Безопасность в WordPress

Опубликовано: 15.10.2009

Недавно наткнулся на пост “11 Best Ways to Improve WordPress Security” в буржунете. Даже многие способы применил на своем блоге.

Переводить дословно не буду, напишу в свободном стиле.

Весной этот блог подвергся атаке хакера. Поэтому объяснять, зачем нужно максимально обезопасить свой блог от действий злоумышленников, не стоит.

Почти у всех айтишников была такая дисциплина, как “информационная безопасность”. В частности, там рассказывалось о том, что пользователям нужно выдавать минимально необходимые права. Пользователь БД – не исключение.

Для Вордпресса достаточно разрешить пользователю операции SELECT, INSERT, UPDATE, DELETE, CREATE, ALTER, DROP. Остальное на фиг не нужно. Делается это с помощью панели управления хостинга.

Когда редактируете файл wp-config.php, редактируйте не только хост, имя пользователя, имя бд и пароль, а еще и ключи и префикс таблиц в БД.

Потом неплохо бы заменить имя пользователя admin на любое другое. Я поменял, и теперь не могу привыкнуть к новому логину :) .

Делается это в PhpMyAdmin.
phpmyadmin

Для этого находим таблицу Вашпрефикс_users, в ней ищем пользователя, у которого user_login admin и заменяем user_login на тот, который хотите.

А можно выполнить SQL-запрос

update Вашпрефикс_users set user_login=’myadm’ where user_login=’admin';

Еще Майкл Мартин советует использовать SSL, добавив в wp-config.php

define(‘FORCE_SSL_ADMIN’, true);

Но не каждый хостинг поддерживает SSL.

Еще он советует регулярно делать бэкапы БД и обновлять версию WP как можно раньше.

С помощю .htaccess закрываем от просмотра каталоги без индексного файла.

Options All -Indexes

Если ваш IP не динамический, то можно запретить вход в панель администратора всем, кроме вас. Для этого нужно редактировать .htaccess в каталоге wp-admin .

Order Deny,Allow
Allow from ваш IP
Deny from all

Еще следует запретить доступ по протоколу http ко всем файлам в каталоге wp-content кроме картинок, сценариев JavaScript, и таблиц стилей.

Order Allow,Deny
Deny from all
<files ?\.(jpg|gif|png|js|css)$? ~>
Allow from all
</files>

Можно добавить файлы с другими расширениями (например, чтобы загружать на сайт mp3 или архивы).

Ну и убрать версию WordPress в метатэгах. Ибо информация эта полезна только хакерам.

Хоть и простудился, но аудиоверсию поста записал.

JustFor пишет о том, как увеличить доход в Sape.

Комментариев — 17 »

  1. Игорь 15.10.2009 в 18:12

    Хороший пост, а главное своевременный – WordPress становиться все популярнее, и “хацкеры” все больше смотрят в его сторону.
    Главное почаще версии обновлять, пароль посложнее и подлиннее ну и внимательность и еще раз внимательность (особенно в выборе тем и плагинов).

  2. Seooptimist 23.10.2009 в 18:45

    Большое спасибо за пост, помог в настройки WP. О безопасности забывать не стоит. Давно искал именно такую статью, преступаю к настройке :)

  3. Сыктывкарский бомж 30.10.2009 в 13:45

    мне кажется это не панацея, но от хулиганов конечно убережет, полезный пост

  4. anadikt 18.01.2010 в 19:12

    Статья познавательная, спасибо! Начинаю защищать блог от злоумышленников!

  5. sup3rstar 12.02.2010 в 23:38

    А версия WP, указывается только в метатегах?

  6. [m.k] 13.02.2010 в 11:21

    sup3rstar, очень старую версию можно узнать по оформлению страницы входа в админку. На счет того, передается ли эта информация в заголовке сообщения не знаю, но ИМХО, вряд ли.

  7. Любовь 16.05.2010 в 9:32

    =) Спасибо!!

  8. vde 8.11.2011 в 7:54

    В качестве хорошей меры защиты хочу порекомендовать метод “наживки”. Вкратце суть:
    Обычно кулхацкер начинает со скана известных уязвимостей, соответственно нам известно, к каким файлам он попытается обратиться – в первую очередь это /phpmyadmin/scripts/setup.php и /webdav/test. Поэтому мы создаем некоторые из этих файлов, а в них – запускаем бан по IP через iptables.
    В результате кулхацкер на самом первом этапе теряет возможность навредить – профит :-D

  9. Елена 5.02.2012 в 18:35

    Очень в тему нашла этот пост. Один из мох блогов постоянно кто то атакует, пытается пролезть в админку. Все вышеперечисленные способы защиты у меня проделаны, но всё равно страшно. Вот и не знаю продолжать бояться или не обращать внимания? =-O

  10. Юлия 5.02.2012 в 22:41

    Все верно написано! Еще к защите можно добавить плагин LoginLock защищает от попыток подбора паролей.

  11. Виталий 6.03.2012 в 0:11

    Здравствуйте! Заинтересовало про запретит доступа по протоколу http ко всем файлам в каталоге wp-content

    Сейчас займусь исправлением безопасности своего блога. Спасибо за статью seo73! =)

  12. Роман 8.03.2012 в 18:14

    Хороший пост! Правильная настройка и защита WordPress просто обязательна в наше время!

  13. Kats 23.04.2012 в 13:07

    Да, WordPress нужно защищать! Обязательно воспользуюсь всеми настройками.

  14. rimskiy 4.09.2012 в 16:42

    Хорошая статья! Вобще никогда не задумывался над безопасностью блога! Сейчас буду бдительным! Спасибо!))

  15. Виталий 7.11.2012 в 12:38

    Большое спасибо. Имею блог на ВордПрессе. Теперь задумался о безопасности, буду уделять ей большее внимание..

  16. Безопасник 13.12.2012 в 19:24

    Самым эффективным из приведенных мер по защите вордпреса является пожалуй ограничение доступа к админке по IP. Другие же способы защитят вас только от дилетантов. Профессионал взломает и так. Но это не значит, что применять их не надо. Применяйте, так как дилетантов по взлому сайтов у нас сейчас пруд пруди…

Оставьте комментарий к посту ”Безопасность в WordPress”

Разрешено использовать тэги: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

Трекбеки и пингбеки

Ключевые слова:
AdSense google page rank Sape SEO WordPress Блог Сапа Софт Яндекс акция ап апдейт бесплатно дизайн домен запросы индекс цитирования интернет интернет-магазин комментарии компьютер конкурс продвижение реклама спам ссылки тИЦ форум эстафета