Запустив блог, вы можете столкнуться с потенциальными попытками взломать его. Грабитель будет использовать существующие уязвимости, и методы атаки будут другими. Итак, давайте сделаем хакера немного сложнее заранее, следуя нескольким правилам и делая простые модификации.
1. Выполнение обновлений скрипта, темы и плагина
Выпущенные обновления закрывают уязвимости, которые значительно облегчают хакерскую атаку. Простое правило, но очень эффективное.
2. Выполнение регулярного резервного копирования файлов и базы данных
Создав резервную копию нашего блога в случае его утери или повреждения, мы можем быстро восстановить его из вашей копии. Это хорошая идея, чтобы установить плагин, который автоматически создает резервные копии через определенные промежутки времени: Автоматическое резервное копирование вашего блога WordPress
3. Удалить информацию о версии скрипта
в файле functions.php нашей темы мы добавляем следующую строку в конце:
remove_action('wp_head', 'wp_generator');
мы также проверяем файл header.php темы и при необходимости удаляем строку из кода
4. Блокировка отображения содержимого каталога
мы помещаем файл index.html / index.php в каждый каталог на сервере. Метод не позволит грабителю просматривать содержимое каталога. В качестве альтернативы вставьте строку: Опции -Indexes в файл .htaccess в главном каталоге.
5. Отключаем регистрацию в блоге
мы обычно сами ведем блог, поэтому отключаем регистрацию: Настройки >>> Членство >>> Снимите отметку Любой может зарегистрироваться
Затем, при необходимости, мы можем вручную добавить нового пользователя.
6. Каталоги паролей
мы защищаем паролем каталог wp-admin и блокируем доступ к файлу wp-config.php. Описание того, как это сделать: Защита паролем каталогов на веб-сервере .
Защита каталога администратора с помощью пароля дает нам так называемые двойная авторизация >>> сначала авторизация для доступа к каталогу, затем обычная авторизация путем ввода логина и пароля в нашу учетную запись.
Кстати, я упомяну здесь использование сложных паролей. Хороший пароль – это строка случайных символов, включая прописные и строчные буквы, цифры и специальные символы. Мы можем создать хороший пароль с помощью специального приложения: Генератор паролей + ссылка:
Мы также можем изменить каталог с исходными файлами WordPress (
– мы создаем новый каталог на сервере, например, блог
– перейдите в кокпит >>> Настройки >>> Общие
– в «WordPress URL» введите путь к каталогу, например, https://example.com/blog
– в разделе «URL-адрес веб-сайта» мы оставляем основной адрес, например, https://example.com/.
сохранить настройки. Мы игнорируем ошибку расположения файла скрипта
– перемещаем файлы в новый каталог
– мы копируем файлы: index.php и .htaccess в корневой каталог блога
– мы открываем файл index.php из корневого каталога в редакторе и редактируем:
require('./wp-blog-header.php');
добавление перед именем созданного каталога, например,
require('./blog/wp-blog-header.php');
– войти в новое место. Каталог администратора теперь находится в новом месте, например, https://example.com/blog/wp-admin/.
– перенастроить прямые ссылки
7. Изменение префикса таблицы базы данных
на этапе установки нового блога мы меняем префикс по умолчанию для таблиц wp_ на другой, например, 2b6k_
В существующем блоге мы экспортируем базу данных и открываем ее в блокноте для программирования . Используя опцию Replace, мы меняем префикс по умолчанию на новый. Мы импортируем базу. Затем в файле wp-config.php мы редактируем элемент с префиксом таблицы для нового.
/** * Prefiks tabel WordPressa w bazie danych. * * Moşesz posiadać kilka instalacji WordPressa w jednej bazie danych, * jeşeli nadasz kaşdej z nich unikalny prefiks. * Tylko cyfry, litery i znaki podkreślenia, proszę! */ $table_prefix = 'wp_';
8. Блокировка индексации каталогов ботами в файле robots.txt
robots.txt не позволит ботам индексировать ключевые и личные папки. Если мы этого не сделаем, сапоги могут проиндексировать наши каталоги на сервере и показать их миру в результатах поиска:
9. Мы меняем имя пользователя по умолчанию с admin на другое
на этапе установки нового блога мы меняем имя пользователя по умолчанию «admin» на другое. Если блог уже существует, мы редактируем имя пользователя в базе данных >>> в таблице wp_users мы редактируем user_login и user_nicename, вводя новое имя пользователя
Кроме того, изменение идентификатора пользователя от 1 до, например, 2. Нам также необходимо изменить все записи идентификатора пользователя в таблице wp-usermeta. В противном случае мы не будем входить в админку
«У вас недостаточно прав для входа на эту страницу»
Аналогичная запись: Методы для защиты форума MyBB