Перевод: Всеволод Козлов
1. Никто не должен рыскать по Вашему серверу
- Не используйте следующий код в файле search.php:
<?php echo $_SERVER ['PHP_SELF']; ?>
Вместо него используйте:
<?php bloginfo ('home'); ?>
- Закройте от индексации поисковыми системами все папки, начинающиеся с WP- с помощью правила:
Disallow: /wp-*
2. Директории должны быть закрыты от просмотра
Благодаря открытым директориям, злоумышленники могут без проблем разведать, какие плагины Вы используете и какие их версии. Это поможет им написать вредоносный код для возможно уязвимого плагина.Чтобы этого избежать, создайте пустой index.html файл, и разместите его тут:
wp-content/plugins/index.html
Или же просто добавьте следующую строку в файл .htaccess в корне сайта:
Options All –Indexes
3. Удалите строку, показывающую, какая версия WordPress у Вас установлена
Информации о версии WordPress злоумышленнику достаточно, чтобы совершить удачный взлом Вашего блога. Чтобы этого не случилось, удалите следующую строку из шаблона темы оформления:<meta name=”generator” content=”WordPress <?php bloginfo(’version’); ?>” /> <!-– leave this for stats please -->
4. Защитите директорию wp-admin
Злоумышленники могут использовать брутфорс-атаки, суть которых заключается в подборе администраторских логина и пароля. Существует несколько решений данной проблемы:- Ограничьте доступ к директории wp-admin по IP. В файле .htaccess прописываются IP, с которых доступ к этой директории открыт, все же остальные игнорируются.
- Использование плагина AskApache Password Protect. Данный плагин устанавливает второй эшелон защиты директории wp-admin, запрашивая логин и пароль, установленные Вами, при каждой попытке получить доступ к wp-admin.
- Использование плагина Login Lockdown. Фиксирует все IP, пытающиеся получить доступ к директории wp-admin. IP, совершающие ряд неудачных попыток авторизации, автоматически распознаются как брутфорс-атаки и блокируются.
5. Всегда устанавливайте обновления
В обязательном порядке устанавливайте обновления тем оформления, плагинов и виджетов сразу же после их выхода.6. Делайте регулярные бекапы базы данных и файлов своего блога
Старайтесь ежедневно делать полные бекапы своих блогов. Для бекапа баз данных посоветую плагин — WordPress Database Backup – отличный многофункциональный и удобный плагин.7. Обновляйте сам движок WordPress по мере выпуска новых версий
Это самое первое, что Вы должны делать, когда выходит новая версия движка. Для упрощения сего процесса порекомендую следующие плагины: Instant Upgrade и WordPress Automatic Upgrade.8. Используйте SSH/Shell доступ вместо FTP
Это один из наиболее толковых советов. Если злоумышленник получит данные из Вашего FTP-клиента, находящиеся в незашифрованном виде, то он получит полное управление над всеми файлами на Вашем сервере. Сами понимаете, к каким последствиям это способно привести…9. Перестаньте беспокоиться о безопасности файла wp-config.php
Обезопасьте логин и пароль от базы данных путем добавления следующей строки в свой корневой файл .htaccess:<FilesMatch ^wp-config.php$>deny from all</FilesMatch>
10. Защитите свой блог с помощью поистине сложного пароля
Сгенерируйте сложный пароль для доступа к администраторской зоне Вашего блога. Пароль должен содержать как большие, так и маленькие буквы, цифры…Оригинал статьи: WordPress Security Tips and Hacks
Комментариев нет:
Отправить комментарий