Безопасность в WordPress
Многие, наверное, помнят по горячим следам недавнюю заморочку с WordPress, когда была обнаружена дыра, позволяющая какому-нибудь пингвину спровоцировать автоматический сброс пароля к блогу. В принципе, зла от этого никакого не было, поскольку пароль сбрасывается только на админский ящик, и если пингвин его не знает и не имеет к нему доступа — то повода для беспокойства никакого.
1. Обновляйте движок.
В этом совете нет ничего оригинального, однако это не повод о нем умолчать. Некоторые пользователи WordPress думают — зачем нужно обновляться, если у меня и так все хорошо работает? Ответ: безопасность.
Не секрет, что для взлома сайтов мошенники изучают используемые платформы и выпускают хакерские эксплойты, которые можно купить или скачать в сети. Важно вовремя обновиться, чтобы Ваша текущая версия вордпресса включала последние исправления и заплатки. В этом случае эксплойт будет бесполезен.
2. Обновляйте плагины.
Взломать блог можно не только через файлы движка, но и через плагины, которые Вы используете, — с помощью тех же самых эксплойтов. Однако обновленный плагин может содержать новые решения, которые предотвратят несанкционированный доступ к Вашему блогу. Кроме того значения, которое этот совет имеет для безопасности, также в нем есть и другой смысл — обновление плагинов позволяет снизить нагрузку на сайт. Старые версии могут конфликтовать с новой версией движка и нагнетать нагрузку на сервер.
3. Не участвуйте в подозрительных эстафетах.
В последнее время я вижу, как на некоторых блогах проходит так называемая эстафета — какая-то идея кочует с блога на блог и передается дальше. Одна из последних эстафет — публикация списка используемых плагинов. Я не советую Вам участвовать в такой эстафете, потому что тем самым Вы сами раскрываете пингвинам список своих плагинов, и ему остается только подобрать эксплойт. Конечно, информацию о Ваших плагинах можно увидеть даже в исходном коде страницы, однако, не о далеко не всех. Поэтому лучше не светить эти вещи.
4. Скрывайте директории сайта.
Не помешает Вам скрыть от прямого доступа содержимое директорий блога. Начиная с версии платформы 2.8, в директориях движка по умолчанию расположены чистые файлы index.php, которые помогают предотвратить просмотр содержимого директории. Если Вы по каким то причинам не можете обновиться до текущей версии, создайте пустой файл под названием index.php и загрузите его в такие директории, как
wp-content
themes и
plugins.
5. Скрывайте версию платформы.
Существующие эксплойты к WP отличаются по версиям, соответствующим версиям платформы. Пингвину будет трудно подобрать к Вам эксплойт, если он не знает версии Вашего движка. В обычном порядке узнать эту версию не составляет труда — достаточно открыть исходный код страницы.
Если Вы исключите вывод этого мета-нэйма в шапке, то пингвин не узнает вашу версию и не сможет подобрать к Вашему блогу эксплойт.
Для того, чтобы устранить вывод этого тэга, откройте директорию Вашего текущего шаблона WP и вставьте в файл function.php следующий код:
remove_action('wp_head','wp_generator');
6. Создайте действительно сложные пароли.
Тоже вполне обыденная вещь.
Никогда не используйте в качестве пароля дату рождения, имя любимого человека, номер телефона и прочие простые вещи. Простые пароли придумываются для того, чтобы их не забыть, однако, не ленитесь, придумайте пароль из латинских букв, цифр и спец символов, подлиннее, и запишите его.
7. Изменение префикса
Когда Вы создаете новый блог, то редактируете файл wp-config.php, в котором Вам предлагается изменить перфикс таблиц Вашей базы данных.
По умолчанию этот перфикс устанавливается как wp_, и почти все пользователи не меняют его. А это значит, что почти во всех случаях злоумышленник может воспользоваться этим.
Измените этот перфикс на что-нибудь другое.