснуть. А еще лучше отправить тех, кто хочет зайти в админку сразу в милмцию

Читайте также:

комментария 4

  1. Для блогера защита от хакерских атак очень важна. Ведь согласитесь, вы вкладываете много труда и времени в развития своего блога и вдруг кто-то в одну минуту может все разрушить. Хорошо, если он только украдет ваш контент, а ведь он может и погубить блог. Поэтому все рассматриваемые здесь приемы очень актуальны и я рекомендую к ним прислушаться.

  2. А еще поменять адрес входа на сайт (как вы и пишете, но можно и руками) и сделать переадресацию 301 на мощный сервер с wp-login.php например на гугл. И тогда если будет много обращений к этому файлу (дос атака), то сайт не будет виснуть. А еще лучше отправить тех, кто хочет зайти в админку сразу в милмцию. 🙂

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

Этот сайт использует Akismet для борьбы со спамом. Узнайте как обрабатываются ваши данные комментариев.