Главная » Ведение блога » Как защитить сайт на wordpress от взлома?

Как защитить сайт на wordpress от взлома?

защита wordpress от взлома


Привет, друзья!
В сегодняшней статье я напишу о том, как защитить wordpress от взлома. Вы узнаете несколько хороших, и проверенный на практике способов защити любого сайта или блога от злоумышленников.

Вы также можете прочитать и другие похожие посты: «Как защитить контент от копирования на вашем сайте?», «Как не потерять блог за одну секунду?», «Как проверить кроссбраузерность сайта?», «Как найти и удалить битые ссылки на сайте

Когда я подбирал ключевые слова для этой статьи, то очень сильно удивился, что так мало людей вводят в поисковые системы запросы, типа: «защита wordpress от взлома», «как защитить wordpress», «как защитить сайт» и .т. д. Многие, почему-то думают, что с их ресурсом ничего не случится, но на самом деле, это вовсе неверно. Случаев, когда вебмастеры теряли свои сайты, было очень много. Поэтому, мы должны сделать все, чтобы защитить свой блог.

Итак, вот вам 10 советов о том, как защитить wordpress от взлома.

1. Поставьте сложные пароли:

  • Пароль и имя пользователя для входа в админку;
  • Пароль базы данных;
  • Пароль для связи с сервером;
  • Пароль для входа на почту, к которой привязан сайт.

Многие, возможно, спросят, а зачем на почту? Если вашу почту взломают, то тогда достаточно будет угадать имя пользователя, а пароль можно будет запросить новый. Нужно подбирать сложные пароли. Вот приведу пример хорошего пароля:

TgHYFjcqKJH56nvhq423G5hl57FDjcMX10TYTdgk2f djn ghbvt45

А вот пример плохого пароля:

qwerrewq

Сменить имя пользователя и пароль в админке нельзя, но это можно сделать в phpMyAdmin. Сначала зайдите в администрирование базы данных.

phpmyadmin

Потом выберите нужную вам базу данных и откройте таблицу wp_users. Дальше нажмите «изменить».

wp_users

Давайте сначала изменим имя пользователя. По умолчанию на многих блогах имя пользователя – «admin». Вам нужно изменить слово «admin» на сложные буквы и цифры. И изменить это слово нужно в двух местах:

user_login
user_nicename

А, для того, что бы изменить пароль, нужно удалить все иероглифы, которые есть напротив строчки user_pass и поставить свой новый пароль. Потом напротив тот же таблицы user_pass с выпадающего списка нужно выбрать функцию MD5 (если кликнуть по картинке, то она откроется в новом окне).

как защитить wordpress от взлома

Для того, чтобы изменить пароль к базе данных, нужно зайти в раздел «базы данных» и нажать на кнопку «редактировать». Дальше указываем новый пароль и сохраняем. После этого открываем файл wp-config.php и указываем новый пароль и там. Для этого нужно изменить вот эту строчку:

/** Пароль MySQL */
define('DB_PASSWORD', 'здесь нужно указать пароль');

Если поставить надежные пароли, то можно считать, что защита вордпресс от взлома увеличилась в несколько раз.
2. Установите плагин Login LockDown.
Есть очень много различных программ, которые умеют подбирать пароли для сайта. Плагин Login LockDown ограничивает количество попыток ввода неверного пароля. Например, вы можете указать в настройках, что если пользователь введет три раза пароль неверно, то его нужно заблокировать на 10 минут. Мне кажется, очень неплохо.

3. Удалите файлы Readme.html и License.html
Эти файлы для вас абсолютно бесполезны, но они могут пригодиться другим нехорошим дядям ;-). По ним можно узнать версию wordpress и многое другое. Найти файлы Readme.html и License.html вы можете в корневом каталоге вашего сайта, там, где wp-content, wp-includes и т. д. Можете смело удалять их и не бояться, что ваш сайт перестанет работать.

