WordPress очень хороший, бесплатный и гибкий движек для сайтов. И очень популярный.
В том числе и среди спамеров, хакеров и прочих не хороших людей.
Поэтому если вы используете WordPress вы обязаны предпринять все для его защиты.
В этой статье я хочу собрать все, что касается защиты сайта на wordpressе.
Многочисленные, почти бесконечные БОТы будут без отдыха атаковать ваш сайт!
Чтобы максимально обезопасить ваш сайт от взлома необходимо предпринять комплекс мер.
- Меняем логин администратора на свой непредсказуемый, используем сложные пароли, подключаем капчу на вход (в сети куча плагинов)
- Права на папки и файлы на хостинге. Это особенно актуально кто размещает сайт на собственных ресурсах. Для себя я считаю правильными следующие права — Права на файлы 644 можно установить следующей командой в соответствующей директории
sudo find . -type f -exec chmod 644 {} +
Права к папкам 755:
sudo find . -type d -exec chmod 755 {} +
Права для файла «wp-config.php» 660:
sudo chmod 660 wp-config.php
Если у вас линукс и апачи сервер то вероятнее всего верным будет установить владельцем пользователя апача:
chown www-data:www-data
- Файл .htaccess
В сети куча рекомендаций по этому поводу но в целом они сводятся к чему-то такому:
содержимое файла должно выглядить примерно так
Options +FollowSymLinks
RewriteEngine On
RewriteCond %{QUERY_STRING} (\<|%3C).*script.*(\>|%3E) [NC,OR]
RewriteCond %{QUERY_STRING} GLOBALS(=|\[|\%[0-9A-Z]{0,2}) [OR]
RewriteCond %{QUERY_STRING} _REQUEST(=|\[|\%[0-9A-Z]{0,2})
RewriteRule ^(.*)$ index.php [F,L]
- Плагин антивируса
Крайне полезная штука, которая может с некой периодичностью сканировать содержимое папки wordpressа. Я открыл для себя комплексную штуку которая кроме этого делает еще много всего полезного, рекомендую — плагин Wordfence
- Убираем показ лишней информации
Если при попытке зайти в админку WordPress’a вы ошибётесь с логином или паролем, вежливый движок скажет вам об этом. Ну а зачем злоумышленнику знать, что пароль, который он пытается подобрать – неверен? Давайте просто уберём вывод этой информации и чуток запутаем его.
Открываем functions.php, лежащий в папке с активной темой нашего блога (wp-content/themes/название-вашей-темы/) и добавляем следующий код:add_filter(‘login_errors’,create_function(‘$a’, «return null;»));сохраняем файл – всё больше никаких сообщений. - Баним спамеров и ботов
Я делаю это силами все того же плагина Wordfence — экспериментируйте
Можно это делать и другими способами.
Кроме вышеперечисленного можно еще сделать кучу всего: изменить URL для входа, включить принудительный SSL. Отслеживать подозрительные запросы..
В общем желаю вам удачи!
И да, буду рад любым дополнениям и комментариям!
P.S. за небольшое вознаграждение помогу удалить заразу с зараженных ресурсов.
WordPress Database Backup – автоматически высылает на почту резервную копию базы данных вашего сайта. Регулярность можно установить самостоятельно – раз в день или еженедельно.