Сайт дня (как попасть): магазин игрушек
Безопасность любого сайта - очень важный момент, которым ни в коем случае не стоит пренебрегать. *Отвлекусь от громких слов - давно хотел добавить эту картинку, сегодня она отлично вписалась. Особенно мне понравилось, как получилось заменить надписи на щитах на эмблему WordPress 🙂 *
WordPress является очень популярным движком для блогов, который используется на множестве сайтов. Это вызывает повышенный интерес у злоумышленников, ведь, получив доступ к одному блогу на WordPress, они могут получить его ко многим другим блогам, действуя по той же схеме. Список уязвимостей WordPress можно посмотреть здесь.
На 100% защитить свой блог не получится. На любой вид защиты всегда найдутся специалисты, которые его обойдут. Это как у замков - какой бы ни создавали надежный замок, всегда найдется тот, кто его откроет.
Но не стоит отчаиваться. Каждый вид защиты создает определенные препятствия и трудности у злоумышленников. Чем больше препятствий, тем лучше.
Итак, приступим. Я начинаю цикл статей по безопасности WordPress, которые помогут вам повысить уровень безопасности вашего блога.
Не забывайте делать бекапы
Золотое правило, о котором нельзя забывать. Мало ли что. После публикации каждого нового поста я сохраняю базу данных с помощью замечательного плагина WP-DB-Backup. Если у вас не стоит этот плагин - рекомендую его обязательно поставить. С помощью этого плагина можно настроить так, что база данных вашего блога будет ежедневно или еженедельно автоматически приходить к вам на e-mail.
Также я регулярно сохраняю экспортный XML файл данных блога через меню админки Manage-Export (Управление-Экспорт).
Сохраняйте все файлы блога на компьютер
🔥 Кстати! Я провожу платный курс по продвижению англоязычных сайтов SEO Шаолинь seoshaolin.com. Для читателей блога я делаю хорошую скидку по промокоду "blog". Тариф Про стоит не 41, а 35 тыс. рублей. Тариф Лайт не 21, а 17 тыс. рублей. Тариф Команда не 58, а 50 тыс. рублей. Для получения скидки пишите мне на globatorseo@gmail.com с темой "Курс" или в Telegram @mikeshakin.Я всегда держу на компьютере локальную копию всех файлов блога, и ежемесячно ее записываю на dvd плюс каждую 1-2 недели сохраняю нужные файлы на внешний жесткий диск. Любые изменения в шаблонах или других файлах блога я сначала делаю на локальной копии, и только затем заливаю на хостинг.
Два раза в месяц я загружаю все новые картинки блога в его локальную копию. Это не раз выручало меня при переездах с хостинга на хостинг - все файлы блога, включая все картинки из постов, всегда под рукой.
Откажитесь от FTP
Во многих случаях протокол FTP используется для несанкционированного доступа.
Советую отказаться от FTP и перейти на использование программы Winscp (для Windows). Это программа для доступа к серверу через защищенный протокол SSH. Пароль в этой программе шифруется.
Далее нужно полностью закрыть доступ к сайту по FTP. Для этого в корне сайта создайте файл .ftpaccess, в котором пропишите такой код:
<Limit ALL> Deny from all </Limit>
Об этом способе я узнал из статьи Евгения Новикова Защита FTP с помощью .ftpaccess.
Скройте версию WordPress
В целях безопасности нежелательно, чтобы в html коде отображалась версия вашего WordPress.
Сначала уберите ее из файла header.php (он лежит в папке с темой вашего блога). Для этого из строки:
<meta name="generator" content="WordPress <?php bloginfo('version'); ?>" />
Удалите этот код:
<?php bloginfo('version'); ?>
Затем поместите такой код в файл functions.php в той же папке:
<?php remove_action('wp_head', 'wp_generator'); ?>
Также для изменения версии WordPress можете использовать плагин Replace WP-Version.
Желательно удалить файл readme.html в корневой папке движка. Кроме этого, нужно изменить версию WordPress в файле version.php в папке wp-includes:
$wp_version = '2.8.1';
Закройте возможность просмотра папок
Во многих случаях может быть возможность просматривать содержимое папок вашего блога WordPress. Это очень нежелательно.
Закрыть возможность просмотра папок вашего блога можно следующими методами.
Можно в файл .htaccess в корне вашего блога поместить такой код:
Options -Indexes
Можно создать пустой файл index.html и поместите его в папку с плагинами wp-content/plugins.
Используйте сложный пароль
Постарайтесь использовать сложный пароль длиной в 8-12 и более символов. Это сведет к минимуму вероятность его подбора. Желательно использовать не только цифры, но и буквы (заглавные и прописные), а также различные символы.
Можно придумать фразу с цифрами на русском, сменить раскладку клавиатуры и напечатать ее английскими буквами.
Можете также воспользоваться онлайн генератором паролей Pasw.ru. Только не забудьте сохранить пароль на нескольких носителях, а также распечатайте его на бумаге.
Ограничьте доступ к wp-content и wp-includes
В целях безопасности вашего блога желательно закрыть доступ к папкам wp-content и wp-includes. Нужно запретить доступ к любым файлам, кроме картинок, файлов Javascript и CSS.
Для этого нужно создать в каждой папке файл .htaccess и поместить в него следующий код:
Order Allow,Deny Deny from all <Files ~ "\.(css|jpe?g|png|gif|js)$"> Allow from all </Files>
В следующей части я продолжу описание различных способов для безопасности WordPress.
Кстати, для любителей английского будет интересен конкурс на лучшее сочинение на сайте "Английский без дураков": https://real-english.ru/blog/announcing-essay-contest.htm
Постовой: Нужна регистрация торговой марки Украина? Тогда обращайтесь к нам.
Хотите купить ноутбук в одессе - нет ничего проще.
Надежная теплоизоляция стен, труб, кровли и фасадов.
Десерт на сегодня - видеоролик о человеке, который вытворяет чудеса гибкости - обязательно его посмотрите! Я до сих пор под впечатлением:
Подпишитесь на рассылку блога с полезными материалами по SEO
Меня зовут Михаил Шакин, я автор этого блога, занимаюсь SEO с 2006 года. Вы можете заказать у меня