Нажмите "Enter", чтобы перейти к содержанию

Защищаем WordPress без плагинов

Данную статью я написал чтобы использовать как чек-лист безопасности при создании нового сайта на WordPress. Я негативно отношусь к большому количеству плагинов, и обнаружив что все статьи о защите WordPress требуют несколько плагинов решил написать статью о том, как защитить ваш сайт на WordPress без плагинов. Поверьте, вы можете обойтись и без плагинов, которые наоборот наплодят дырок и загрузят ваш WordPress.

1. Поменяйте префикс у базы данных

При установке WordPress вам предлагают использовать стандартный префикс «wp_».
В случае если вы его не изменили хакеру будет проще догадаться какое название у базы данных.

2. Защита wp-admin

Защита этой директории самое важное, ибо чаще всего хакеры просто брутфорсят вашу админку. Для защиты этой директории можно воспользоваться панелью управления.
К примеру, в Plesk Onyx это можно сделать в пару кликов используя “Password-Protected Directories”.
Если у вас нет такой возможности, то воспользуйтесь .htaccess для защиты директории с помощью логина и пароля.

3. Не используйте стандартный логин “admin”

Если вы хотите облегчить брутфорс для хакеров, то используйте стандартный логин при создании WordPress. Если у вас уже установленный WordPress со стандартным логином “admin” используйте плагин Username Changer Plugin.

4. Отключите редактирование файлов

WordPress имеет встроенный редактор файлов, который стоит отключить. В данном редакторе можно изменить файлы шаблонов и плагинов. Если злоумышленник получит доступ к этой функции у вас возникнут проблемы. Привыкайте редактировать все файлы через FTP.

Для отключения этой функции добавьте следующий код в файл «wp-config.php».

// Disallow file edit
define( ‘DISALLOW_FILE_EDIT’, true );

5. Запрет выполнения PHP скриптов

Есть директории в которых выполнение PHP скриптов не нужно, к примеру, в «/wp-content/uploads/».
Для этого создайте текстовый документ, который будет иметь название .htaccess и содержать следующий код:

<Files *.php>
deny from all
</Files>

После этого сохраните файл и загрузите его в директорию «/wp-content/uploads/» с помощью любого FTP менеджера.

6. Обновляйте вовремя WordPress, шаблоны и плагины

Критические обновления для WordPress будут устанавливаться автоматически, но все остальные вам придётся одобрять вручную. Хороший пример уязвимости плагинов это Contact Form 7 который позволял внести SQL-инъекцию. В случае если у вас всё ещё старая версия этого плагина, советую вам его срочно обновить.

7. Чем меньше плагинов, тем лучше

Во-первых вы будете меньше беспокоиться о безопасности всех плагинов. Во-вторых ваш сайт на WordPress будет работать быстрей и потреблять меньше ресурсов.

8. Сложный пароль

Используйте длинный, уникальный и сложный пароль который вы запомните и не будете сохранять в менеджерах паролей.

Ваш комментарий будет первым

    Добавить комментарий

    Ваш e-mail не будет опубликован.