Безопасность WordPress – простые советы

Безопасность WordPress – простые советы

Сайты, созданные с помощью CMS WordPress, точно так же как и сайты, созданные с помощью любой другой CMS, имеют уязвимости в защите и могут быть атакованы недоброжелателями. Чтобы улучшить защищенность вашего сайта и свести у минимуму риск взлома, можно воспользоваться несколькими простыми приемами.

Содержание

secure_4_7_13_2Устанавливайте WordPress не в стандартную папку.

WordPress может работать не только из корневой папки вашего сайта, но и из любой другой.

Избегайте стандартных префиксов баз данных.

Никто не заставляет вас использовать префикс баз данных, предлагаемый по-умолчанию. (Избегайте умолчаний!)

Удалите пользователя Admin или лишите его прав.

Любимый объект атаки – пользователь с именем Admin или с номером 1. Достаточно удалить их – и атаковать будет некого 🙂

Удаляйте все лишние учетные записи пользователей.

Лишние, странные, неизвестные и т.п. пользователи – это почти всегда спамеры или взломщики. Они вам нужны? 🙂

Пароли для ключевых пользователей должны быть надежными.

Чем длиннее и хаотичнее пароль – тем он надежнее. Не экономьте на этом!

Регулярно обновляйте саму CMS, плагины и темы.

Обновления – гарантия защиты от новых уязвимостей или способов взлома.

Удаляйте все неиспользуемые темы и плагины.

Чем больше мусора на сайте – тем легче найти какую-нибудь лазейку.

Задавайте файлам и папкам правильные права.

  • Все файлы должны быть с правами 644.
  • Все папки должны быть с правами 755.
  • wp-config.php должен быть с правами 600.
  • .htaccess должен быть с правами 444.

То есть: наш пользовательский аккаунт может считывать и изменять наши файлы, WordPress (через наш сервер и аккаунт владельца) может считывать и изменять наши скрипты, WordPress может создавать, изменять и удалять файлы и папки, другие пользователи не увидят наши учетные данные для БД в wp-config.php.

Закрывайте папки для просмотра на сервере.

Вы можете либо добавить пустые файлы index.html в папки, просмотр которых хотели бы запретить, либо дополнить файл .htaccess следующей строкой:
Options All -Indexes.

Используйте один из защитных плагинов из первой пятерки.

Например вот эти плагины отлично подойдут для защиты вашего сайта: iThemes Security, Wordfence Security, All In One WP Security & Firewall.

Обязательно делайте регулярное резервное копирование.

Даже если с сайтом что-то случится – у вас всегда будет возможность “вернуться в недалекое прошлое” и восстановить сайт в том виде, в котором он был у вас до того, как вас атаковали.

Регулярно контролируйте работу сайта

Постоянно отслеживайте активность пользователей на сайте, четкость работы сайта и т.п. Любое отклонение – как правило, признак угрозы.

Выполнение этих простых правил позволит существенно увеличить защиту вашего сайта и свести риск взлома к минимуму.