Основной недостаток wordpress, как и любой другой открытой бесплатной платформы для блогов – это конечно ее доступность в том числе злоумышленникам. Скачал, изучил, нашел ошибки. И вперед ломать). В этой статье рассмотрим основные способы защиты блога на wordpress.
1. Удаление информации о версии WordPress
Скрыть версию движка wordpress можно вручную. Удалите из header.php,sidebar.php и footer.php, также из RSS фида в папке /wp-includes/ строчку
<meta name=”generator” content=”WordPress 2.5″ />
Либо просто измените название CMS
<meta name=”generator” content=”Joomla” />
или версию движка в папке /wp-icludes/ в файле version.php
Можно поступить еще проще. Скачать плагин для удаления версии движка wordpress –
2. Ограничение доступа к директориям wp-content и wp-includes
Запрещаем в этих директориях доступ к любым файлам, кроме изображений, файлов JavaScript и CSS. Для этого в данных директориях создаем файл .htaccess со следующим содержимым:
Order Allow,Deny
Deny from all
<Files ~ “.(css|jpe?g|png|gif|js)$”>
Allow from all
</Files>
Кроме того нужно запретить просмотр файлов в директориях. Для этого можно разместить пустой index.htm в каждой папке. Но есть способ проще. В корневой папке сайта в файле .htaccess добавляем строку
Options All -Indexes
Начиная с wordpress 2.6 можно изменить путь к папке wp-content.
Для этого в файл wp-config.php нужно добавить строку следующего содержания:
define(’WP_CONTENT_DIR’, ‘http://3pu.info/secret/wp-content’);
3. Ограничение доступа к директории wp-admin.
В этой папке находятся скрипты для управления Вашим блогом, поэтому обязательно ограничьте эту директории от посторонних.
Для этого генерируем файл .htpasswd, например с помощью , такого вида:
htpasswd -mbc .htpasswd USER PASSWORD
,где USER – имя пользователя, а PASSWORD – его пароль. Полученный файл кладем в папку wp-admin вместе с .htaccess со следующими инструкциями:
AuthUserFile /путь от корневого каталога/.htpasswd
AuthType Basic
AuthName “Access_Control”
Require valid-user
Оптимальное решение – это плагин , делающий это автоматически.
Через .htaccess можно разрешить доступ к админке с определенного IP. Для этого добавляем следующий код для .htaccess в основной директории:
Order Allow,Deny
Allow from 0.0.0.0
И для .htaccess в папке wp-admin:
Order Allow,Deny
Allow from 0.0.0.0
Где 0.0.0.0 – это ваш IP-адрес. Если он у вас динамический и постоянно меняется, то пишем 0.0.0 без точки в конце.
4. Изменение префикса таблиц в базе данных WordPress
По умолчанию префикс WordPress таблиц – wp_, то есть все таблицы в базе данных начинаются с этих символов. Большинство ботов, использующих SQL-инъекцию (SQL-Injections), применяют стандартные имена таблиц. Изменив их префикс, мы снизим риски ориентированных SQL атак.
До установки WordPress необходимо отредактировать файл wp_config.php. Находим строку:
$table_prefix = ‘wp_’;
и заменяем ,допустим, на:
$table_prefix = ‘mywp_’;
Если WordPress уже установлен, то делаем следующее.
Переименовываем вручную все существующие в базе WordPress таблицы, выполнив несколько несложных SQL запросов:
RENAME TABLE wp_posts TO myprefix_posts;
И так для каждой таблицы. Имена и количество таблиц зависят от установленной версии WordPress.
5. Переименование имени администратора по умолчанию
По умолчанию учетная запись администратора в WordPress имеет логин admin.
Поменять логин можно с помощью sql-запроса к базе данных:
UPDATE wp_users SET user_login=’admin’, user_login=’mylogin’;
Таким образом мы изменим логин на mylogin. Это обеспечит безопасность при попытке брутфорса учетной записи.
6. Отключение сообщений об ошибках
Сообщения об ошибках могут содержать очень много полезной информации не только для вас, но и для злоумышленника. Для отключения сообщений об ошибках можно использовать скрипт. .
Постовой
- Качаем мини игры бесплатно!
- “Продвинем вместе” (более 300 чит.) меняется постовыми.
- мониторинг сайтов Ежамоном.
Здесь можно оставить свои комментарии. Выпуск подготовленплагином wordpress для subscribe.ru
