Сен
17

Защита WordPress

Tweet

В свете последних событий, а именно взлом блога и форума популярного блоггера, поднялся вопрос о защите своих дневничков на CMS WordPress. Поковырявшись в ру- и буржуйнете нашёл немножко полезной информации по защите блога от взлома, которой и хочу с вами поделиться.

Начнём с самого основного и простого. Поехали:

  • Самое простое и самое главное для безопасности вашего безусловно интересного блога это актуальность — актуальность самой CMS и используемых плагинов. Что бы там не говорили, но все последующие версии содержат исправления багов и заплатки для дыр.
  • Не стоит пренебрегать резервным копированием, подробнее о бэкапах я написал в статье Обновление WordPress до версии 3.0. Если вас даже и взломали вы всегда сможете восстановить блог.
  • Обязательно придумайте сложный пароль со скобками, цифрами, буквами и т.д. желательно какой то бред и храните в надёжном месте (в бумажном ежедневнике или в мобильном телефоне, вариантов масса)
  • При помощи валидатора проверяем исходный код. Какой именно нам не важно, используйте онлайн валидатор W3C, к примеру, смотрим сколько он обнаружил ошибок и записываем где-нибудь, если при очередной проверке количество ошибок увеличиться, стоит просмотреть файлы темы на наличие вредоносного кода — метод не 100 процентный но довольно полезный
  • Далее нам необходимо закрыть служебные разделы от индексации, делается это при помощи файла robots.txt, кстатии для оптимизации блога это тоже полезно:
    User-agent: *
    Disallow: /cgi-bin/
    Disallow: /wp-content/
    Disallow: /wp-admin/
    Disallow: /wp-includes/
  • Многие рекомендуют убрать версию Word Press из хедера, вся проблема в том, что если мы убираем из heder.php строчку отвечающую за вывод версии движка, то на выходе ничего не меняется :) Поэтому открываем файл functions.php и добавляем вот такое свойство:
    remove_action(‘wp_head’, ‘wp_generator’);
    Готово.
  • Не забываем о правах на папки, желательно по максимуму закрыть доступ на запись. Обновлять плагины очень удобно через админку, но можно залить и через FTP, точно так же, как и само обновление WordPress.
  • На счёт FTP поскольку такой тип соединения никак не защищён, то по возможности использовать SSH / Shell доступ. Потому что если хакер получит логи доступа FTP, он сможет сделать с блогом всё что угодно, вплоть до тотально уничтожения.
  • Ограничить доступ к папке wp-admin. Тут вариантов много, от установки пароля на папку при помощи Cpanel, до установки доступа по конкретному IP при помощи правки файла .htaccess в корне директории. Так же можно установить ряд плагинов, к примеру login-lockdown который будет фиксировать неудачные попытки входа в админку и по необходимости блочить IP на время, например если было сделано 3 неудачных попытки входа, всё это настраивается. В настройка плагина есть статистика. Плагин работает под WP 3.0.

Обилие плагинов, хаков и всяческих заплаток для WordPress сделало возможным создание корпоративного сайта на его основе или, скажем, интернет магазина. Помните, что WP — это блоговая CMS и уровень защиты у неё соответствующий.

И напоследок — если неизвестный пользователь предложит вам разместить Flash баннер на вашем блоге или что то подобное, не забываете внимательно изучить код, там вполне может быть что то нехорошее. Будьте бдительны, друзья, на этом всё — до новых встреч :)

Комментирование закрыто.

Follow us on Twitter!

Получать на E-mail:


Свежие записи

Разделы