Привіт, мої безцінні читачі! Радий вітати Вас на сторінках блогу FairHeart.ru. На жаль, від своїх читачів я дуже часто чую про зломи блогів на WordPress. Це дуже сумно, адже люди втрачають те, у що роками вкладали всі свої сили і купу часу. У цій статті я дам поради щодо збільшення безпеки WordPress. Вони допоможуть вам уникнути подібних неприємностей.
До питання безпеки WordPress ні в якому разі не можна підходити вузько, як до замкнутій ізольованій системі. Обов'язково потрібно стежити за безпекою комп'ютера, з якого ви заходите в адмінку WordPress, робочої пошти, використовуваних сторонніх сервісів і програм.
Поради з безпеки в цілому
Перші мої поради торкнутися питання роботи з паролями. Це основа основ, фундамент! Не лінуйтеся слідувати викладеним нижче правилам:
- використовуйте пароль довжиною не менше 8 символів з буквами в різному регістрі, числами і по можливості іншими символами;
- намагайтеся оновлювати його раз на пів року;
- ніколи не використовуйте в якості пароля слово в словнику, або поєднання таких слів;
- ніколи не зберігайте паролі в браузері і ftp клієнтів;
- використовуйте різні паролі для пошти, панелі адміністратора WP, хостингу і так далі;
- для другорядних форумів і сайтів, з яких ви хочете отримати тільки зворотне посилання, створіть окремий пассворд, який ніде на основних інтернет ресурсах не використовуватиметься і спеціальну пошту під спам;
- не зберігайте паролі в текстовому документі на комп'ютері, якщо не можете запам'ятати їх все - втечете до допомоги спеціальних програм (де зберігати паролі?);
- ніколи не та використовуйте свій пассворд на незнайомому комп'ютері. Наприклад, в інтернет-кафе.
Будь-які заходи, спрямовані на збільшення безпеки WordPress. можуть виявитися марними, якщо ваш комп'ютер в цілому не захищений. Щодо захисту комп'ютерів від атак зловмисників, вірусів, троянів і іншої нечисті написана не одна книга, але заглиблюватися в нетрі цього я не буду - тільки найпростіше і найважливіше:
- Встановіть і використовуйте антивірус. Немає грошей на Dr. Web або Касперський - використовуйте безкоштовний avast.
- Чи не відвідуйте сумнівні інтернет ресурси і не завантажуйте сумнівні файли.
- Особливу увагу приділіть електронній пошті, там завжди вистачає небезпечного непотребу. Перед видаленням, відзначайте сумнівні листи як спам - антіспамние механізми на пошті здатні навчатися.
- Обов'язково оновлюйте програми на комп'ютері, особливо браузери.
ТОП-10 порад з безпеки WordPress
Ось 10 основних заходів, які необхідно вжити будь-якому власникові блогу, щоб звести ризик злому до мінімуму:
1. Обов'язково своєчасно встановлюйте оновлення WordPress і всіх активних плагінів.
4. Сховайте використовувану версію WP від очей сторонніх. Для цього відкрийте на редагування шаблон header.php і видаліть мета тег приблизно такого змісту:
Потім обов'язково видаліть з кореневої папки блогу на сервері файли readme.html і license.txt. На роботу блогу ніякого впливу вони не роблять.
5. Вкажіть в файлі .htaccess IP комп'ютерів, з яких ви заходите в адмінку WP. Тоді вхід з стороннього комп'ютера буде заборонений.
Тільки замість 107.345.580.0 вкажіть свій IP. Як дізнатися IP свого комп'ютера? Задайте це питання Яндексу - він його вам відразу покаже.
6. Використовуйте надійний пароль.
7. Не використовуйте стандартний обліковий запис admin. Створіть нову і для неї задайте права адміністратора, прив'яжіть до неї всі статті блогу, а стару обліковий запис (admin) видаліть.
8. Захистіть себе від XSS атак за допомогою плагіна Anti-XSS attack.
10. Встановіть для папок блогу на сервері мінімально необхідні для роботи права доступу (дивіться WP Security Scan нижче).
Anti-XSS attack
Плагін протидіє XSS атак на блог. Встановлюється стандартно, тільки обов'язково скачайте найсвіжішу версію Anti-XSS attack. Починає працювати відразу після активації і ніяких налаштувань не має. Якщо при спроби зайти в адмінку бачите подібну картину:
не лякайтеся, просто перейдіть по вказаній посилання, а далі як зазвичай.
Login LockDown
Вказує число можливих спроб введення пароля для доступу до панелі адміністратора WP за певний час. Якщо за відведений кількість спроб, ви так і не ввели правильний пассворд, админка блокується на вказане в настройках час.
Скачайте свіжу версію плагіна Login LockDown. встановіть і активуйте. Налаштувань у нього зовсім небагато, і розташовуються вони в розділі «Параметри» - «Login LockDown».
- Max Login Retries - кількість спроб введення пароля;
- Retry Time Period Restriction (minutes) - кількість хвилин, за яке вважаються спроби введення пароля;
- Lockout Length (minutes) - час у хвилинах, на яке блокується панель адміністратора WP;
- Lockout Invalid Usernames? - враховується не тільки помилковий введений пассворд, але і логін;
- Mask Login Errors? - приховує повідомлення про помилковому введенні логіна / пароля.
WP Security Scan
З установкою і активацією плагіна проблем виникнути не повинно, тільки обов'язково скачайте останню версію WP Security Scan. Під свої настройки створює окремий пункт в меню - WSD security.
Відразу після активації WP Security Scan просканує ваш WordPress і видасть результат у пункті Inital Scan. Червоним будуть виділені ті пункти, які не відповідають вимогам до безпеки.
Сканування проводиться по наступним пунктом:
- остання чи версія WP у вас встановлена;
- який префікс використовується для таблиць в базі даних - за замовчуванням використовується wp_, але краще поміняти його на інший. WP Security Scan дозволяє задати новий префікс БД в розділі Database своїх налаштувань;
- Прихована чи версія WordPress - про це я вже розповідав трохи вище;
- Перевіряє базу даних на помилки;
- Визначає під яким користувачем ви заходите і публікуєте статті в WordPress. Як я вже говорив вище, використовувати стандартний обліковий запис admin небезпечно;
- перевіряє настройки файлу .htaccess.
Крім інформації з безпеки WordPress, плагін видає детальну інформацію по серверу - System Information Scan.
У розділі Scanner налаштувань WP Security Scan представлена таблиця зі списком папок WP, для кожної з яких вказані права доступу, які необхідно використовувати в цілях безпеки (Needed Chmod), і поточні права доступу. Для зміни прав доступу можна використовувати ftp клієнт FileZilla.
У розділі Password Tools можна перевірити надійність пароля. Крім цього пропонується використовувати згенерований плагіном «сильний» пароль. Обов'язково прочитайте про те, як змінити пароль в WordPress.
Переходимо до налаштувань префікса БД - Database. Вкажіть будь-який інший префікс замість стандартного wp_, тільки не забудьте, що префікс повинен закінчуватися знаком _.
У решти пунктах налаштувань - options і support. нічого путнього немає.
На цьому все! Дякуємо за увагу. Підписуйтесь на RSS стрічку новин блога. Бережіть себе!
Ласкаво просимо на FairHeart.ru!
Три основні теми мого блогу:
З повагою, Дмитро Афонін