Защищаем
сайт на
WordPress
WordPress защищен
Это мы делаем его незащищенным
Основные методы защиты
Не используйте 'admin'
для логина
Довольно очевидно, правда?
Очень сложные Пароли,
пожалуйста
- Должны содержать прописные и строчные буквы, цифры и символы (например, ! и $)
- Не используйте одинаковый пароль для всех ваших сервисов (веб-сайт, Twitter, Facebook)
- Создание супер сложного пароля и его запись лучше, чем иметь тот, который вы можете вспомнить в своей голове.
Не делайте как в "Космических яйцах"
Выбор правильных
разрешений
НЕ ВСЕ ДОЛЖНЫ ИМЕТЬ ПОЛНЫЙ ДОСТУП
- Administrator access in WordPress
- Root access FTP/SSH
- Full access in Control Panel
Заблокировать форму
входа
- Блокирует IP после 3-5 неудачных попыток
- Отлично подходит для людей, пытающихся вручную взломать вас
- Plugin - http://wordpress.org/plugins/login-lockdown/
Постоянно обновлять WordPress
и плагины
-
«Но я боюсь, что могу что-то сломать»
-
WordPress чрезвычайно обратно совместим, если что-то ломается каждый раз, когда вы обновляете, то у вас большая проблема с разработкой.
# Enable all core updates, including minor and major: define( 'WP_AUTO_UPDATE_CORE', true );
add_filter( 'auto_update_plugin', '__return_true' );
add_filter( 'auto_update_theme', '__return_true' );
Внимательно ставьте плагины
- Не устанавливать все плагины подряд
- Обновляйте плагины - авторы плагинов также выпускают обновления безопасности.
- Проверьте отзывы для плагина - множество обзоров и 5 звезд - хороший показатель
- Деактивируйте (и удалите) любые плагины, которые вы не используете.
То же самое относится и к темам.
Выберите хороший хостинг
Защитите свое окружение
- Используйте SFTP вместо FTP
или блокируйте доступ по IP - Отключить редактирование файлов в WP
- Используйте SSL (https)
- Add .htaccess rules to lockdown files & folders
- Backup your site
Отключить редактирование файлов в WP
добавит в wp-config.php
// Disallow file edit define( 'DISALLOW_FILE_EDIT', true );
// Disallow file edit and plugins, themes updates
define( 'DISALLOW_FILE_MODS', true );
Robots.txt
User-agent: *
Disallow: /cgi-bin
Disallow: /wp-admin
Disallow: /wp-includes
Disallow: /wp-content/plugins
Disallow: /wp-content/cache
Disallow: /wp-content/themes
Disallow: /trackback
Disallow: */trackback
Disallow: */*/trackback
Disallow: */*/feed/*/
Disallow: */feed
Disallow: /tag/
User-agent: Yandex
Disallow: /cgi-bin
Disallow: /wp-admin
Disallow: /wp-includes
Disallow: /wp-content/plugins
Disallow: /wp-content/cache
Disallow: /wp-content/themes
Disallow: /trackback
Disallow: */trackback
Disallow: */*/trackback
Disallow: */*/feed/*/
Disallow: */feed
Disallow: /tag/
Host: yoursite.com
Sitemap: https://yoursite.com/sitemap_index.xml
Блокирование папок и файлов через .htaccess
wp-content/uploads/.htaccess
<Files *.php>
deny from all
</Files>
<files wp-config.php>
order allow,deny
deny from all
</files>
<Files wp-login.php>
order deny,allow
Deny from all
# allow access from my IP address
allow from 192.168.5.1
</Files>
Отключить PHP Error Reporting
добавить в wp-config.php
error_reporting(0);
@ini_set('display_errors', 0);
Отключить XML-RPC
Использовать двухфакторную аутентификацию
Сегодня широко используются три типа аутентификации
- Что-то, что пользователь знает - то есть пароль
- Что-то пользователь - уникальное (биометрия)
- Что-то, что у пользователя есть - телефон
Google Two Factor Authentication
Бэкапы, много Бэкапить, постоянно Бэкапить!
WordPress Security
By Alexey Kalyuzhnyi
WordPress Security
- 1,415