Основы безопасности сайта на WordPress

12 Ноября 2014
Если облака для вас
не просто теория
Широкий спектр услуг
по выделенным северам
и мультиклауд-решениям
Конфигурация VPS и бесплатный тест уже через 2 минуты
Организация вашей IT-инфраструктуры на основе мультиклауд-решения
Многие новички, которые создали свой первый блог на WordPress, даже не задумываются о том, что их сайт могут взломать. Наверное, они уверенны, что взламывают только крутые и очень важные ресурсы, вроде правительственных. На самом деле, воруют данные и ломают сайты очень часто, и каждый может стать жертвой взлома. В этой статье мы поговорим, о разных мелких хитростях, которые помогут вам оградить свой сайт или блог на WordPress от подобных неприятностей. Материал разделен на два блока: для новичков, которые только начинают осваивать Вордпресс, и для более продвинутых юзеров.

ПРАВИЛА ДЛЯ НАЧИНАЮЩИХ
 
1. Обязательно обновляйтесь. Следите за информацией в админке. Для WordPress регулярно выходят обновления, в которых исправляются разные баги и дыры в безопасности системы. Перед тем как обновиться, обязательно проверьте, будут ли ваши плагины работать с новой версией CMS.

2. Измените секретные ключи для файла wp-config.php. Этот файл очень важен, ведь именно там хранится информация, которая нужна хакерам для взлома сайта. Чтобы установить секретные ключи, нужно залезть в файл wp-config.php найти место, где написана следующая фраза: "put your unique phrase here" и заменить ее своим уникальным и сложным паролем. Внимание! Если больше фантазии не хватает – воспользуйтесь генератором ключей.

3. Кстати о паролях. Логин admin и пароль 12345 –конечно не лучший способ защиты вашего сайта. Лучше изменить эти данные в админке.

4. Резервное копирование базы данных. Делается это очень просто. Это можно сделать при помощи phpMyAdmin (специальная программа для работы с базами данных – как правило, уже установлена и настроена у большинства хостеров). Перед этой процедурой желательно прочитать подробную инструкцию со скриншотами. Некоторые хостеры предоставляют другие механизмы для резервного копирования базы.

ПРАВИЛА ДЛЯ ПРОДВИНУТЫХ.

1. Защита файла .htaccess. Это необходимо для защиты уже известного нам wp-config.php, в котором хранятся все данные для подключения к серверу MySQL. Выполняется эта операция очень просто: в файл .htaccess нужно вписать следующее:

<files wp-config.php>

order allow,deny

deny from all

</files>

Таким образом, вы просто закроете доступ к файлу wp-config.php для злоумышленников и ботов.

2. Защита директорий от просмотра. Многие хостеры оставляют возможность смотреть директории на своих серверах. Достаточно набрать в адресной строке my-blog-name.ru/wp-includes и можно увидеть все содержимое директории. В целях безопасности лучше сразу пресечь такую возможность. Для этого идем в файл .htaccess и вписываем в нем такую строку: Options All –Indexes. Теперь, когда кто-то попытается получить доступ к директории, будет видеть просто пустой index.html

3. Установите специальные плагины. На WordPress есть хорошие плагины для защиты сайта от взлома. Например, BBQ (Block Bad Queries). Этот плагин собран на основе популярного скрипта, для менее продвинутых юзеров. Польза от BBQ огромная: он отслеживает все запросы, длинной более 25 символов на наличие php-функций evаl или bаse64 в URI.

Эти правила помогут вам обезопасить свой сайт или блог на WordPress от разных неприятностей, которыми чреваты взломы. Если вы только начинаете осваивать создание сайтов, попробуйте реализовать все эти правила на практике. Потом можно переходить и к более сложным методам защиты.
Получить консультацию специалиста