Безопасность установки WordPress

Добавил Tokito | Опубликовано в Установка | Дата: 20-02-2011 |

Чтоб процесс инстоляции  WordPress был более безопасным, стоит придерживаться простых вещей. Первым делом, нужно проверять актуальность инсталлятора, потому что с каждой новой версией закрываются лазейки для хакеров. Второе – в процессе установки применяйте генерированные ключи аутентификации.

По порядку: проверяем файл header.php на присутствие строчки:

<?php remove_action(‘wp_head’, ‘wp_generator’); ?>

Удаляем эту строчку. Эта строка позволяет узнать, версию WordPress  используемую вами. Данная строчка полезна для ботов и пауков, которые собирают статистику,  и для  хакеров, они легко  подберут нужный эксплойт, ведь  дыры, имеющиеся в разных версиях,  становятся известными довольно быстро.

Убедитесь в том, что файл wp-config.php содержет секретные ключи. Ключи сделают установку  безопаснее. Сгенерировать 4-ре ключика возможно по ссылке: api.wordpress.org/secret-key/1.1/.

Пользователи и пароли.
Во первых  после инсталяции WordPress – войдите в панель управления и смените имя админа.  Стандартно администратору присваивается имя «admin». Взлом пароля в таком случае довольно просто – с помощью обычного подбора. В случае получения злоумышленником пароля от принадлежащей вам администраторской записи, тот сможет творить с сайтом все, что захочет. Сменив имя админа, быть уверенным, что хотя бы один путь к взлому хакерам будет отрезан.

Но, это не гарантирует то, что хакер не сможет найти другого пользователя с правами админа. Присутствие на  блоге архивов пользователя,  могут вас выдать. Вариант решение – не оставлять ссылки на авторский профиль, но что сделать, если без них не обойтись?

Этот вопрос решается таким образом – назначаете с помощью админ-записи отдельного пользователя, от имени которого вы и будете добавлять записи, а также редактировать, проверять  оставленные комментарии и другое. И запись админа остается неизвестной для взломщиков. Но, они могут хакнуть  запись редактора, что в наихудшем случае может привести к потере всей  информации расположенной на сайте. Но информация восстанавливается при наличии резервной копии.

Очень повышает безопасность вашего сайта пароль – содержащий разнообразные символы , чем больше символов тем сложнее их подобрать.

Работа с сервером.
Пользователь, который назначен для работы с MySQL(база данных) , получает все привилегии записи, совершенно ему не нужные и это снижает безопасность сайта. Нужно ограничить возможности пользователей MySQL (блокировку главной страницы и таблиц, создание временных ссылок, таблиц или процедур), это не влияет на вашу работу, однако снизит риск потери информации в при взломе.

Специалисты WordPress советуют для создания дополнительных логинов исползовать Apache и файл .htaccess. Более продвинутые способы, описанные ниже.

Во первых проверяем, присутствие пустого файла index.php или index.html в каждой папочке сервака. Обычно этот файл в WordPress создается по умолчанию. Этот файл блокирует непосредственный просмотр того что содержат папки. Если в какойто папке он отсутствует, нужно его создать.

Еще можно подключить SSL-шифрования, оно будет осуществляться когда входи-де в панель админа. Что осложнит взломщикам изучение исходящего трафика, который возникает в результате действий администратора. Чтоб включить SSL-шифрование, нужно добавить в wp-config.php строку над комментарием «That’s all, stop editing! Happy blogging»:

define(‘FORCE_SSL_ADMIN’, true);

SSL- не будет работать, если хостинг не поддерживает эту функцию.

Интересное:
Я всегда мечтал найти работу, на которую не нужно ездить по утрам. Доход от бизнеса в интернете может быть невероятно высоким, если хорошо вложить в это денег и, конечно же, мозгов. Изучайте, стремитесь и всё получится.

Похожие материалы:

Оставить комментарий

21.56MB | MySQL:54 | 0.220sec