8 правил безопасности блога на WordPress

Дата: 11.09.2009Категория: БезопасностьАвтор: OksaНет комментариев

Безопасность WordPress

Конец прошлой недели ознаменовался серией атак на блоги на популярном в народе движке WordPress. Многих пользователей волнует проблема обеспечения безопасности своих блогов. В данной статье дается набор несложных правил, соблюдение которых позволит это сделать.

Сама я до этого не додумалась бы. Большое спасибо Goodwin за его прекрасную статью. Не могла я не опубликовать эту информацию на своем блоге. Но чтобы не было дублированного контента, мне пришлось творчески переработать и немного дополнить первоисточник. Надеюсь, автор за это на меня не обидится.

  1. Постоянно обновляйте WordPress.

    Этот совет не претендует на оригинальность. Все знают об этом, но далеко не все соблюдают это правило. Одни руководствуются принципом «работает и хорошо». Другие не обновляются потому, что новая версия WordPress более «прожорливая», чем старая. Третьим кажется, что обновить WordPress архисложно.

    Я отвечу на это следующее. Обновление WordPress не сложнее, чем его установка. А «прожорливость» новых версий – это далеко не самая большая плата за безопасность.

  2. Обновляйте плагины на вашем блоге, когда появляются новые версии.

    Злоумышленники могут воспользоваться уязвимостями не только в движке, но и в плагинах, установленных на вашем блоге. А к новым версиям плагинов «ключ» у них не всегда имеется.

  3. Никогда не публикуйте на страницах своего блога списки установленных на нем плагинов.

    Ознакомиться со списком установленных на вашем блоге плагинов могут плохие люди, которые пожелают взломать ваш блог. Оно вам надо?

  4. Спрячьте от посторонних глаз содержимое вашего сайта.

    Не есть хорошо, когда содержимое папок вашего блога доступно широкой общественности. Эта проблема решена в последней версии WordPress. В каждой папке теперь лежит чистый файл index.php, что делает невозможным просмотр содержимого папки. Юзер, набравший url несуществующего файла, попадает теперь на файл index.php.

    Если вы приняли решение не обновлять WordPress, то вам следует разместить файл index.php в каждой папке вашего блога.

    Альтернативный вариант решения этой проблемы: прописываете в файле .htaccess следующее правило:

    #запрет выдачи листинга пустого каталога

    Options -Indexes

    Подробнее читайте здесь.

  5. Не показывайте версию платформы WordPress.

    Тому, кто хочет взломать блог, необходимо знать версию движка. Определить версию движка WordPress не составляет большого труда. Она указывается при генерации страницы. Открываем исходный код и видим, например, такой код:

    Нехорошо. Надо усложнить злоумышленникам задачу.
    Открываем файл functions.php и вставляем в него следующий код:

    Можете вставить этот код сразу в начало файла. Все, теперь информация о версии WordPress не будет отражаться в исходном коде страниц.

  6. Cтавьте сложные пароли на блог и хостинг.

    Банальный совет, которому далеко не все следуют. Не хватает своей фантазии, пользуйтесь генераторами паролей. Запомнить хорошие пароли не представляется возможным. Сохраняйте их или записывайте. Чтобы паролем никто не воспользовался, зашифруйте его. Можно сделать так. Через определенное количество символов в пароле вставьте любую букву или символ.

  7. Устанавливайте нестандартные префиксы таблиц.

    Многие оставляют в файле wp-config.php установленный по умолчанию префикс таблиц базы данных wp_, облегчая тем самым задачу взлома своего блога. Обязательно меняйте этот префикс. Добавьте в него любые латинские буквы или цифры. Не надо делать его длинным, но хотя бы один символ следует добавить.

    Внимание!!! Данный совет применим только для установки новых блогов. Лучше воздержаться от изменения префиксов таблиц базы данных уже установленного блога.

  8. Переместите файл wp-config.php в другую директорию.

    Файл wp-config.php – это очень важный файл. В нем содержатся все данные доступа к базе данных. Что будет, если с ним сможет ознакомиться человек с нехорошими намерениями? Представить страшно.

    WordPress Codex радует нас информацией о том, что wp-config.php может быть перемещен в другую папку на вашем сервере на один уровень вверх. Читайте об этом подробнее здесь.

В заключение хочу сказать, что следование даже нескольким правилам из этого списка поможет вам обезопасить ваш блог. Взломать, конечно, можно все. Но глупо не пользоваться всеми возможностями усложнить эту задачу.

Понравилась статья? Подпишись на обновления блога.

Блог Оксы о деньгах в сети

Советую также прочитать следующие статьи

Метки: ,

Google Reader Yahoo Facebook Digg FriendFeed
Эта запись была опубликована 11.09.2009 в 22:18. Вы можете следить за ее обсуждением через RSS 2.0. Вы можете Оставить свой комментарий.
« Меняем ссылки в базе данных блога с помощью SQL-запросов
Взломы блогов на WordPress »

Оставить комментарий

(Ctrl+Enter)

XHTML: Вы можете использовать следующие тэги: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>