Skip to content
 

Как защитить свой блог на WordPress

Уже были случаи, когда блоги взламывали и писали какую-нибудь гадость (дефейсили). В худшем же случае вы можете лишиться всех записей, комментариев и вообще всей информации, которая хранится в базе данных блога. Либо в код блога пропишут вредоносный код, который будет забрасывать вирусы посетителям, ну и еще много всяких неприятностей может случится, если злоумышленники доберутся до вашего блога.

Для того, чтобы такого не случалось, необходимо побеспокоиться о безопасности автономного блога на WordPress заранее:

  • Вспомните, когда вы последний раз меняли пароль к панели администрирования вашего блога? Никогда? И еще, пароль к такой важной части вашего блога обязательно должен быть не короче 6 символов и содержать буквы и цифры. Желательно изменять его если не каждый месяц, то раз в 3 месяца точно.
  • Ограничьте доступ к папке wp-admin. Тогда, даже если злоумышленник каким-то образом раздобыл ваш пароль, при правильно настроенном ограничении доступа попасть в панель администрирования у него не получится.
  • Ограничение доступа может быть произведено по IP-адресу, если у вас статический IP-адрес, либо с помощью установки дополнительного пароля, на вход в директорию wp-admin. Для этого либо пропишите необходимые настройки в файле .htaccess либо воспользуйтесь плагином AskApache.

  • Если по какой-то причине у вас не получается ограничить доступ к папке wp-admin по IP-адресу или дополнительному паролю, вы можете установить плагин Login Lockdown который регистрирует неудачные попытки авторизации и после заданного числа, блокирует IP-адрес.
  • Попробуйте открыть ссылку вида: http://вашблог.ком/wp-content/plugins/, что вы видите? Правильно: вы видите список файликов и папочек, это ваши плагины. Данная информация облегчает задачу по взлому блога, т.к. некоторые из плагинов могут содержать уязвимости. Чтобы больше на ваши плагины никто не смотрел, запретите отображение содержимого папок в файле .htaccess, либо просто создайте пустой файл wp-content/plugins/index.html.
  • Вы можете убрать строчку «< meta name=”generator” content=”WordPress ” />» из файла header.php в шаблонах блога, это затруднит идентификацию блога и поиск уязвимостей по версии блога, хотя если вы будете следовать следующему совету, эту строку можно не удалять.
  • Следите за обновлениями плагинов и самого WordPress. Если до этого были найдены какие-то уязвимости, разработчики всегда пытаются исправить их в новых версиях. Сейчас следить за обновлениями не сложно, WordPress сам сообщает вам в панели администрирования, когда появляется новая версия. Ваша задача просто обновить блог.
  • Сделайте ревизию плагинов и отключите те, которыми вы не пользуетесь.

Это основные советы, которые помогут вам избежать неприятностей и обезопасить свой блог от взлома.

©