4. Не показывайте версию движка wordpress.
Злоумышленникам очень важно знать, какая версия вашего движка wordpress. Для того, чтобы ее скрыть, нужно открыть файл header.php и удалить там вот эту строчку:

<meta name=”generator” content=”WordPress <?php bloginfo(‘version’); ?>” />

Но иногда этого недостаточно, и при просмотре исходного кода страницы версию все равно видно. Чтобы спрятать ее, откройте еще файл functions.php и в самом низу перед ?> добавьте вот такой код:

function remove_version_info() {
     return '';
}
add_filter('the_generator', 'remove_version_info');

Вот теперь вашу версию точно никто не узнает ;-).

5. Наберите в вашем браузере вот такие адреса:

  • http://ваш сайт/wp-content/plugins/
  • http://ваш сайт/wp-content/
  • http://ваш сайт/wp-includes/

По идеи в браузере должно быть пусто, если у вас так и есть, то все хорошо. Но если вы увидели по этим адресам какие-нибудь файлы, то зайдите в папки plugins, wp-content, wp-includes и создайте там пустой файл с названием index.php. Потом еще раз проверьте, теперь в этих папках никто кроме вас не должен ничего увидеть.

6. Защитите файл wp-config.php.
В этом файле присутствует названия базы данных, логин и пароль. Это очень важная информация, которая поможет злоумышленникам взломать ваш ресурс. Для того, чтобы спрятать этот файл от обычных пользователей, нужно добавить вот такой код в файл .htaccess:

<files wp-config.php>
order allow,deny
deny from all
</files>

7. Уберите ошибку в админке
Когда посетитель вводит неверный пароль для входа в админку, то перед ним выскакивает ошибка о том, что пароль введен неверно. А это значит, что имя пользователя удалось подобрать. Эта информация может быть полезна для нехороших людей :smile:, и чтобы ее скрыть нужно в файл functions.php добавить вот такой код:

add_filter('login_errors',create_function('$a', "return null;"));

8. Старайтесь не использовать протокол ftp для связи с хостингом.
Многие пользуются бесплатной программой Filezilla, для того, чтобы закачать какой-нибудь файл на хостинг, но это не есть хорошо. Дело в том, что эта программа сохраняет пароли, и их можно легко своровать при помощи различных вирусов. Таких случаев в интернете было уже немало. Поэтому лучше использовать протокол ssh. Также можно пользоваться программой Win SCP в ней пароли не сохраняются, и их никто не сможет своровать.

9. Обновляйте все плагины и движок WordPress.
Каждый плагин или движок после обновления становится лучше и он уже не содержит тех дыр, которые есть в старой версии. Поэтому, если выходит новая версия движка wordpress то нужно сразу обновиться, тоже самое касается и плагинов. Также, ненужные плагины лучше вообще удалить, во-первых, это ускорит ваш ресурс, а во-вторых, чем меньше плагинов, тем меньше будет дыр на сайте. Вот самые лучшие плагины для WordPress которые установлены на моем блоге.

10. Запретите регистрацию пользователь.
Иногда на некоторых блогах для того, чтобы оставить комментарий, нужно сначала зарегистрироваться. Каждый вебмастер сам для себя решает, что ему делать на своем блоге, но у зарегистрированного пользователя больше возможностей взломать сайт. Админка одинакова, как для администратора, так и для зарегистрированного пользователя, поэтому регистрацию, на мой взгляд, лучше запретить.

Вот и все на сегодня. Получилось 10 способов, если их всех проделать, то защита wordpress от взлома увеличиться в 100 раз ;-). А какие способы для защиты блога знаете вы?

vachevskiy 4 ноября 2013
  1. Наталия

    Спасибо вам большое за такой подробный пост, теперь мой блог точно никто не взломает ;-)

  2. Олег

    Первый пункт понравился больше всего

  3. пенк

    По статистике сайты на ворд пресс взламывают чаще всего. А дополнительные модули перегружаю сайт — большинство хостингов не вывозят...

  4. Светлана

    Да, доп. модули перегружают сайт. Почти все хостинги без vps не вывезут нагрузку

  5. Спасибо, статья актуальна, такие простые вещи могут существенно снизить возможность взлома блога.