Обеспечение безопасности Wordpress

2010-02-26 17:05:04

Wordpress info / Разработка под Wordpress / Обеспечение безопасности Wordpress

Кроме своей популярности среди блоггеров, Wordpress славится также своей «дырявостью» — множеством ошибок, из-за которых снижается безопасность. В этой статье я расскажу самые базовые приёмы защиты.

Все данные Вашего блога (посты, комментарии, учётные записи пользователей и т.д.) хранятся в базе данных. Поэтому основной целью защиты станет именно база данных.

В первую очередь рекомендуется переименовать префикс таблиц, т.к. злоумышленник, не зная имена таблиц меньше сможет нанести вреда (вопрос, конечно, очень спорный, однако береженого Бог бережёт). Качаем плагин WP Prefix Table Changer и переименовываем все таблицы (не забудьте сделать бэкап базы, мало ли как может себя повести плагин).

Далее переименуем учётную запись администратора блога, потому как по умолчанию она у всех - admin. Для этого, выполним запрос: UPDATE wp_users SET user_login = 'Konstantin' WHERE user_login = 'admin' LIMIT 1 (не забывайте про переименованый префикс! Вместо wp_ необходимо подставить Ваш новый префикс). Тем самым, при взломе методом брутфорса, Вы добавляете вдвое работу злоумышленнику, т.к. кроме пароля ему придётся подбирать ещё и логин. Кстати, намёк: в ОС семейства Unix хорошим тоном считается не работать из-под учётной записи с полными привилегиями (root), а создавать ограниченную учётную запись, и работать с ней.

Теперь будем делать более параноидальную защиту. Запретим доступ к директориям wp-content и wp-includes (оставим доступ только к изображениям, Яваскриптам и стилям). Для этого создаём файл .htaccess в корне этих директорий со следующим содержанием:

Order Allow,Deny Deny from all Allow from all

А если Вы, как администратор блога, планируете заходить всё время с одного и того же IP-адреса, то можете защитить админку, закрыв доступ по IP. Для этого, опять-таки, создайте файл .htaccess в папке wp-admin со следующим содержанием:

Order deny,allow Allow from 127.0.0.1 #здесь, вместо 127.0.0.1 необходимо указать Ваш IPDeny from all

Ну, я думаю, для начала хватит. Советую ко всему вышеперечисленному почаще делать бэкапы БД (и кода, если вносите в него изменения) и следить, по возможности, за обнаруженными уязвимостями как в самом Wordpress, так и в его плагинах. И тогда будете чувствовать себя защищёнными!

Предыдущая статья: Создание облака тегов Wordpress - wp_tag_cloud
Следующая статья: 13 полезных плагинов для Вордпресс

Комментарии


Комментариев нет. Вы можете высказаться первым

Оставить комментарий
Никнейм:
Комментарий:
Ваш комментарий: