Способы защиты сайта WordPress

К сожалению, тема "защита сайта" становится актуальной только после того, как у веб-мастера взломают его сайт или блог. Иногда это приводит к плачевным результатам, так как восстановить или вернуть сайт не возможно. А ведь он работал  над сайтом пять лет и большую часть времени отдавал раскрутке и совсем позабыл о защите своего ресурса. Во избежание взломов сайта рекомендую прочитать эту стать.

Итак, как защитить свой сайт.

Способы защиты сайта WordPress.

► Удаление ненужных файлов.

Рекомендую удалить ненужные файлы такие как:
○ readme.html
○ license.txt
○ hello.php
○ ненужные темы
○ не активные плагины.

► Удаление версии WordPress.

○ Добавьте в файле functions.php, который размещен в вашей теме, такой код:

remove_action ('wp_head', 'wp_generator');

○ Найдите и удалите в файле header.php, который размещен в вашей теме, такой код:

<meta name="generator" content="WordPress <?php bloginfo('version'); ?>" />

► Измените ключи шифрования WordPress.

После установки WordPress в файле wp-config.php нужно изменить ключи шифрования на уникальные. Ключи шифрования генерируются на специальном сервисе WordPress
http://api.wordpress.org/secret-key/1.1/
Найдите в файле wp-config.php такие строки и замените на сгенерируемые:

define('AUTH_KEY', 'впишите сюда уникальную фразу');
define('SECURE_AUTH_KEY', 'впишите сюда уникальную фразу');
define('LOGGED_IN_KEY', 'впишите сюда уникальную фразу');
define('NONCE_KEY', 'впишите сюда уникальную фразу');
define('AUTH_SALT', 'впишите сюда уникальную фразу');
define('SECURE_AUTH_SALT', 'впишите сюда уникальную фразу');
define('LOGGED_IN_SALT', 'впишите сюда уникальную фразу');
define('NONCE_SALT', 'впишите сюда уникальную фразу');

► Защита сайта через файл htaccess.

Защитить важные файлы и папки можно с помощью htaccess. Откройте файл htaccess в корне вашего сайта, если его нет, создайте. Как создать файл htaccess вы можете прочитать тут.

○ Защита — wp-config.php.

В файле wp-config.php хранятся данные БД (пароль, логин и имя БД). Рекомендую запретить просмотр файла.

# защита wp-config.php
<files wp-config.php>
order allow,deny
deny from all
</files>

○ Доступ к админ только с вашего IP-адреса.

Этот момент подходит, если у Вас статический IP адрес (один и тот же IP адрес). Если IP адрес динамический (постоянно меняется), я не рекомендую ставить.
Итак, залейте в папку "wp-admin" новый файл htaccess и впишите туда вот этот код:

order deny,allow
allow from xx.xxx.xxx.x
deny from all

xx.xxx.xxx.x - это ваш IP-адрес.

○ Блокировка пользователя по IP-адресу.

Если кто-то надумает взломать ваш сайт, заблокируете его IP-адрес вместе с его попытками.

<Limit GET POST>
order allow,deny
deny from xxx.xxx.xx.x
allow from all
</Limit>

xxx.xxx.xx.x - это IP-адрес, который нужно заблокировать.
Чтобы продлить список нежелательных людей, добавляйте строчки с новыми  IP-адресами.

deny from xx2.xx2.x2.2

○ Запретить доступ к папке wp-content.

В папке "wp-content" хранятся все фалы плагинов, вашей темы и т. д. Запретим доступ любопытным лицам. Создайте в  папке "wp-content" файл htaccess и установите такой код:

Order deny,allow
Deny from all
<Files ~ ".(xml|css|jpe?g|png|gif|js)$">
Allow from all
</Files>

○ Защита конкретного файла.

Если вам нужно защитить конкретно какой-то файл, впишите в файл htacces такой код:

<files .htaccess="">
order allow,deny
deny from all
</files>

в кавычках укажите файл.

○ Защитить сайт от вредоносных пауков и приложений.

RewriteBase /
RewriteCond %{REQUEST_URI} !^/robots.txt$ [NC]
RewriteCond %{REQUEST_URI} robots\.txt [NC]
RewriteRule .* http://Ваш сайт.ru/robots.txt [R=301,L]

○ Защита от XSS-атак.

