Безопасность WordPress - часть 2

Сайт дня (как попасть): Биржа Liex.ru - эффективный сервис для продвижение сайтов

Дорогие друзья, предлагаю вашему вниманию вторую часть моего цикла статей «Безопасность WordPress». Вы можете прочитать первую часть. Как и в прошлый раз, нашел картинку, которую давно хотел поместить на Shakin.ru, сегодня она отлично подходит по тематике поста и логотип WordPress гармонично поместился 🙂 :

Планирую еще статьи в рамках этого цикла, так как материалов очень много.

Смените имя пользователя admin

По умолчанию на блогах WordPress используется имя администратора «admin», что нежелательно в целях безопасности блога, так как упрощает злоумышленникам подбор пароля. Нужно сменить имя на более длинное и сложное.

Есть несколько способов сменить имя пользователя admin. Советую перед любыми изменениями всегда предварительно сохранять базу данных и файлы вашего блога, а также записывать новые данные (логины, пароли, префиксы и т.д.).

Самый простой способ - воспользоваться плагином WPVN - Username Changer, который позволяет легко менять имя пользователя.

Другой способ - сменить имя пользователя в базе данных. Для этого нужно открыть базу данных блога с помощью phpMyAdmin, затем выбрать таблицу wp_users:

Выбрать ее:

Найти строку user_login:

и в ней заменить имя пользователя admin на другое:

После этого вы сможете заходить на блог под новым именем. Если вы вообще не имеете опыта с работой в phpMyAdmin, то лучше обратитесь к опытному человеку.

Еще вариант - сделать SQL запрос к базе данных (в phpMyAdmin):

UPDATE wp_users SET user_login='admin', user_login='novyi_login';

🔥 Кстати! Я провожу платный курс по продвижению англоязычных сайтов SEO Шаолинь seoshaolin.com. Для читателей блога я делаю хорошую скидку по промокоду "blog". Тариф Про стоит не 41, а 35 тыс. рублей. Тариф Лайт не 21, а 17 тыс. рублей. Тариф Команда не 58, а 50 тыс. рублей. Для получения скидки пишите мне на globatorseo@gmail.com с темой "Курс" или в Telegram @mikeshakin.

Где вместо novyi_login используете нужное имя админа.

Используйте плагин Login LockDown

Этот замечательный плагин записывает все неудачные попытки входа в админку вашего блога, включая IP и время. Кроме этого, плагин блокирует IP после трех неудачных попыток входа в течение 5 минут (можно задать другие настройки). Скачать плагин Login LockDown можно здесь.

Ограничьте доступ к папке wp-admin

Этот совет я подсмотрел на блоге Мэтта Каттса, сотрудника Google. Мэтт советует сделать так, чтобы посторонние вообще не могли зайти на страницу логина вашего блога, тем самым лишив их возможности даже пробовать вводить логин и подбирать пароли.

Для этого нужно создать файл .htaccess с таким кодом:

AuthUserFile /dev/null
AuthGroupFile /dev/null
AuthName "Access Control"
AuthType Basic
order deny,allow
deny from all
# разрешен вход с домашнего IP Мэтта
allow from 64.233.169.99
# разрешен вход с рабочего IP Мэтта
allow from 69.147.114.210
allow from 199.239.136.200
# временно разрешен вход с IP, когда Мэтт в поездке
allow from 128.163.2.27

Затем этот файл нужно поместить в папку wp-admin вашего блога. Таким образом, вход в админку будет возможен только с указанных IP.

Используйте плагин WP Security Scan

WP Security Scan - отличный плагин для WordPress, который сканирует Ваш блог и выявляет возможные недостатки безопасности. После окончания сканирования плагин предлагает сделать необходимые изменения, чтобы повысить степень защиты вашего блога (например, с его помощью можно менять имя пользователя). Скачать плагин WP Security Scan можно по этой ссылке.

Смените префикс базы данных

По умолчанию таблицы в базе данных блогов WordPress имеют префикс wp_, что делает блог уязвимым для SQL-инъекций.

Есть несколько решений для того, чтобы сменить префикс у таблиц в базе данных. Самый простой вариант - воспользоваться вышеупомянутым плагином WP Security Scan, в котором есть эта функция.

После активации плагина WP Security Scan в админке появится пункт Security (Безопасность). Зайдя туда, вы увидите несколько сообщений об уровне безопасности вашего блога, в числе которых будет такое («Ваш префикс не должен быть wp_. Кликните здесь для изменения»):

Смело кликаем по ссылке и меняем префикс на более сложный:

Используйте латинские буквы и цифры, в конце префикса должно быть нижнее подчеркивание «_». Обязательно запишите новый префикс, чтобы не забыть его.

Права на папки и файлы 

В целях безопасности желательно установить на папки права (chmod) 755 (исключение - папки cache и uploads, на них нужны права 777), а на все файлы - 644. На файл .htaccess в корне сайта советую выставить права 444, если хостинг позволяет это сделать. На файлы темы вашего блога для редактирования из админки нужно ставить 666 (я не сторонник редактирования файлов темы из админки, лучше делать это по ftp или ssh). На разных хостингах могут по умолчанию выставляться разные права, поэтому советую проверить их.

Для удобства опять же рекомендую использовать плагин WP Security Scan, который просканирует файлы вашего блога и подскажет, какие права и на какие директории и папки нужно установить.

Если вы не знакомы с тем, как менять права на директории и файлы, то это просто. Зайдите на хостинг через свой ftp клиент и кликните правой мышкой на любой папке или файле, которые находятся на хостинге, и в меню правой мышки выберите пункт Properties (Свойства). Там увидите, какие права выставлены, и сможете их сменить на нужные. Подробно о правах можете почитать здесь.

Желаю Вам хорошего настроения!

Глобатор

Постовой (как попасть): Лучшие плагины WordPress для рейтинга постов

Кисти Photoshop модные ресницы

Выгодно продаем баннеры на блоге

На десерт сегодня - видеоролик с подборкой о том, как повезло некоторым людям. Особенно понравилось про грабителей банка 🙂 :

Подпишитесь на рассылку блога с полезными материалами по SEO

Shakin sidebar