Делаем WordPress, безопасным!

CMS WordPress – лучшая система управления контентом, для создания блогов и не только. В данной статье я расскажу, как можно максимально обезопасить Ваш блог.

Безопасность блога — это в ваших же интересах. Думать о безопасности блога необходимо ещё до установки его на хостинг, но к сожалению многие делают ошибки при установки блога, но это скорей от недостатка опыта, что поправимо. Пока ваш блог находиться на локальном хостинге или же недавно был установлен на Хостинге в интернете, Вам необходимо проделать следующие манипуляции с блогом:

Внимание! Перед всеми манипуляциями с блогом необходимо сделать следующее:

  1. сделать Backup (резервную копию), всех файлов Вашего блога;
  2. сделать Backup (резервную копию), базы данных сайта или блога.

После того как эти два пункта проделаны, можно приступать к следующим:

1. В файле wp-config.php обязательно измените уникальные ключи аутентификации:

define('SECURE_AUTH_KEY', 'izmenite eto na unikalnuyu frazu');
define('LOGGED_IN_KEY', 'izmenite eto na unikalnuyu frazu');
define('NONCE_KEY', 'izmenite eto na unikalnuyu frazu');
define('AUTH_KEY', 'izmenite eto na unikalnuyu frazu');

Изменить необходимо следующую фразу — izmenite eto na unikalnuyu frazu, на собственную уникальную фразу. Можно воспользоватся специальным генератором уникальных фраз — http://api.wordpress.org/secret-key/1.1/

2. В том же wp-config.php необходимо изменить стандартный префикс БД:

$table_prefix='wp_';

Если WordPress у Вас уже установлен, необходимо сделать Backup базы данных, и с помощью (Notepad++, Notepad2), сделать замену префикса базы данных wp_, на что нибудь свое, к примеру eug_. Также не забудьте заменить в файле wp-config.php следующую строку:

$table_prefix='wp_';

на

$table_prefix=‘eug_’;

3. Удалить файлы license.txt и readme.html.

4. Удаляем версию WordPress, в файле functions.php, в папке с Вашей темой добавляем строку:

remove_action ('wp_head', 'wp_generator');

В файле header.php в папке с Вашей темой удаляем строку:

<meta name="generator" content="WordPress 4.3.12">

Для WordPress версии 2.8.4 находим имплантацию функции get_the_generator ($type) и изменяем ее:

function get_the_generator( $type ) {
$gen = '';
return apply_filters( 'get_the_generator_{$type}', $gen, $type );
}

5. Поместить во все папки wp-content/, wp-includes, /plugins/ пустые файлы index.php, если их ещё нет.

6. Добавьте в файл .htaccess строку Options All -Indexes

7. Меняем имя пользователя admin. Для этого идем в панель управления базой данных MySQL, Вашего хостинга или же, если блог находится на локальном хостинге, тогда это обычный phpMyAdmin. В базе с WordPress’ом ищем таблицу users, далее строку user_login. В одном из столбцов будет прописано поле admin, прописываем туда какой нибудь свой логин, к примеру «adm56463573njjn».

8. Ограничиваем доступ к папкам wp-content и wp-includes, с помощь файла .htaccess и специальных правил, мы запретим все, кроме запросов на картинки, CSS и JavaScript. Файлы .htaccess необходимо положить с соответствующие директории.

Order Allow, Deny
Deny from all

Allow from all

9. Прячем директорию wp-content. Начиная с версии WordPress 2.6, появилась возможность переместить директорию wp-content. Для этого меняем в wp-settings.php строчки:

define('WP_CONTENT_DIR',$_SERVER['DOCUMENT_ROOT'].'/blog/wp-content');
define('WP_CONTENT_URL','http://domain.ru/blog/wp-content');

Для того, чтобы не было проблем с плагинами:

define('WP_PLUGIN_DIR',$_SERVER['DOCUMENT_ROOT'].'/blog/wp-content/plugins');
define('WP_PLUGIN_URL','http://domain.ru/blog/wp-conten/plugins');

10. Устанавливаем правильные права на файлы и папки. Основное правило:

Для файлов — 644
Для папок — 755

11. Удалите вывод логов WordPress. В файле functions.php в папке с Вашей темой добавляем строку:

add_filter('login_errors',create_function('$a', 'return null;'));

12. Запрещаем индексации с помощью правильного файла Robots.txt. Проверить правильность можно по адресу http://webmaster.yandex.ua/robots.xml

13. Установите плагин login-lockdown, он блокирует попытки авторизации в панели авторизации методом ручного или автоматического подбора паролей.

Как правило блог на  WordPress, можно обновлять на более новые версии с уже исправленными старыми ошибками, но перед этим обязательно задумайтесь, так как более новые версии, кушают поболее памяти и могут появиться новые ошибки, поэтому перед обновлением, обязательно почитайте, что пишут люди.

Друзья, что думаете по поводу статьи? Вроде описал про все. Если есть еще какие-то методы защиты блога WordPress, пишите в комментариях.

Похожие заметки
Последние заметки
Если вам понравилась статья, вы можете подписаться на RSS или e-mail рассылку. Для получения обновлений по электронной почте, введите ваш e-mail адрес в эту форму (доставка от SmartResponder):

5 комментариев

  1. Степан,
    1

    Мне кажется что ты все написал! Но вот тебе не кажется что нужно уменьшить время загрузки страниц? Возможно это все из-за плагинов... Сколько их у тебя? Штук 20?

  2. Евгений Москаленко,
    2

    У меня очень мало плагинов, практически все возможное я заменил на код, страницы так грузятся, потому что шаблон переделывал сам) Вскоре будет правильная верстка и новый шаблон)

  3. Степан,
    3

    Я тоже переделывал шаблон сам, и теперь у меня заголовок статьи сдвинулся немного в низ, и я даже не знаю как исправить((

  4. Олег,
    4

    Для прикола решил посмотреть првую статью. Обычно это что-то типа, привет — это мой новый блог. А тут сразу жесть такая. Кстати, половину из этого не делал. А ты все это применил?

  5. Евгений Москаленко,
    5

    Да, применил все) Но первый мой пост на блоге другой, это была статья про виды заработка в интернете. Она была самой первой, потому что на локальном хостинге я написал данную запись первой)

Оставить комментарий