BloGGood.ru

Блог Костаневича Степана

До Нового Года осталось:

Блог на разные темы, seo-оптимизация, раскрутка сайта, создание сайта, вкусные эффекты для сайта и многое другое…

Главная » Безопасность » Способы защиты сайта WordPress

Способы защиты сайта WordPress

2013-03-16 / Вр:19:59 / просмотров: 4926

К сожалению, тема "защита сайта" становится актуальной только после того, как у веб-мастера взломают его сайт или блог. Иногда это приводит к плачевным результатам, так как восстановить или вернуть сайт не возможно. А ведь он работал  над сайтом пять лет и большую часть времени отдавал раскрутке и совсем позабыл о защите своего ресурса. Во избежание взломов сайта рекомендую прочитать эту стать.

Итак, как защитить свой сайт.

Способы защиты сайта WordPress

Способы защиты сайта WordPress.

► Удаление ненужных файлов.

Рекомендую удалить ненужные файлы такие как:
○ readme.html
○ license.txt
○ hello.php
○ ненужные темы
○ не активные плагины.

► Удаление версии WordPress.

○ Добавьте в файле functions.php, который размещен в вашей теме, такой код:

remove_action ('wp_head', 'wp_generator');

○ Найдите и удалите в файле header.php, который размещен в вашей теме, такой код:

<meta name="generator" content="WordPress <?php bloginfo('version'); ?>" />

Измените ключи шифрования WordPress.

После установки WordPress в файле wp-config.php нужно изменить ключи шифрования на уникальные. Ключи шифрования генерируются на специальном сервисе WordPress
http://api.wordpress.org/secret-key/1.1/
Найдите в файле wp-config.php такие строки и замените на сгенерируемые:

define('AUTH_KEY', 'впишите сюда уникальную фразу');
define('SECURE_AUTH_KEY', 'впишите сюда уникальную фразу');
define('LOGGED_IN_KEY', 'впишите сюда уникальную фразу');
define('NONCE_KEY', 'впишите сюда уникальную фразу');
define('AUTH_SALT', 'впишите сюда уникальную фразу');
define('SECURE_AUTH_SALT', 'впишите сюда уникальную фразу');
define('LOGGED_IN_SALT', 'впишите сюда уникальную фразу');
define('NONCE_SALT', 'впишите сюда уникальную фразу');

► Защита сайта через файл htaccess.

Защитить важные файлы и папки можно с помощью htaccess. Откройте файл htaccess в корне вашего сайта, если его нет, создайте. Как создать файл htaccess вы можете прочитать тут.

Защита — wp-config.php.

В файле wp-config.php хранятся данные БД (пароль, логин и имя БД). Рекомендую запретить просмотр файла.

# защита wp-config.php
<files wp-config.php>
order allow,deny
deny from all
</files>

Доступ к админ только с вашего IP-адреса.

Этот момент подходит, если у Вас статический IP адрес (один и тот же IP адрес). Если IP адрес динамический (постоянно меняется), я не рекомендую ставить.
Итак, залейте в папку "wp-admin" новый файл htaccess и впишите туда вот этот код:

order deny,allow
allow from xx.xxx.xxx.x
deny from all

xx.xxx.xxx.x - это ваш IP-адрес.

Блокировка пользователя по IP-адресу.

Если кто-то надумает взломать ваш сайт, заблокируете его IP-адрес вместе с его попытками.

<Limit GET POST>
order allow,deny
deny from xxx.xxx.xx.x
allow from all
</Limit>

xxx.xxx.xx.x - это IP-адрес, который нужно заблокировать.
Чтобы продлить список нежелательных людей, добавляйте строчки с новыми  IP-адресами.

deny from xx2.xx2.x2.2

Запретить доступ к папке wp-content.

В папке "wp-content" хранятся все фалы плагинов, вашей темы и т. д. Запретим доступ любопытным лицам. Создайте в  папке "wp-content" файл htaccess и установите такой код:

Order deny,allow
Deny from all
<Files ~ ".(xml|css|jpe?g|png|gif|js)$">
Allow from all
</Files>

Защита конкретного файла.

Если вам нужно защитить конкретно какой-то файл, впишите в файл htacces такой код:

<files .htaccess="">
order allow,deny
deny from all
</files>

в кавычках укажите файл.

Защитить сайт от вредоносных пауков и приложений.

RewriteBase /
RewriteCond %{REQUEST_URI} !^/robots.txt$ [NC]
RewriteCond %{REQUEST_URI} robots\.txt [NC]
RewriteRule .* http://Ваш сайт.ru/robots.txt [R=301,L]

Защита от XSS-атак.

Options +FollowSymLinks
 RewriteEngine On
 RewriteCond %{QUERY_STRING} (\|%3E) [NC,OR]
 RewriteCond %{QUERY_STRING} GLOBALS(=|\[|\%[0-9A-Z]{0,2}) [OR]
 RewriteCond %{QUERY_STRING} _REQUEST(=|\[|\%[0-9A-Z]{0,2})
 RewriteRule ^(.*)$ index.php [F,L]

○ Защитить файл htaccess.

Не забываем защитить сам файл htaccess, так как он тоже уязвим. Пропишем в файле htaccess следующий код:

<Files ~ "^.*\.([Hh][Tt][Aa])">
order allow,deny
deny from all
satisfy all
</Files>

Если вас заинтересовал файл htaccess и его возможности, читайте тогда дополнительно материал тут.

