Что-то пока я отсутствовал и не мог следить за своими сайтами, выяснилось, что оказывается сайты мои взламывали. В связи с чем решил немного улучшить безопасность Wordpress, тем более что, ничто не стоит на месте и в данный момент появилось очень много различных плагинов, новых методов обеспечения безопасности этого движка. В этой статье постараюсь рассказать о тех простых методах, которые выполняются для CMS WordPress буквально в пару кликов и не требуют особого напряга. Также расскажу о появившихся багах после выполнения некоторых из них.

Не лишним будет отметить и одно примечательное событие – оказывается летом, в начале августа, была предпринята массовая брутфорс атака на все сайты использующие CMS WordPress и Joomla. Вижу по своим сайтам, которые, кстати говоря, попали под АГС, атаке и испытанию безопасности подверглись и сайты на Modx. Заражение проявилось в том, что на хостинге в различных директориях появились левые файлы, дата создания которых как раз и есть август 2013.

К сожалению проверке безопасности не выдержал ни этот блог, который работает на WordPress, ни пара других, которые работают на той же платформе, ни даже Modx. Что не удивительно, ведь по данным Яндекса WordPress является самым популярным фри движком в интернете.

В общем, когда я это обнаружил, сразу же сменил пароли входа на блоги. И предпринял еще пару мер, которые не требует слишком фатальных изменений, так как практика показывает, что если применить все приемы, обязательно что-нибудь да законфликтует или сломается. Считаю что регулярное создание бэк апов в любом случае спасет ситуацию, также планирую уделить существенную часть безопасности WordPress и в своем алгоритме создания сайтов, благо когда начинаешь с нуля, гораздо проще предотвратить возможные баги.

Итак, каким же приемами я воспользовался. Всего 7 несложных действий.

1. Удалить из исходного кода шаблона версию wp. Здесь нужно удалить файлы readme.html и license.txt в корне блога WordPress, а также удалить строчку из header.php шаблона: meta content=»WordPress php bloginfo…
2. Изменить стандартный логин в админку блога. У меня стоял стандартный :О Сделать это можно, кстати говоря, очень просто – создать нового пользователя с правами администратора, залогиниться в админку с помощью его логина и пароля. Затем удалить старого юзера (при удалении спросят передать записи за ним другому пользователю)
3. Использовать файлы .htaccess для создания второго логина и пароля на вход в административную часть. Подробно расписывать не буду в интернете полно материала на эту тему, просто вбейте запрос «безопасность Wordpress .htaccess)
4. Поместить в папки wp-includes/, wp-content/, /plugins/ пустой файл index.php. Это действие нужно для того, чтобы злоумышленник не смог просмотреть список файлов находящихся в этих директориях.
5. Ограничить доступ к wp-config.php с помощью того же .htaccess
6. Ограничить доступ к папкам wp-content и wp-includes с помощью .htaccess Правда после этого у меня в админке Wordpress начал глючить графический редактор (тот который визуальный) и начали пропадать некоторые элементы дизайна.
7. Установить правильные права на файлы и папки. Основное правило: для файлов – 644, для папок – 755

Все остальные меры связаны с установкой плагинов. С этим я решил немного подождать, но запомнились и понравились следующие плагины: Login LockDown, Limit Login Attempts – позволяют ограничить число неправильных вводов логина или пасса, придерживая следующий ввод на х времени. Плагины Secure WordPress, WP Security Scan, позволяющие просканировать блог на уязвимости и позволяющие в несколько кликов повысить безопасность блога. WordPress Firewall, плагин Captcha для административной части. Stealth Admin позволяет изменить стандартный адрес входа в административную панель – wp-admin.

Кроме всего прочего, не лишним будет напомнить и о скидках в интернет магазине бытовой техники BTVDom. Наткнулся на них буквально вчера. В этот период действует очень заманчивая скидка в 15% практически на любую бытовую технику. Этот интернет магазин понравился разнообразием продукции и своими постоянными акциями и распродажами. Можно выцепить не хилую экономию

Связанные по заголовку статьи:

• 12.04.2012 -- Проверка кроссбраузерности блога на WordPress (4)
• 22.09.2011 -- Яндекс публикует свои данные по безопасности CMS (0)

Почитайте также похожие посты:

1. Создаем собственный шаблон на Wordpress Многие качают, так называемые фри шаблоны wordpress. И в принципе,...
2. Как удалить сайт из рейтинга Liveinternet? Недавно вот задался таким вопросом: как удалить сайт из рейтинга...
3. Удалить дубли в Wordpress с помощью Robots.txt Всем привет. Сегодня я бы хотел рассмотреть довольно важный вопрос,...
4. Вирусный спам или шаблоны с левым кодом и ссылками Наверно каждый, кто хоть раз пользовался известной CMS, качал себе...
5. Преимущества CMS WordPress Любой человек, только только решивший поставить свой сайт в сети...