Недавно наткнулся на пост “11 Best Ways to Improve WordPress Security” в буржунете. Даже многие способы применил на своем блоге.
Переводить дословно не буду, напишу в свободном стиле.
Весной этот блог подвергся атаке хакера. Поэтому объяснять, зачем нужно максимально обезопасить свой блог от действий злоумышленников, не стоит.
Почти у всех айтишников была такая дисциплина, как “информационная безопасность”. В частности, там рассказывалось о том, что пользователям нужно выдавать минимально необходимые права. Пользователь БД – не исключение.
Для Вордпресса достаточно разрешить пользователю операции SELECT, INSERT, UPDATE, DELETE, CREATE, ALTER, DROP. Остальное на фиг не нужно. Делается это с помощью панели управления хостинга.
Когда редактируете файл wp-config.php, редактируйте не только хост, имя пользователя, имя бд и пароль, а еще и ключи и префикс таблиц в БД.
Потом неплохо бы заменить имя пользователя admin на любое другое. Я поменял, и теперь не могу привыкнуть к новому логину 
.
Делается это в PhpMyAdmin.
Для этого находим таблицу Вашпрефикс_users, в ней ищем пользователя, у которого user_login admin и заменяем user_login на тот, который хотите.
А можно выполнить SQL-запрос
update Вашпрефикс_users set user_login=’myadm’ where user_login=’admin';
Еще Майкл Мартин советует использовать SSL, добавив в wp-config.php
define(‘FORCE_SSL_ADMIN’, true);
Но не каждый хостинг поддерживает SSL.
Еще он советует регулярно делать бэкапы БД и обновлять версию WP как можно раньше.
С помощю .htaccess закрываем от просмотра каталоги без индексного файла.
Options All -Indexes
Если ваш IP не динамический, то можно запретить вход в панель администратора всем, кроме вас. Для этого нужно редактировать .htaccess в каталоге wp-admin .
Order Deny,Allow
Allow from ваш IP
Deny from all
Еще следует запретить доступ по протоколу http ко всем файлам в каталоге wp-content кроме картинок, сценариев JavaScript, и таблиц стилей.
Order Allow,Deny
Deny from all
<files ?\.(jpg|gif|png|js|css)$? ~>
Allow from all
</files>
Можно добавить файлы с другими расширениями (например, чтобы загружать на сайт mp3 или архивы).
Ну и убрать версию WordPress в метатэгах. Ибо информация эта полезна только хакерам.
Хоть и простудился, но аудиоверсию поста записал.
JustFor пишет о том, как увеличить доход в Sape.
Игорь 15.10.2009 в 18:12
Хороший пост, а главное своевременный – WordPress становиться все популярнее, и “хацкеры” все больше смотрят в его сторону.
Главное почаще версии обновлять, пароль посложнее и подлиннее ну и внимательность и еще раз внимательность (особенно в выборе тем и плагинов).
Seooptimist 23.10.2009 в 18:45
Большое спасибо за пост, помог в настройки WP. О безопасности забывать не стоит. Давно искал именно такую статью, преступаю к настройке
Сыктывкарский бомж 30.10.2009 в 13:45
мне кажется это не панацея, но от хулиганов конечно убережет, полезный пост
anadikt 18.01.2010 в 19:12
Статья познавательная, спасибо! Начинаю защищать блог от злоумышленников!
sup3rstar 12.02.2010 в 23:38
А версия WP, указывается только в метатегах?
[m.k] 13.02.2010 в 11:21
sup3rstar, очень старую версию можно узнать по оформлению страницы входа в админку. На счет того, передается ли эта информация в заголовке сообщения не знаю, но ИМХО, вряд ли.
Любовь 16.05.2010 в 9:32
vde 8.11.2011 в 7:54
В качестве хорошей меры защиты хочу порекомендовать метод “наживки”. Вкратце суть:
Обычно кулхацкер начинает со скана известных уязвимостей, соответственно нам известно, к каким файлам он попытается обратиться – в первую очередь это /phpmyadmin/scripts/setup.php и /webdav/test. Поэтому мы создаем некоторые из этих файлов, а в них – запускаем бан по IP через iptables.
В результате кулхацкер на самом первом этапе теряет возможность навредить – профит
Елена 5.02.2012 в 18:35
Очень в тему нашла этот пост. Один из мох блогов постоянно кто то атакует, пытается пролезть в админку. Все вышеперечисленные способы защиты у меня проделаны, но всё равно страшно. Вот и не знаю продолжать бояться или не обращать внимания?
Юлия 5.02.2012 в 22:41
Все верно написано! Еще к защите можно добавить плагин LoginLock защищает от попыток подбора паролей.
Виталий 6.03.2012 в 0:11
Здравствуйте! Заинтересовало про запретит доступа по протоколу http ко всем файлам в каталоге wp-content
Сейчас займусь исправлением безопасности своего блога. Спасибо за статью seo73!
Роман 8.03.2012 в 18:14
Хороший пост! Правильная настройка и защита WordPress просто обязательна в наше время!
Kats 23.04.2012 в 13:07
Да, WordPress нужно защищать! Обязательно воспользуюсь всеми настройками.
rimskiy 4.09.2012 в 16:42
Хорошая статья! Вобще никогда не задумывался над безопасностью блога! Сейчас буду бдительным! Спасибо!))
Виталий 7.11.2012 в 12:38
Большое спасибо. Имею блог на ВордПрессе. Теперь задумался о безопасности, буду уделять ей большее внимание..
Безопасник 13.12.2012 в 19:24
Самым эффективным из приведенных мер по защите вордпреса является пожалуй ограничение доступа к админке по IP. Другие же способы защитят вас только от дилетантов. Профессионал взломает и так. Но это не значит, что применять их не надо. Применяйте, так как дилетантов по взлому сайтов у нас сейчас пруд пруди…
Владимир 20.08.2018 в 16:06
У моего друга сайт на Вордпресс. Так там на мобильной версии редиректится на всякие взрослые сайты и казино разные. Кто знает, как помочь. Плиз, хелп..
[m.k] 25.08.2018 в 20:16
Владимир, это в .htacess обычно появляется
Владимир 27.10.2018 в 13:10
Спасибо!