Найефективніша захист wordpress своїми руками!

Найефективніша захист wordpress своїми руками!

Звернемося до теорії. Які види зломів блогу можуть бути?

Пункт 1. Захист wordpress. Міняємо підказки при вході

Відкриваємо файл functions.php і вставляємо в кінець наступного код:

Тепер при введенні неправильного пароля, або неправильного логіна, або взагалі невірної інформації, буде спливати повідомлення, що дані невірні. При чому, навіть якщо логін правильний, а пароль немає, все одно буде писати: "невірні логін і пароль", що нам на руку.

Перебрати паролі буде тепер нереально, якщо будете використовувати плагін Login LockDown. про який я вже писав. Це плагін з розряду must have. Тому обов'язково ставте його!

Пункт 2. Захист wordpress. Захищаємо від xss-атак.

Пам'ятаю, що колись писав уже цілу статтю на цю тему, і пропонував там скачати спеціальний плагін. Сьогодні обійдемося без нього. Чесно кажучи, зараз зайшов в адмінку, в плагіни, і навіть не знайшов його. Видно, давно вже видалив. Зробимо все вручну!

Відкриваємо файл .htaccess. До речі, дуже рекомендую новачкам прочитати ось цю статтю про даний файл. Зрозумієте який він цікавий і важливий.

Рекомендую Вам зробити резервну копію файлу. Я, звичайно, спочатку на собі перевіряю, вже після цього пишу статтю, але тим не менш, краще перестрахуватися. А то хіба мало що. 🙂

Вставляємо в файл наступний код:

Усе! Тепер і до файлу підібратися буде неможливо. Якщо тільки не через хостинг або ftp.

Пункт 4. Приховуємо версію wordpress

Не знаю як вам, але особисто мене дістала функція генератора версії. Я просто не можу зрозуміти, для чого її роблять? Яка користь від того, що в хедері генерується значення: "Вордпресс 3.8". Для зломщиків користь велика. Адже це сильно полегшує їм роботу! Тепер не треба гадати, яка версія ВП у Вас стоїть. Навіть школярі можуть Вас зламати. Достатньо написати в пошуковику: "уразливості в вордпресс 3.4.2", якщо, наприклад, у Вас така версія. І все, вийде цілий список вразливостей і помилок, якими досить буде скористатися.

Найефективніша захист wordpress своїми руками!

Так ось, в хедері можете не колупатися - не знайдете Ви цю функцію 🙂 ​​Справа в тому, що вона додається через іншу функцію - wp_head (). На жаль, ця функція крім генератора додає ще безліч інших: підключення бібліотек для скриптів, підключення різних стилів і файлів. Можна, звичайно, через вихідний код скопіювати всі файли, яка ця функція вставляє, і вставити їх, а функцію видалити. Але движок часто оновлюється, і може бути так, що назва будь-якого файлу зміниться, або додасться інший. Тому рекомендую саму функцію залишити, але генератор ми з неї зможемо прибрати, завдяки файлу functions.php. Відкриваємо його.

Вставляємо наступний код:

remove_action ( 'wp_head'. 'wp_generator');

В принципі, Ви так можете взагалі будь-яку річ видалити з будь-якої функції. Метод remove_action () якраз цим і займається. Досить вказати в дужках спочатку назву функції, з якої щось треба видалити, а потім вже сам предмет видалення.

P.S. Настійно рекомендую також видаляти файли readme.html і license.txt. І видаляти їх після кожного оновлення движка. На жаль, ці файли також дають зайву інформацію про Ваш движку.

Пункт 5. Ssl-протокол.

Суть в наступному: всі ви помічали, що сайт починається з http. Адже так? Це незахищений протокол. Тобто, при введенні логіна, пароля, дані можна буде перехопити. Того ж провайдера. Хіба мало кого найняли в офіс провайдера.

Взагалі рідко таке зустрічається, але всяке може бути.

Найефективніша захист wordpress своїми руками!

Раніше якось обходилися без сертифіката, працюючи через хостинг. Чомусь зараз таке не працює. Спробував у двох хостерів. Так ось, в чому фішка. Сертифікат складається з двох частин. Перша шифрує дані. Друга їх отримує і розшифровує. Все дуже просто.

Після того, як сертифікат придбаний, підключаємо його на наш блог. Для цього відкриваємо файл wp-config.php. Вставляємо туди, бажано ближче до початку-центру, ось ці рядки:

Але особисто я не довіряю цій функції. Раптом працювати перестане, або ще щось трапиться. Шанс, звичайно, малий, але всяке може бути. Тому я вручну кидаю порожні файли в усі папки, які мені необхідно приховати.

Міняємо ім'я адміна

Велика частина блогерів залишає логін admin. Це величезна помилка. Скажіть, що легше, підібрати пароль (навіть якщо він з 50 символів) до вже відомого логіну, або підбирати море логінів, і до кожного з них пароль? Звичайно, другий варіант. Так ось, або створіть інший обліковий запис, з потрібним логіном, зайдіть через неї і видаліть існуючу admin. Або перейдіть в базу даних, і там в таблиці wp-users змініть логін на потрібний.

Змінюйте паролі на дуже складні. Взагалі для всього: для адмінки, для фтп, для бази даних. Закрийте очі, і просто на клавіатурі наберіть 20-30 символьний пароль, з великими і маленькими літерами, з цифрами і спец символами. Можете використовувати генератори паролів, але особисто у мене невелика параноя з цього приводу. Не довіряю генераторів і менеджерам паролів. А свій генератори лінь писати. Тому я роблю так: зберігаю в звичайному текстовому файлі все згенеровані паролі, і коли треба, відкриваю цей файл, копіюю пароль - заходжу в адмінку. Сам файл також в архіві з паролем.

Так, це набагато довше, ніж зберігати пароль в браузері або використовувати щось типу qwerty123. Але на жаль, якщо раптом вам "пощастить" виявитися зламаним, я думаю, часу на створення нового або відновлення цього блогу піде набагато більше.

Найефективніша захист wordpress своїми руками!

Раджу прочитати всі статті, які я давав в цьому уроці. Інформація зайвою не буває.

А то теж досить часто буває, коли люди з паблік шаблон скачують, а в ньому море вірусних скриптів.

На цьому у мене все, радий, що пройдено такий урок, як захист wordpress. Сподіваюся, він вселить Вас впевненість 🙂

До нових зустрічей!