Сегодня мы поговорим о том, как надежно защитить блог на движке WordPress. Поскольку я сейчас дорабатываю новую тему для своего блога, то решил сразу ее защитить от взлома при помощи простых правил. Обо всем сегодня и напишу в статье.
Также вы узнаете для чего защищать свой ресурс, чем грозит отсутствие защиты и как избежать проблем со своим сайтом? Данные правила актуальны для блогов, созданных на движке WordPress!
Создать сайт и начать его правильно вести не достаточно, обязательно необходимо подумать про безопасность содержимого и “повесить замок на блог”. После этого только вы или кто-либо с Вашего ведома может зайти в административную часть блога и совершать там редактирование. По аналогии со своим домом или квартирой, вы же устанавливаете надежный замок с самого начала, а не тогда, когда уже поживете определенное время.
Так и с блогом: защитите, настройте и потом только пишите посты и продвигайте свой сайт.
Я расскажу только про самые основные способы защиты, давайте начнем.
Защита блога на WordPress
-
Установить плагин iThemes Security
Установить его просто, а вот настройкам нужно уделить некоторое время и досконально в них разобраться. После его установки вы будете полностью защищены от хакеров и тех, кто захочет причинить вред вашему блогу или получить доступ к нему.
Подробно про плагин iThemes Security я рассказываю в данной заметке:
Как правильно настроить плагин iThemes Security
2. Смените логин admin и выберите к нему надежный пароль
В надежном пароле регистры букв должны быть различные, используйте цифры, количество знаков не менее 8 (например, fsUYT34fT ).
Как сменить логин и пароль для хостинга Макхост я расскажу далее. О том, как получить доступ к хостингу Макхост бесплатно, я писал, довольно заманчивое и очень выгодное предложение.
Для смены стандартного логина и пароля заходим в административную панель на хостинге. После этого слева внизу жмем “Базы данных”
Нажимаем на стрелочку под “phpMyadmin”
После этого находим в таблицах свою, у меня она имеет вид a78****
Опускаемся вниз и находим папку wp_users, нажимаем на нее (подчеркнута красным)
Находите в таблице строку с надписью “admin” в поле user_login и нажимате на карандашек с надписью “Изменить”
Теперь нам необходимо продумать новый пароль илогин и внести их соответственно в поля:
Напротив “user_login” в столбце “значение” мы вводим новый логин
Напротив “user_pass” в столбце “значение” мы вводим новый пароль, при этом очень важно, чтобы в столбце “функция” вы выбрали MD5!
После этого опускаемся вниз и жмем “OK”
Все, теперь этот пункт у Вас выполнен. Если вы знаете более простые способы смены пароля и логина в адинке, пожалуйста используйте.
3. Удалите файлы readme.html и license.txt
Зайдите в корневую папку сайта и удалите файлы readme.html и license.txt
Вам пользы от них не будет никакой, а вот злоумышленникам могут узнать много интересного, имейте в виду!
Также откройте файл header.php в теме вашего сайта и удалите строку
<meta name="generator" content="WordPress <?php bloginfo('version'); ?>" />
Эта строка также указывает версию вордпресс. Если этой строки нет, то все в порядке в вашей теме и так.
4. Оперативно обновляйте движок WordPress и плагины
В любой версии движка хакеры со временем находят огрехи и лазейки. Для того, чтобы этого избежать, разработчики программного обеспечения постоянно совершенствуют свои продукты и нам необходимо пользоваться не устаревшими версиями, а стабильными новыми.
Я сам не сторонник новые программы и движки сразу брать и устанавливать, но особо затягивать с обновлениями не стоит, имейте в виду.
5. Защитите основные папки блога
Пропишите в строке браузера вот такую запись (вместо ваш блог впишите свой url)
http://ваш блог/wp-content/
http://ваш блог/wp-content/plugins/
Если заходя вы видите пустую страницу, тогда все хорошо. Если же становится доступным содержимое папок, тогда необходимо это исправить.
Необходимо создать в каждой из этих директорий пустой файл index.php
После этого опять сделайте проверку, если видите пустую страницу, все хорошо, идем дальше.
