Как да си направим WordPress безопасно
Успешно WordPress-сайт трябва да бъде толкова сигурна, колкото е възможно. Сайтът с грешна конфигурация могат лесно да бъдат разбити от хакери. В тази статия ще обсъдим какви мерки трябва да бъдат взети, за да се направи по-сигурна WordPress, колкото е възможно.
Промяна на потребителското име на администратора
Тази проста, но много важна стъпка ще ви позволи да защитите WordPress. Уникалната името на администратора да усложни поведение груба сила атака. Ако името на администратора е известно, нападателят може да се определи само паролата си. Ако това не е известно, нападателят ще трябва да реши проблема с две неизвестни.
Промяна на уведомлението за неверни данни, за да влезете в
По подразбиране, WordPress е конфигуриран да информира потребителя, че той е влязъл неправилни име и парола. Това е уязвимост. Както бе споменато по-горе, на уникално потребителско име на администратора повишава степента на защита от грубата сила атаки WordPress. Уведомление, което не се посочва каква част от информацията за регистрация е въведен неправилно, също така ще повиши степента на защита на обекта срещу атака.
За да се покаже по-сигурно уведомяване за влизане неверни данни в системата, добавете следния код във вашия WordPress теми functions.php файла:
функция my_failed_login () връщане "данните за вход, представен е неправилно. Моля, опитайте отново!
>
add_filter ( "login_errors", "my_failed_login");
Премахване на информация за версията на WordPress от изходния код
Никой не може, освен че не знаете коя версия на WordPress, който използвате на вашия сайт. Освен това, тя е много сериозна уязвимост. Да предположим, че вашия сайт се захранва от WordPress 3.1, и най-новата версия на WordPress - 3.5.1. От пускането на версия 3.1. бе коригиран няколко грешки и тези грешки не са открити в по-нови версии, е известно, че всички, включително и хакери. Нападателите са ресане мрежа уеб сайтове позиция в изходния код, който съдържа версия на WordPress на, както и че все още не са актуализирани до последната версия.
За да премахнете версия на WordPress изходен код, добавете следния код във вашия WordPress теми functions.php файла:
функция remove_my_wp_version () връщане '';
>
add_filter ( "the_generator", "remove_my_wp_version);
Позволете регистрирани потребители само при необходимост
нов WordPress регистрацията на потребителя по подразбиране не е позволено. Не променяйте настройките, с изключение на случаите, когато наистина искате да позволи на потребителите да се регистрират на сайта си. За да проверите дали регистрацията е забранено на вашия WordPress сайт, отидете на интерфейса на WordPress администрация, кликнете Settings-> General и се уверете, за да отбележете в полето "Регистър решен всичко" е била отстранена.
Уверете се, че използването на най-новата версия на WordPress
Както бе споменато по-горе, WordPress трябва да се актуализира редовно. Използването на по-старите версии на WordPress може да направи сайта си уязвим за хакери, които биха могли да се възползват от грешки, които са фиксирани в по-новите версии.
Деактивиране на файлове в папката WP-администратор
По подразбиране администратор WordPress е разрешено да редактирате файлове теми и плъгини, използвайки администраторския панел. Ако атакуващият превземе достъп до вашия панел за, първото нещо, което ще направя - се опита да направи промени във файла с помощта на WordPress функции за редактиране на PHP-файлове. За да се избегне това и да забраните напълно функция за редактиране на файлове с административен панел, добавете следния код във файла за WP-config.php.
Да не се използва плъгини за изпълнение на код
Промяна на префикса на маса
Повечето хакери, специализирани в WordPress, предполагат, че стандартна таблица префикс wp_. Промяна на таблицата с префикс ще помогне за блокиране на поне някои от атаките, свързани с въвеждането на SQL-код. За да промените префикса маса на инсталираната версия на WordPress, промяна на следния ред във файла за WP-config.php.
Ако е инсталирана WordPress, с изключение на промените в определен низ, трябва да преименувате съществуващ масата. Това може да стане с помощта на плъгини, като Промяна префикс маса.
Използвайте ограничени права за достъп до сигурността на папката
Използвайте възможно най-малко на правата на достъп до файлове и папки. Уверете се, че папката WP-администратор и WP-включва достъпни само за потребителите си. WP-съдържание директория трябва да бъде достъпна само за вашия потребител и потребител на уеб сървъра. За най-добри права за достъп до конфигуриране на файлове и папки, да се използва директорията WordPress.