Рекомендации по безопасности WordPress — список TODO — Как защитить свой блог WordPress?

Опубликовано: 2015-05-25

Серьезно относитесь к безопасности WordPress

WordPress — одна из самых популярных платформ для самостоятельного размещения блогов и веб-сайтов. В то время как WordPress довольно безопасен из коробки, всегда будут люди, которые хотят создать проблемы, найдя способ взломать учетные записи или сайты, чтобы нанести ущерб или внедрить скрытые спам-ссылки. Вот почему важно убедиться, что ваша установка WordPress максимально безопасна. Советы по безопасности WordPress.

Крупнейший в мире блог TechCrunch был взломан дважды за короткий промежуток времени в восемь часов (в 2012 году). По словам ведущего программиста WordPress Марка Джакита, взлом, скорее всего, произошел из-за небезопасного плагина WordPress, который позволил хакеру использовать метод внедрения php для взлома технологического кранча. Это не был взлом на стороне сервера. Я надеюсь, что вся эта подробная информация поможет вам защитить свой блог WordPress.

Есть ли ниже запрос на нижеприведенные вопросы?

  • обзоры плагинов безопасности wordpress
  • уязвимости безопасности вордпресс
  • лучшие практики безопасности wordpress
  • проблемы с безопасностью вордпресс
  • советы по безопасности вордпресс
  • лучший плагин безопасности wordpress
  • проверка безопасности вордпресс
  • проверка безопасности вордпресс

Тогда вы находитесь в правильном месте. Обзоры плагинов безопасности от Crunchify.

Вот несколько советов, как сделать ваш веб-сайт или блог WordPress более безопасным и менее уязвимым для вредоносных атак. Эти шаги помогают нам защитить наш блог, не пуская злоумышленников.

1) Обновите WordPress до последней версии.

Ни одна программная система не застрахована от ошибок и уязвимостей. Дыры в безопасности будут обнаружены, и злоумышленники сделают все возможное, чтобы их использовать. Поддержание вашего программного обеспечения в актуальном состоянии — это хороший способ предотвратить атаки, потому что надежные поставщики программного обеспечения исправят свои продукты, как только будут обнаружены дыры в безопасности.

К счастью, поддержание вашего сайта WordPress в актуальном состоянии — одна из самых простых вещей, которые вы можете сделать. В последних нескольких версиях WordPress появилась возможность устанавливать автоматические обновления. Мало того, сайты получают уведомление каждый раз, когда становится доступным новое обновление.

Если вы не используете последнюю версию WordPress, обновите ее сейчас. Оставить старую версию своего сайта — это все равно, что оставить дверь незапертой, когда вы уезжаете в отпуск.

Обновление WordPress

2) Поместите пустой файл index.php

Если вы думаете, что просто настроить права доступа к каталогу более чем достаточно, то я бы сказал, что это не так просто, приятель! Я бы посоветовал поместить пустой файл html или php ( ensure that the name should be index.php ) в папку wp-content/themes/ & wp-content/plugins/ . Таким образом, всякий раз, когда кто-то попытается просмотреть содержимое этой папки, ему будет представлена ​​пустая страница и ничего больше. Разве это не умный ход?

Содержимое файла:

index.php
1
2
3
<?php
// Silence is golden.
?>

Поместите пустой файл index.php в каждую папку

3) Используйте секретные ключи в файле WP-Config.

В WordPress файл wp-config.php — это файл, в котором хранится информация базы данных, необходимая WordPress для подключения, так сказать, своей схемы. Этот файл содержит имя, адрес и пароль базы данных MySQL, в которой хранится вся ваша информация о пользователе, сообщения в блогах и другой важный контент.

Используя секретный ключ, вы можете еще больше затруднить получение кем-либо доступа к вашей учетной записи.

Перейдите на https://api.wordpress.org/secret-key/1.1/ и copy the results into this section of your wp-config.php , если вы еще не настроили секретный ключ.

4) Держите ваш файл .htaccess под контролем

Используя файл .htaccess , вы можете установить ограничения доступа к определенным каталогам. Вы можете привязать эти ограничения к определенному IP-адресу, что означает, что только люди из этого местоположения могут получить доступ к вашей информации.

Всегда желательно, чтобы при выборе веб-хостинга вы уточняли у них, какую версию MySQL, Apache и PHP они используют».

Образец:

Sample deny,allow in .htaccess
1
2
3
4
5
6
7
8
order deny , allow
deny from 32.177.15. *
deny from 53.177.14. *
deny from 64.255.113. *
deny from 11.255.114. *
deny from 115.225.176.86
deny from 535.255.117.250
allow from all

5) Используйте надежные пароли к учетной записи WordPress

В дополнение к добавлению секретного ключа в ваш файл wp-config.php также рассмотрите возможность изменения пароля пользователя на что-то надежное и уникальное. WordPress сообщит вам надежность вашего пароля, но хороший совет — избегать общих фраз, использовать прописные и строчные буквы и включать цифры. Также рекомендуется регулярно менять пароль — скажем, раз в два месяца.

6) Обновление серверной среды и плагинов

Обновление плагинов и тем сразу после их выпуска является вашей обязанностью. Я бы посоветовал регулярно обновлять ваш плагин. Взгляните на статью CSRF, которую я опубликовал некоторое время назад.

Что касается серверной среды, то это не в ваших руках, а в руках веб-хостинга. Всегда желательно, чтобы при выборе веб-хостинга вы уточнили у них, какую версию MySQL, Apache и PHP они используют. Сопоставьте его с последней версией, упомянутой на их соответствующих веб-сайтах, и, если они устарели, вам следует попросить их обновить их (очень маловероятно) или сменить веб-хостинг как можно скорее.

7) Никогда не используйте «admin» в качестве имени пользователя.

После установки WordPress вы должны изменить имя пользователя администратора.

8) Изменить WP prefix таблиц базы данных

Это убережет вас от взлома sql-инъекций.

9) Не устанавливайте WordPress в корневой каталог

Установите его в какую-нибудь папку со странным названием, которое нелегко узнать. Что-то вроде 442testXYZ . Это защитит вашу установку WordPress от ботов и хакеров.

10) Блокировать плохих ботов

Вы никогда не знаете, когда ваш сайт сканируется плохими ботами. Решение простое. Попробуйте добавить ниже в свой файл .htaccess , чтобы заблокировать плохих ботов.

.htaccess
1
2
3
RewriteEngine On
RewriteCond % { HTTP_USER_AGENT } ^ . * ( agent1 | Wget | Catall Spider ) . * $ [ NC ]
RewriteRule . * - [ F , L ]

Резюме

Мы все согласны с тем, что безопасный блог WordPress должен быть нашим главным приоритетом при ведении успешного блога. WordPress — отличное программное обеспечение для публикации, и Automattic (компания, стоящая за WordPress) всегда старается защитить его, чтобы миллионы блогов были защищены от хакерских угроз.

Есть так много способов улучшить безопасность WordPress. Эти изменения небольшие, и многие из этих рекомендаций могут быть реализованы в течение нескольких минут. Вы можете быть спокойны, зная, что ваш сайт WordPress немного более защищен от злоумышленников и хакеров.