Как сделать WordPress безопасным?

Публикация от 05.12.2013

Успешный сайт, написанный на WordPress должен иметь хорошую защиту от мошенников и просто людей, которые не слишком рады вашему успеху. Сайт с неправильной конфигурацией может быть подвержен атаками злодеев и от этого может пострадать как сам сайт, так и ваша репутация.



Давайте рассмотрим некоторые способы как сделать WordPress безопасным.
Измените пользовательское имя администратора.
Это самый простой способ для защиты WordPress-сайта. Уникальное имя значительно снижает шанс успешной атаки перебором. Если имя администратора известно мошенику, тогда он начинает искать только пароль, в другом случае задача усложняется и взломать такой сайт в разы сложнее. Нигде не вывешивайте новое имя админа.
Измените оповещения о неверных данных при входе в систему.
По стандарту WordPress выполнен таким образом, что он будет оповещать пользователя в случае введения неверного пароля. Это указывает хакеру на его ошибку. Уведомление, которое будет показывать неправильность пароля или логина лучше изменить таким образом, чтобы не было написано, что именно введено неправильно, логин или пароль.

Для того, чтобы в системе отображалось именно такое безопасное уведомление, следует добавить такие строчки в файлик functions.php вашей темы WordPress:

function my_failed_login () {
return ‘The login information you submitted is incorrect. Please try again!’
}
add_filter ( ‘login_errors’, ‘my_failed_login ‘ );
Уберите информацию о том, какая версия WordPress используется
Никто, кроме администратора не должен знать версию используемого WordPress. Это сильная уязвимость в противном случае! Например, ваш сайт сделан на WordPress 3.1, а последняя версия WordPress 3.5.1. С момента выхода 3.1 было исправлено много багов, которых нет в поздних версиях. Хакеры больше знают о старых версиях, они могут использовать свои знания, опираясь на те недоработки разработчиков. Вы можете легко убрать информацию об версии WordPress с исходного кода.
Чтобы убрать эту информацию следует в файле functions.php добавить такой код:
function remove_my_wp_version () {
return »;
}
add_filter ( ‘the_generator’, ‘remove_my_wp_version );
Разрешите пользователю сайта регистрароваться только в том случае, когда это будет нужно.
По умолчанию WordPress не предусматривает постоянную регистрацию пользователей сайта. Настройки не нужно менять до того времени, как будете нуждаться в регистрации пользователей. Чтобы проверить, разрешена ли регистрация перейдите в настройки, а именно в пункт «Общие». Там должно быть место для простановки галочки «Регистрация разрешена всем».
Всегда используйте обновленные версии WordPress, ведь более свежие версии админки являются менее уязвимыми к хакерам. Также будет правильно, если вы поставите в системе администрирования запрет на редактирование файлов в папке wp-admin.

Читайте также о том, что такое промышленный шпионаж и информационая защита.

Оцените, пожалуйста!
Оставить отзыв

Имя

Почта (не отображается)