Что такое паранойя? Это заболевание, которое характеризируется подозрительностью и системой сверх ценных идей, которые приобретают характер бреда. Думаю, что такое безопасность тут знают лучше меня, поэтому давать определение безопасности не буду.
Безопасность сайта на wordpress в режиме паранойя, так я называю те меры безопасности, которые применил к одному своему сайту, но это не сильно помогает – два раза в месяц известный российский поисковик находит на нем вредоносный код, а через день, он находит, что там нет кода. Думаю, это связано с ошибками алгоритмов этого поисковика. Это удивительно, но не об этом статья.
Для тех, кто использует движок wordpress. Наверное, будет интересно то, как максимально можно его защитить от взлома. Перед тем как писать эту статью я посмотрел, может не стоит этого делать? Может итак уже полно информации на эту тему в интернете, и нечего повторять сказанное другими? Информации много, но вся не систематизирована и как-то подается фрагментами.
Самое первое, что Вам необходимо сделать – поменять свой пароль на сложный пароль. Не нужно писать пароль типа даты вашего рождения или фамилии. К примеру, пароль Ivan1969 это плохой пароль, а пароль c@hQLz@X@t@Es7 это то, что нужно.
Думаю, я пока никого не удивил.
Далее, у вас не должно быть пользователя по имени admin. Злоумышленник без труда подберет Ваш логин. Это не сложно сделать, зарегистрировав еще одного пользователя с правами администратора и удалив пользователя admin. При этом все записи и комментарии пользователя admin не забудьте прикрепить к новому вашему пользователю, в противном случае все ваши записи удалятся. Осторожно с этим пунктом.
Измените префиксы таблиц. По умолчанию там стоит префикс WP_. Это сделать можно ручками, а можно с помощью плагинов, я пользуюсь WP-Security.
Скройте вашу версию wordpress. Это сделать можно при помощи того же плагина.
Всегда вовремя обновляйте версию движка до последней версии, а так же все плагины необходимо обновлять.
Для начала, я разрешил доступ к админке, папке wp-admin, только со своего IP адреса.
Затем, при помощи этого же файла запретил листинг папок, кстати, не забудьте запретить доступ к файлу wp-config.php, прав 644 мне показалось маловато.
Посмотрите, с какого ip очень много заходов и забаньте его – подбирают пароль, однозначно. Важно знать что, есть великолепный плагин Login LockDown, который не дает подобрать пароль – он делает задержку при 3 неправильных попытках на 5 минут, к примеру. Но тут одна особенность, если продаете ссылки не забаньте случайно бота биржи ссылок, который заходит для проверки наличия ссылок. Запретить можно как из админки хостинга, так и с помощью файла .htaccess.
Очень часто сайты взламывают через FTP. Решение есть — просто запретите доступ к сайту через FTP, создав в корневом каталоге сайта файл .ftpaccess. Я полностью не запретил, а разрешил только со своего IP адреса доступ.
Специально не буду приводить примеры как все это делать, этого добра в интернете полно.
Далее, переместите файл wp-config.php на один уровень выше, но это можно делать если движок вашего сайта залит в корневую папку типа /public_html/. Если worpdpress его не находит там, то ищет на уровень выше.
Обязательно проверьте права доступа к папкам и файлам к папкам должны быть 755 или 750, а к файлам 644.
Регулярно меняйте пароли, я меняю раз в неделю, и делайте бэкап.
Что еще хотелось сказать про безопасность? Нужно на вашем домашнем компьютере установить нормальный антивирус и не храните пароли на компьютере, а если и храните, то пользуйтесь шифрованием. Я храню пароли в записной книжке, это гарантия, что хакер их не сможет достать, а записная книжка лежит на полочке.
Может я что-то упустил из вида или не знаю, подскажите.
Безопасность сайта на wordpress в режиме паранойя, так я называю те меры безопасности, которые применил к одному своему сайту, но это не сильно помогает – два раза в месяц известный российский поисковик находит на нем вредоносный код, а через день, он находит, что там нет кода. Думаю, это связано с ошибками алгоритмов этого поисковика. Это удивительно, но не об этом статья.
Для тех, кто использует движок wordpress. Наверное, будет интересно то, как максимально можно его защитить от взлома. Перед тем как писать эту статью я посмотрел, может не стоит этого делать? Может итак уже полно информации на эту тему в интернете, и нечего повторять сказанное другими? Информации много, но вся не систематизирована и как-то подается фрагментами.
Итак, полное руководство по безопасности для вашего сайта на wordpress.
Самое первое, что Вам необходимо сделать – поменять свой пароль на сложный пароль. Не нужно писать пароль типа даты вашего рождения или фамилии. К примеру, пароль Ivan1969 это плохой пароль, а пароль c@hQLz@X@t@Es7 это то, что нужно.
Думаю, я пока никого не удивил.
Далее, у вас не должно быть пользователя по имени admin. Злоумышленник без труда подберет Ваш логин. Это не сложно сделать, зарегистрировав еще одного пользователя с правами администратора и удалив пользователя admin. При этом все записи и комментарии пользователя admin не забудьте прикрепить к новому вашему пользователю, в противном случае все ваши записи удалятся. Осторожно с этим пунктом.
Измените префиксы таблиц. По умолчанию там стоит префикс WP_. Это сделать можно ручками, а можно с помощью плагинов, я пользуюсь WP-Security.
Скройте вашу версию wordpress. Это сделать можно при помощи того же плагина.
Всегда вовремя обновляйте версию движка до последней версии, а так же все плагины необходимо обновлять.
Далее у нас по плану манипуляции с файлом .htaccess
Для начала, я разрешил доступ к админке, папке wp-admin, только со своего IP адреса.
Затем, при помощи этого же файла запретил листинг папок, кстати, не забудьте запретить доступ к файлу wp-config.php, прав 644 мне показалось маловато.
Посмотрите, с какого ip очень много заходов и забаньте его – подбирают пароль, однозначно. Важно знать что, есть великолепный плагин Login LockDown, который не дает подобрать пароль – он делает задержку при 3 неправильных попытках на 5 минут, к примеру. Но тут одна особенность, если продаете ссылки не забаньте случайно бота биржи ссылок, который заходит для проверки наличия ссылок. Запретить можно как из админки хостинга, так и с помощью файла .htaccess.
Очень часто сайты взламывают через FTP. Решение есть — просто запретите доступ к сайту через FTP, создав в корневом каталоге сайта файл .ftpaccess. Я полностью не запретил, а разрешил только со своего IP адреса доступ.
Специально не буду приводить примеры как все это делать, этого добра в интернете полно.
Файлы и папки
Далее, переместите файл wp-config.php на один уровень выше, но это можно делать если движок вашего сайта залит в корневую папку типа /public_html/. Если worpdpress его не находит там, то ищет на уровень выше.
Обязательно проверьте права доступа к папкам и файлам к папкам должны быть 755 или 750, а к файлам 644.
Регулярно меняйте пароли, я меняю раз в неделю, и делайте бэкап.
Дома безопасно?
Что еще хотелось сказать про безопасность? Нужно на вашем домашнем компьютере установить нормальный антивирус и не храните пароли на компьютере, а если и храните, то пользуйтесь шифрованием. Я храню пароли в записной книжке, это гарантия, что хакер их не сможет достать, а записная книжка лежит на полочке.
Может я что-то упустил из вида или не знаю, подскажите.