6. Проверяйте свои плагины
Если плагины для Вас не актуальны или не активны, то удалите их вовсе.
Как только появляются обновления для плагинов, жмите “обновить автоматически”
Используйте на блоге только самые необходимые плагины, помните, что большое количество замедляет Ваш блог.
О том, как ускорить свой блог, я расскажу в ближайшее время, не пропустите!
Напоминаю, что на блоге продолжается конкурс комментаторов, в конце месяца самые активные получат денежные призы. Только прошу обратить внимание, что необходимо соблюдать некоторые правила, которые опубликованы тут.
Основные моменты по защите блога я сегодня раскрыл, не забывайте использовать эти приемы у себя. Если еще не занимались этим вопросом, немедлено начните после прочтения этой статьи.
Если возникнут вопросы, я всегда на связи, пишите, спрашивайте, помогу. Если у Вас есть свои фишки для защиты блога, поделитесь в комментариях, буду признателен.
До новых встреч!
Интересные статьи по данной теме:
Как вывести HTML, PHP и другой код в статье wordpress?
Как создать свой блог новичку и что делать дальше?
Древовидные комментарии при помощи плагина WordPress Thread Comment
Внутренняя оптимизация сайта – основные моменты
View Comments (15)
Николай, благодарю за полезный пост. Некоторые вещи у меня были сделаны. Но кое-что сделал по Вашему посту. Вот только осталось найти плагин, который скрывает версию WordPress и удалить его. Теперь мне лишний плагин ни к чему :) Кстати, Вы не помните, как он называется?
Руслан, я не использую плагин для того, чтобы скрыть версию wordpress, считаю это лишним. У меня в посте и так все способы указыны для этого, а от плагинов лишних я рекомендую избавляться
Возможно у Вас установлены BulletProof Security, Secure WordPress поищите со словом Security, возможно.
Как раз хотел этим заняться)сейчас занимаюсь оптимизацией. Буду пользоваться твоим руководством)
Артем, если возникнут вопросы, пишите в комментариях. Я все проверил на своей новой теме. Главное, смените логин и пароль в админке на сложный
Главное защитить свой сайт с самого начала, а то потом уже будет столько проблем. Сам с этим столкнулся. В статье рассказано про самый минимум из того, что нужно сделать для защиты своего сайта.
Алексей, приветствую Вас на блоге.
Что же тогда еще входит в понятие защиты блога, если тут минимум? Какие вы проводите мероприятия по защите, поделитесь?
Спасибо за информацию, ведь существенные недостатки wordpressa-это то, что практически любой может узнать на какой платформе сайт. И тот кто захочет заполучить его себе сделает это, ведь недостатки есть.
Полезная статья, я все это сделал сразу как создал блог, а плагин Better WP Security абсолютна бесполезен!
Сергей, приветствую Вас на блоге, почитаю про эти плагины и отзывы к ним также. Давать лишнюю нагрузку на блог не хочу.
Еще желательно сменить префикс таблиц баз данных. Николай, очень рекомендую Better WP Security
Дизайн смотрю поменял на платный)
Гораздо лучше, чем было. Вот и я скоро обновлюсь)
Спасибо, Дмитрий, почитаю про этот плагин, возможно установлю.
Рад, что дизайн понравился :)
Еще WordFence Security настойчиво советую) Эти 2 плагина очень сильно повышают защиту блога
На блоге пользуюсь двумя плагинами защиты,это плагин Wordfence Security и плагин AntiVirus.
Отличную защиту дает.
Я у себя на блоге использую плагин Login Lock, он защищает от того чтобы никто не зашёл в админ панель. Если кто то не правильно вводит логин или пароль, то айпи адрес с которого пытались войти блокируется. Количество вводов данных и время можно настраивать самому. И на почту приходит уведомление, о том что кто то пытался войти. Отличный плагин много раза меня спасал. И продолжает каждый день спасать.
Я раньше его также использовал, но теперь у меня более масштабный установлен, я о нем писал