Мой неуязвимый WordPress.

Несмотря на то, что WordPress очень хорошо защищен, всегда остаются уязвимости. Разработчики WordPress весьма оперативно закрывают найденые дыры, но не стоит раслабляться! Сейчас я расскажу как можно и нужно увеличить защиту своего блога. Предупреждаю сразу: неуверен - не берись Сделайте бэкап БД и всех записей (вообще всего что изменяете) перед тем как начать.

1. Во время установки обязательно генерируйте сложные пароли к MySQL состоящие из букв, цифр и различных знаков. Также генерируйте значения для строк AUTH_KEY, SECURE_AUTH_KEY, LOGGED_IN_KEY, NONCE_KEY. Генератор можно найти здесь.
2. Обязательно меняйте префикс таблиц WordPress в базе данных. Менять его нужно во время установки!
3. У каждой версии WordPress есть свои уязвимости и знание установленной версии сильно облегчит жизнь злоумышленнику. Чтобы версия движка не отображалась в коде, необходимо зайти в редактор шаблона, открыть header.php и удалить следующую строчку: <meta name=”generator” content=”WordPress <?php bloginfo(’version’); ?>” />
4. Версию WordPress можно также узнать из файлов readme.html и license.txt - просто удалите их.
5. Чтобы никто не рыскал по серверу откройте редактором дизайна файл search.php и строчку <?php echo $_SERVER ['PHP_SELF']; ?> замените на <?php bloginfo ('home'); ?>. Если ее нет - все нормально.
6. Не используйте TotalComander для соединения по FTP - через него очень просто украсть пароли. Также можно использовать соединение по SSH. Для этого понадобится  специальная прога.
7. Запретите индексацию системных папок через robots.txt. Об этом можно почитать в моей статье "Robots.txt для WordPress."
8. По умолчанию WordPress создает акк admin. Изменить имя уже нельзя, но если очень хочется...Дело в том, что если не менять имя, то злоумышленнику нужно подобрать только пароль. Чтобы изменить имя нужен опыт работы с phpMyadmin и внесении изменений в MySQL. Если не уверены - не беритесь. Ну или попросите кого-нибудь. Также напоминаю про бэкап БД. Зайдите в phpMyadmin и перейдите к БД WordPress. Затем найдите таблицу users и строку user_login. Замените имя admin на любое другое.
9. Используйте сложные пароли для вашего аккаунта. Для генерации и хранения можно использовать Ai Roboform. Также рекомендую менять пароль каждый месяц.
10. Закройте директорию /wp-admin паролем. В этом поможет плагин AskApache. После установки зайдите в Настройки -> AAPassPro и введите имя пользователя и пароль. Опция «Protect Admin Folder Immediately?» должна быть при этом включена.
11. Если у вас статический ip, то можно ограничить доступ по ip-адресу. Для этого также понадобится плагин AskApache. Как альтернативу можно использовать плагин Login Lockdown, который блокирует доступ по ip после заданного вами числа неудачных попыток.
12. Если на вашем блоге есть картинки, то не позволяйте ими пользоваться другим. Часто вместо того, чтобы скопировать картинку и разместить ее у себя просто ставят ссылку на источник картинки. Это нагружает сервер и расходует ваш трафик. Защитить себя можно установкой плагина WordPress Hotlink protection.
13. Закройте  список плагинов. Для этого нужно создать пустой index.php и закинуть его в http://*ваш домен*/wp-content/plugins/
14. Защитите файл wp-config.php. Все что нужно -добавить строчку <FilesMatch ^wp-config.php$>deny from all</FilesMatch> в корневой файл .htaccess
15. Регулярно обновляйте WordPress и плагины. Возможно в новой версии пофиксили какой-нибудь баг или уязвимость.
16. Деактивируйте плагины, которые вы не используете. Они могу содержать уязвимости.
17. Запретите регистрацию пользователей. В WordPress одна админ панель для всех, только с разным набором функций (взависимости от уровня прав), чем и пользуются злоумышленники.
18. Установите плагины: Anti-XSS attack - предупреждение и защита от XSS-атак блога и Belavir - показывает в админке измененные файлы.
19. Регулярно делайте бэкап базы данных. Для этого установите плагин WordPress Database Backup и настройте автоматическую отправку на почту.

Проголосовать на: