Раньше я уже затрагивал тему, посвященную безопасности WordPress. Теперь бы хотел ее продолжить. Первый раз я писал о безопасности вашего сайта или блога на платформе WordPress в публикации – Безопасность блога WordPress.
В этой статье уделю внимания безопасности WordPress гораздо больше. Никому не хочется потерять труд нескольких месяцев, который был потрачен на создание и наполнение своего блога контентом. Чтобы такого не произошло, вы заранее должны позаботиться о безопасности своего блога или сайта, созданного на этой CMS платформе.
В старых версиях WordPress слабых мест, что касается безопасности, хватает. Поэтому, вам в первую очередь надо обновится до более новых версий WordPress. Скачать WordPress 3.0.1, вы можете в этой публикации – Публикация 3.0.1. Ну а версию WordPress 3.0.2 в этой публикации – Публикация 3.0.2.
Это русифицированные версии WordPress. Если у вас уже установлена более новая версия WordPress, тогда шагаем дальше. Теперь же, поговорим о безопасности.
Первое (1) и самое главное, это обновление системных файлов WordPress. Об этом я только что написал выше. Да, это обновление WordPress до его новых версий.
Второй (2) шаг, это обновление плагинов для WordPress. Эти два первых пункта необходимы в связи с тем, что очень часто новые версии выходят «залатанными» от критических ошибок.
Третий (3) шаг, это периодическая архивация базы данных MySQL вашего блога, где хранятся все ваши данные и записи. Для этого есть специальный плагин. Скачать его вы можете в этой публикации – Публикация.
Четвертый (4) важный шаг – делайте резервную копию особенно важных файлов и документов. Они не должны хранится только в одном экземпляре на вашем блоге или в ваших папках на хостинге. Храните их копию у себя на компьютере или на любом съемном носителе.
Пятый (5) шаг. Начиная с версии WordPress 2.7 служебные папки WordPress закрыты от просмотра. Если у вас более старая версия WordPress, обновите ее до более новой версии или закройте сами служебные папки от просмотра, разместив в них пустой файл index.html. Эти папки: «wp-content/plugins» и «wp-content/uploads».
Шестой шаг (6). Скрывайте свою версию WordPress. Зная версию WordPress и ее уязвимости, можно этим воспользоваться. Для этого, в панели управления WordPress, в редакторе, откройте файл «functions.php» и вставьте в него строчку:
[stextbox id=»warning» caption=»Строчка для файла — functions.php»] remove_action(‘seofanin_head’,’seofanin_generator’); [/stextbox]
Седьмой шаг (7) шаг. Используйте безопасный пароль, как минимум из 10 различных символов. Буквы и цифры. Чтобы сделать его более надежным, используйте символы верхнего и нижнего регистра, числа и спецсимволы, такие как: ! » ? $ % ^ & ) . Не используйте этот же пароль на других форумах, сайтах, в социальных сетях. Не используйте в пароле дату своего рождения, адрес и т.д.
Восьмой (8) шаг. Поменяйте ключи шифрования WordPress. Они прописаны в файле «wp-config.php» и выглядят, как показано ниже:
[stextbox id=»warning» caption=»Ключи шифрования WordPress»]
define(‘AUTH_KEY’, ‘впишите сюда уникальную фразу’);
define(‘SECURE_AUTH_KEY’, ‘впишите сюда уникальную фразу’);
define(‘LOGGED_IN_KEY’, ‘впишите сюда уникальную фразу’);
define(‘NONCE_KEY’, ‘впишите сюда уникальную фразу’);
define(‘AUTH_SALT’, ‘впишите сюда уникальную фразу’);
define(‘SECURE_AUTH_SALT’, ‘впишите сюда уникальную фразу’);
define(‘LOGGED_IN_SALT’, ‘впишите сюда уникальную фразу’);
define(‘NONCE_SALT’, ‘впишите сюда уникальную фразу’);
[/stextbox]
Вы можете их случайным образом сгенерировать при помощи этого сервиса WordPress, если не хотите их придумывать сами – Сервис.
Шаг девятый (9). Обезопасьте свой файл «wp-config.php», в котором, как вы знаете, хранятся очень важные данные. Для этого впишите в файл «.htaccess», который находится в корне вашего блога строчки:
[stextbox id=»warning» caption=»Строчки для файла — .htaccess»]
order allow,deny
deny from all
[/stextbox]
Шаг десятый (10). Установите chmod (права доступа) 750 на файл «wp-config.php». Сделать это можно через FTP соединение, при помощи менеджера файлов, введя команду chmod 750 на файл «wp-config.php». Для этого нужно кликнуть на файле правой кнопкой мышки и вписать нужную цифру. Про менеджер файлов я писал в этой публикации – Публикация.
Вот те основные десять (10) шагов, которые вам следует предпринять для безопасности вашего блога на WordPress. Чем сильней его вы будете беречь, тем меньше шансов на то, что его у вас смогут взломать. Ну а к всему этому списку, забирайте плагин от DOS атак (одних из самых опасных) «Ft-Stop-Trackback-DOS-Attacks», который вы можете скачать по ссылке ниже. Этот плагин установлен на всех моих блогах.
Краткая справка: DOS-атака (от английских слов Denial of Service, отказ в обслуживании) — атака на вычислительную систему с целью вывести её из строя, то есть создание таких условий, при которых легитимные (правомерные) пользователи системы не могут получить доступ к предоставляемым системой ресурсам, либо этот доступ затруднён (источник справки http://ru.wikipedia.org).