Options +FollowSymLinks
 RewriteEngine On
 RewriteCond %{QUERY_STRING} (\|%3E) [NC,OR]
 RewriteCond %{QUERY_STRING} GLOBALS(=|\[|\%[0-9A-Z]{0,2}) [OR]
 RewriteCond %{QUERY_STRING} _REQUEST(=|\[|\%[0-9A-Z]{0,2})
 RewriteRule ^(.*)$ index.php [F,L]

○ Защитить файл htaccess.

Не забываем защитить сам файл htaccess, так как он тоже уязвим. Пропишем в файле htaccess следующий код:

<Files ~ "^.*\.([Hh][Tt][Aa])">
order allow,deny
deny from all
satisfy all
</Files>

Если вас заинтересовал файл htaccess и его возможности, читайте тогда дополнительно материал тут.

►  Запретит индексации папок и файлов.

Запретите индексацию папок и файлов через файл robots.txt.

User-agent: *
Disallow: /wp-content/
Disallow: /wp-includes/
Disallow: /wp-admin/
Disallow: /images/
Disallow: /wp-login.php
Disallow: /wp-register.php
Disallow: /xmlrpc.php

► Установить права доступа к файлам и папкам.

Рекомендую установить права доступа на все файлы – "644". А также "755" к таким папкам как:

wp-admin/
/wp-includes/
/wp-images/
/wp-content/
/wp-content/themes/
/wp-content/plugins/

Таблица прав доступа.

► Защита блога плагинами WordPress

○ Изменение адреса входа в админ-панель.

Можно усложнить взлом админ-панели с помощью плагина Stealth Login. С этим плагином можно полностью изменить адрес классического входа, например, вот этого -  http://ваш сайт/wp-login - на любой другой, который вам захочется, и это усложнит поиск админ-панели.

○ Отключить уведомления.

Плагином Secure WordPress можно отключить уведомления о неправильно набранном пароле или логине. Это затруднит подбор пароля.

Либо в файле "functions.php" напишите такой код:

add_filter('login_errors',create_function('$a', "return null;"));

○ Ограничивайте количество попыток входа в админ-панель.

После нескольких неправильных попыток ввода пароля и логина,  установленный плагин Login Lockdown будет блокировать IP-адрес на определенное время.

○ Сообщения об изменениях в файле.

Плагин File Monitor отсылает на почту уведомления об изменениях в файле, о появлении новых файлов и удалении существующих на сайте.

○ Проверка на вредоносный код.

Плагин WP Antivirus проверяет файлы вашей темы блога на наличие вредоносного кода и если вдруг обнаружит что-то подозрительное, то сразу же сообщит вам на электронную почту.

►  Обновление и копия блога.

○ Рекомендую обновлять постоянно WordPress, если есть обновление.

○ Обновляйте плагины.

○ Делайте резервные копии файлов блога и Базы данных. Даже в случае взлома и уничтожения сайта, вы с легкостью сможете восстановить всю вашу роботу.

Вот и все!!! Я думаю, это поможет вам защитить блог на 99%.

До следующих встреч!!!

С Уважением Webmasterok2009

Понравился пост? Помоги другим узнать об этой статье, кликни на кнопку социальных сетей ↓↓↓

4 Ответов на комментарий - Способы защиты сайта WordPress

1. Маша

   02.07.2013 в 15:33

   спасибо за статью. все изложено доступно (даже для новичка) и подробно.
2. Степан => автор блога

   02.07.2013 в 21:45

   Маша, рад, что статья пригодилась. Желаю Вам, чтобы защита Вашего ресурса всегда была на высоком уровне!
3. Светлана

   18.03.2016 в 07:39

   Здравствуйте. А когда я этот код в файл htaccess воткнула на сайт, вобще сайт не открылся, была ошибка 403

   Order deny,allow
   Deny from all
   <Files ~ ".(xml|css|jpe?g|png|gif|js)$">
   Allow from all
   </Files>

   Пришлось удалить…
4. Степан => автор блога

   21.03.2016 в 11:49

   Здравствуйте, Светлана!
   “Создайте в папке “wp-content” файл htaccess и установите такой код:

   Order deny,allow
   Deny from all
   <Files ~ ".(xml|css|jpe?g|png|gif|js)$">
   Allow from all
   </Files>
   

   “. Вы хоть так сделали? Вы создали в папке “wp-content” файл htaccess? И установили этот код именно там?

Добавить комментарий

Нажмите, чтобы отменить ответ.

Имя (required)

Mail (will not be published) (required)

Сайт

Чтобы добавить в комментарий код HTML, PHP, CSS, JavaScript, нужно сделать так: [code] ваш код [/code]

Метки: wordpress, безопасность