К сожалению, тема "защита сайта" становится актуальной только после того, как у веб-мастера взломают его сайт или блог. Иногда это приводит к плачевным результатам, так как восстановить или вернуть сайт не возможно. А ведь он работал над сайтом пять лет и большую часть времени отдавал раскрутке и совсем позабыл о защите своего ресурса. Во избежание взломов сайта рекомендую прочитать эту стать.
Итак, как защитить свой сайт.
Способы защиты сайта WordPress.
► Удаление ненужных файлов.
Рекомендую удалить ненужные файлы такие как:
○ readme.html
○ license.txt
○ hello.php
○ ненужные темы
○ не активные плагины.
► Удаление версии WordPress.
○ Добавьте в файле functions.php, который размещен в вашей теме, такой код:
remove_action ('wp_head', 'wp_generator');
○ Найдите и удалите в файле header.php, который размещен в вашей теме, такой код:
<meta name="generator" content="WordPress <?php bloginfo('version'); ?>" />
► Измените ключи шифрования WordPress.
После установки WordPress в файле wp-config.php нужно изменить ключи шифрования на уникальные. Ключи шифрования генерируются на специальном сервисе WordPress
http://api.wordpress.org/secret-key/1.1/
Найдите в файле wp-config.php такие строки и замените на сгенерируемые:
define('AUTH_KEY', 'впишите сюда уникальную фразу'); define('SECURE_AUTH_KEY', 'впишите сюда уникальную фразу'); define('LOGGED_IN_KEY', 'впишите сюда уникальную фразу'); define('NONCE_KEY', 'впишите сюда уникальную фразу'); define('AUTH_SALT', 'впишите сюда уникальную фразу'); define('SECURE_AUTH_SALT', 'впишите сюда уникальную фразу'); define('LOGGED_IN_SALT', 'впишите сюда уникальную фразу'); define('NONCE_SALT', 'впишите сюда уникальную фразу');
► Защита сайта через файл htaccess.
Защитить важные файлы и папки можно с помощью htaccess. Откройте файл htaccess в корне вашего сайта, если его нет, создайте. Как создать файл htaccess вы можете прочитать тут.
○ Защита — wp-config.php.
В файле wp-config.php хранятся данные БД (пароль, логин и имя БД). Рекомендую запретить просмотр файла.
# защита wp-config.php <files wp-config.php> order allow,deny deny from all </files>
○ Доступ к админ только с вашего IP-адреса.
Этот момент подходит, если у Вас статический IP адрес (один и тот же IP адрес). Если IP адрес динамический (постоянно меняется), я не рекомендую ставить.
Итак, залейте в папку "wp-admin" новый файл htaccess и впишите туда вот этот код:
order deny,allow allow from xx.xxx.xxx.x deny from all
xx.xxx.xxx.x - это ваш IP-адрес.
○ Блокировка пользователя по IP-адресу.
Если кто-то надумает взломать ваш сайт, заблокируете его IP-адрес вместе с его попытками.
<Limit GET POST> order allow,deny deny from xxx.xxx.xx.x allow from all </Limit>
xxx.xxx.xx.x - это IP-адрес, который нужно заблокировать.
Чтобы продлить список нежелательных людей, добавляйте строчки с новыми IP-адресами.
deny from xx2.xx2.x2.2
○ Запретить доступ к папке wp-content.
В папке "wp-content" хранятся все фалы плагинов, вашей темы и т. д. Запретим доступ любопытным лицам. Создайте в папке "wp-content" файл htaccess и установите такой код:
Order deny,allow Deny from all <Files ~ ".(xml|css|jpe?g|png|gif|js)$"> Allow from all </Files>
○ Защита конкретного файла.
Если вам нужно защитить конкретно какой-то файл, впишите в файл htacces такой код:
<files .htaccess=""> order allow,deny deny from all </files>
в кавычках укажите файл.
○ Защитить сайт от вредоносных пауков и приложений.
RewriteBase / RewriteCond %{REQUEST_URI} !^/robots.txt$ [NC] RewriteCond %{REQUEST_URI} robots\.txt [NC] RewriteRule .* http://Ваш сайт.ru/robots.txt [R=301,L]
○ Защита от XSS-атак.
Options +FollowSymLinks RewriteEngine On RewriteCond %{QUERY_STRING} (\|%3E) [NC,OR] RewriteCond %{QUERY_STRING} GLOBALS(=|\[|\%[0-9A-Z]{0,2}) [OR] RewriteCond %{QUERY_STRING} _REQUEST(=|\[|\%[0-9A-Z]{0,2}) RewriteRule ^(.*)$ index.php [F,L]
○ Защитить файл htaccess.