►  Запретит индексации папок и файлов.

Запретите индексацию папок и файлов через файл robots.txt.

User-agent: *
Disallow: /wp-content/
Disallow: /wp-includes/
Disallow: /wp-admin/
Disallow: /images/
Disallow: /wp-login.php
Disallow: /wp-register.php
Disallow: /xmlrpc.php

► Установить права доступа к файлам и папкам.

Рекомендую установить права доступа на все файлы – "644". А также "755" к таким папкам как:

wp-admin/
/wp-includes/
/wp-images/
/wp-content/
/wp-content/themes/
/wp-content/plugins/

Таблица прав доступа.

«Права» «Владелец» «Группа» «Остальные»
777 читать
записывать
исполнять
читать
записывать
исполнять
Читать
записывать
исполнять
776 читать
записывать
исполнять
читать
записывать
исполнять
Читать
записывать
775 читать
записывать
исполнять
читать
записывать
исполнять
Читатьисполнять
774 читать
записывать
исполнять
читать
записывать
исполнять
Читать
766 читать
записывать
исполнять
читать
записывать
Читать
записывать
655 читать
записывать
читатьисполнять Читатьисполнять
644 читать
записывать
читать Читать

► Защита блога плагинами WordPress

Изменение адреса входа в админ-панель.

Можно усложнить взлом админ-панели с помощью плагина Stealth Login. С этим плагином можно полностью изменить адрес классического входа, например, вот этого -  http://ваш сайт/wp-login - на любой другой, который вам захочется, и это усложнит поиск админ-панели.

○ Отключить уведомления.

Плагином Secure WordPress можно отключить уведомления о неправильно набранном пароле или логине. Это затруднит подбор пароля.

Либо в файле "functions.php" напишите такой код:

add_filter('login_errors',create_function('$a', "return null;"));

Ограничивайте количество попыток входа в админ-панель.

После нескольких неправильных попыток ввода пароля и логина,  установленный плагин Login Lockdown будет блокировать IP-адрес на определенное время.

○ Сообщения об изменениях в файле.

Плагин File Monitor отсылает на почту уведомления об изменениях в файле, о появлении новых файлов и удалении существующих на сайте.

Проверка на вредоносный код.

Плагин WP Antivirus проверяет файлы вашей темы блога на наличие вредоносного кода и если вдруг обнаружит что-то подозрительное, то сразу же сообщит вам на электронную почту.

►  Обновление и копия блога.

○ Рекомендую обновлять постоянно WordPress, если есть обновление.

○ Обновляйте плагины.

○ Делайте резервные копии файлов блога и Базы данных. Даже в случае взлома и уничтожения сайта, вы с легкостью сможете восстановить всю вашу роботу.

Вот и все!!! Я думаю, это поможет вам защитить блог на 99%.

До следующих встреч!!!

С Уважением Webmasterok2009

Понравился пост? Помоги другим узнать об этой статье, кликни на кнопку социальных сетей ↓↓↓

Получай обновления блога!!! Подпишись:

Популярные статьи:

4 Ответов на комментарий - Способы защиты сайта WordPress

  1. Маша

    спасибо за статью. все изложено доступно (даже для новичка) и подробно. :idea:

    Ответить

    Степан => автор блога

    Степан => автор блога отвечает:

    Маша, рад, что статья пригодилась. Желаю Вам, чтобы защита Вашего ресурса всегда была на высоком уровне!

    Ответить

  2. Светлана

    Здравствуйте. А когда я этот код в файл htaccess воткнула на сайт, вобще сайт не открылся, была ошибка 403

    Order deny,allow
    Deny from all
    <Files ~ ".(xml|css|jpe?g|png|gif|js)$">
    Allow from all
    </Files>

    Пришлось удалить…

    Ответить

    Степан => автор блога

    Степан => автор блога отвечает:

    Здравствуйте, Светлана!
    “Создайте в папке “wp-content” файл htaccess и установите такой код:

    Order deny,allow
    Deny from all
    <Files ~ ".(xml|css|jpe?g|png|gif|js)$">
    Allow from all
    </Files>
    

    “. Вы хоть так сделали? Вы создали в папке “wp-content” файл htaccess? И установили этот код именно там?

    Ответить

Добавить комментарий

;-) :| :x :twisted: :smokes: :smile: :shock: :sad: :rose: :roll: :razz: :pop-corne: :oops: :o :mrgreen: :lol: :idea: :grin: :gazeta: :evil: :cry: :cool: :coffe: :arrow: :???: :?: :!:

Чтобы добавить в комментарий код HTML, PHP, CSS, JavaScript, нужно сделать так: [code] ваш код [/code]

Subscribe without commenting

Метки: ,

Мои цели на 2016 год:

1). Закончить тему «Bootstrap»

2). Закончить тему «Все про PHP и MySQL»

3). Довести количество статей до 600

4). Добиться стабильной посещаемости 2500 человек/сутки

5). Закончить все статьи, которые находятся в черновиках

6). Создать портфолио и мини интернет-магазин шаблонов

7). Создать книгу

8). Добиться стабильной посещаемости 3000 человек/сутки

9). Довести количество статей до 700

10). Увеличить число подписчиков до 250

Статистика по блогу

Количество записей на блоге: 671
Количество страниц на блоге: 20
Количество рубрик на блоге: 27
Количество меток на блоге: 71
Количество комментариев на блоге: 3683