WordPress – очень популярная система управления контентом. Целью этой статьи является сделать ваш блог максимально безопасным.
Безопасность WordPress – очень широкая тема, но и она имеет свои обобщения который должен знать каждый. Я не буду писать теоретический способы защиты, а сразу перейду к практическим способам их реализации. К сожелению потенциальных дыр в безопасности не так уж и мало как хотелось бы, но на то они и дыры, что б их залатать ;)
Думать о своём блоге, нужно ещё до того момента как устанавливать его на хостинге. И к сожалению многие делают довольно смешные ошибки (в том числе и я). Ещё до начала стоит сделать:
- В файле wp-config.php не забываем менять уникальные ключи аутентификации. Думаю найдутся люди у которых там что-то такое:
define(‘AUTH_KEY’, ‘izmenite eto na unikalnuyu frazu’);
define(‘SECURE_AUTH_KEY’, ‘izmenite eto na unikalnuyu frazu’);
define(‘LOGGED_IN_KEY’, ‘izmenite eto na unikalnuyu frazu’);
define(‘NONCE_KEY’, ‘izmenite eto na unikalnuyu frazu’);Для того что бы получить эти уникальные значения, нужно перейти по .
- В том же wp-config.php желательно поменять префикс БД:
$table_prefix = ‘wp_’;
Если Wordpress у вас уже установлен, то я напишу ещё, что нужно делать в этом случае.
- Удалить файлы license.txt и readme.html, всё-равно их никто не читает :)
- Во все папки wp-content и wp-includes повставлять пустые файлы index.php, если их ещё нет.
Если вы не сделали этого, ещё до установки блога, то не поздно сделать это прямо сейчас. Безопасность Wordpress’а это такая штука, что лучше поздно, чем никогда.
Но это ещё не конец. Поэтому продолжаем экзекуцию:
- Устанавливаем плагин . Он проводит детальную проверку блога на предмет уязвимости от разных типов атак и предлагает способы их устранения.
- Сделайте бэкап вашей базы данных. Это очень важно, если вы не хотите потерять ваш блог, после следующих действий.
- В плагине WP — Security идём на вкладку database, там есть функция для изменения префикса БД, зачем это всё? А для того, что бы избежать SQL-инъекций. Профессионала конечно ничто не остановит, а “зелёный хакер” зубы сломает:)
- Возможен вариант, что WP — Security вернёт ошибку, если недостаточно привилегий (прав). В таком случае придётся всё делать вручную. Делаем:
- Выключаем все плагины.
- Экспортируем БД
- В нормальном! редакторе (, Notepad2) заменяем “wp_” на другой префикс (скажем “google_”)
- Сохраняем и импортируем
- В файле wp-config.php меняем префикс, как было сказано ранее.
- Меняем имя пользователя admin. Для этого идём на панель управления базой данных MySQL (обычно этот phpMyAdmin) в базе с Wordpress’ом ищем таблицу users а там строку user_login. В одном из столбцов будет прописано поле admin, вписываем туда что-то своё.
Слава создателям, что пароль генерируется страшной силы) Поэтому ни о каком брутфорсе, особенно после последнего шага и речи быть не может. Это были основные способы сделать свой блог на Wordpress безопасным. Конечно есть ещё и я о них обязательно напишу:)
Кстати по поводу обновлений. Большинство обновлений выпускаются действительно в связи с тем, что нужно исправит старые ошибки, но кто его знает, они же могут внести новые!
Не торопитесь обновлять всё сразу, почитайте, что пишут люди поспешившие до вас :)
На это всё! Жду ваших комментариев!
Popularity: 13%
сентября 7, 2011 в 18:17
А зачем ставить пустые index.php – файлы? в папки? Это только в две папки wp-content и wp-includes, или также во вложенные? Спасибо!