Не забываем защитить сам файл htaccess, так как он тоже уязвим. Пропишем в файле htaccess следующий код:
<Files ~ "^.*\.([Hh][Tt][Aa])"> order allow,deny deny from all satisfy all </Files>
Если вас заинтересовал файл htaccess и его возможности, читайте тогда дополнительно материал тут.
► Запретит индексации папок и файлов.
Запретите индексацию папок и файлов через файл robots.txt.
User-agent: * Disallow: /wp-content/ Disallow: /wp-includes/ Disallow: /wp-admin/ Disallow: /images/ Disallow: /wp-login.php Disallow: /wp-register.php Disallow: /xmlrpc.php
► Установить права доступа к файлам и папкам.
Рекомендую установить права доступа на все файлы – "644". А также "755" к таким папкам как:
wp-admin/
/wp-includes/
/wp-images/
/wp-content/
/wp-content/themes/
/wp-content/plugins/
Таблица прав доступа.
«Права» | «Владелец» | «Группа» | «Остальные» |
777 | читать записывать исполнять |
читать записывать исполнять |
Читать записывать исполнять |
776 | читать записывать исполнять |
читать записывать исполнять |
Читать записывать |
775 | читать записывать исполнять |
читать записывать исполнять |
Читатьисполнять |
774 | читать записывать исполнять |
читать записывать исполнять |
Читать |
766 | читать записывать исполнять |
читать записывать |
Читать записывать |
655 | читать записывать |
читатьисполнять | Читатьисполнять |
644 | читать записывать |
читать | Читать |
► Защита блога плагинами WordPress
○ Изменение адреса входа в админ-панель.
Можно усложнить взлом админ-панели с помощью плагина Stealth Login. С этим плагином можно полностью изменить адрес классического входа, например, вот этого - http://ваш сайт/wp-login - на любой другой, который вам захочется, и это усложнит поиск админ-панели.
○ Отключить уведомления.
Плагином Secure WordPress можно отключить уведомления о неправильно набранном пароле или логине. Это затруднит подбор пароля.
Либо в файле "functions.php" напишите такой код:
add_filter('login_errors',create_function('$a', "return null;"));
○ Ограничивайте количество попыток входа в админ-панель.
После нескольких неправильных попыток ввода пароля и логина, установленный плагин Login Lockdown будет блокировать IP-адрес на определенное время.
○ Сообщения об изменениях в файле.
Плагин File Monitor отсылает на почту уведомления об изменениях в файле, о появлении новых файлов и удалении существующих на сайте.
○ Проверка на вредоносный код.
Плагин WP Antivirus проверяет файлы вашей темы блога на наличие вредоносного кода и если вдруг обнаружит что-то подозрительное, то сразу же сообщит вам на электронную почту.
► Обновление и копия блога.
○ Рекомендую обновлять постоянно WordPress, если есть обновление.
○ Обновляйте плагины.
○ Делайте резервные копии файлов блога и Базы данных. Даже в случае взлома и уничтожения сайта, вы с легкостью сможете восстановить всю вашу роботу.
Вот и все!!! Я думаю, это поможет вам защитить блог на 99%.
До следующих встреч!!!
С Уважением Webmasterok2009
Понравился пост? Помоги другим узнать об этой статье, кликни на кнопку социальных сетей ↓↓↓
Последние новости категории:
Похожие статьи
Популярные статьи:
-
Как узнать id компьютера
Дата: 29 марта 2013
Прокомментировано:90
просмотров: 330341 -
Размеры форматов листов А0 – А7
Дата: 23 января 2013
Прокомментировано:3
просмотров: 274700 -
Смешные логические загадки с подвохом, отгадки прилагаются
Дата: 12 ноября 2014
Прокомментировано:5
просмотров: 222517 -
Готовые макеты блоков для веб-страниц на HTML и CSS
Дата: 25 июня 2014
Прокомментировано:23
просмотров: 187685 -
Установка windows 7 на ноутбук
Дата: 18 декабря 2012
Прокомментировано:169
просмотров: 186563
4 Ответов на комментарий - Способы защиты сайта WordPress
Добавить комментарий
Метки: wordpress, безопасность
спасибо за статью. все изложено доступно (даже для новичка) и подробно.
Маша, рад, что статья пригодилась. Желаю Вам, чтобы защита Вашего ресурса всегда была на высоком уровне!
Здравствуйте. А когда я этот код в файл htaccess воткнула на сайт, вобще сайт не открылся, была ошибка 403
Пришлось удалить…
Здравствуйте, Светлана!
“Создайте в папке “wp-content” файл htaccess и установите такой код:
“. Вы хоть так сделали? Вы создали в папке “wp-content” файл htaccess? И установили этот код именно там?