Продолжая рубрику безопасность Wordpress, хочу дать 11 советов, как уберечься от взлома Вашего WP.

На днях сражался за жизнь Блога моего друга. Виной всему были халатные отношения к безопасности Блога.

Откуда проник вирус обнаружить так и не удалось, потому как не один из ниже перечисленных советов по безопасности wordpress не исполнялся.

В результате Вирус был практически во всех функциональных файлах WP. Версия WP 2.7.1

Для не допущения подобной ситуации соблюдайте 11 простых действий.

1. Для установки wordpress с нуля, пользуйтесь надежным источником;

2. Всегда обновляйте свой wordpress при выходе новой версии.

Зачем это нужно делать?

Новые версии выходят в основном для устранения уязвимости, найденных в более ранних версиях.

3. Удалите из кода- «Версию Wordpress»

Для этого необходимо открыть файл Вашей темы header.php и удалить вот эту строчку:

<meta name="generator" content="WordPress <?php bloginfo ('version'); ?>" />

Также необходимо дополнительно открыть файл Вашей темы functions.php и добавить строчку:

<?php remove_action('wp_header', 'wp_generator'); ?>

Злоумышленник зная версию Вашего wordpress, с легкостью (если Ваш WP не обновлен до последней версии) может использовать уязвимости ранней версии для взлома.

4. Проверьте config.php, который находится в корневой папке блога.

В файле config.php найдите вот эти строчки:

define('AUTH_KEY', 'put your unique phrase here');
define('SECURE_AUTH_KEY', 'put your unique phrase here');
define('LOGGED_IN_KEY', 'put your unique phrase here');

Эти строчки необходимо заменить на сгенерируемые КЛЮЧИ БЕЗОПАСНОСТИ

5. Удалите все плагины которые не используете
Не нужно оставлять плагины если вы их не используете.

6. Поместите в папку Plugins вашего блога пустой файл index.html

7. Установите плагины безопасности

Anti-XSS attack — Защита от XSS-атак!

Wordpress-Firewall — плагин контролирует малейшие изменения в Ваших php файлах, не дает возможности установки плагинов, деактивирует плагины если они не соответствуют безопасности.

Внимание — контроль плагина распространяеться даже для админа, поэтому при необходимости изменения файлов или установки новых плагинов деактивируйте в начале Wordpress-Firewall .

Login LockDown — плагин который ограничит количество попыток подбора пароля к админке Блога.

8. Никогда не храните пароли в FTP клиентах

Наиболее распространенная ошибка. В интернете полным полно «троянцев», которые воруют пароли фтп клиентов. К сожелению не все антивирусники способны их обнаружить.

Поэтому лучше вводить каждый раз пароль, чем сносить полностью Блог или менять хостинг.

9. Установите права CHMOD

При закачке файлов CMS Wordpress через ФТП на хостинг, права на папки и файлы устанавливаются автоматически в зависимости от особенностей хостинга. Но случается такое, что Вы сами иногда вручную меняете CHMOD файлов и папок. Чаще всего это — файлы и папки Вашей темы.

Не ленитесь изменять CHMOD обратно, потому как с правами 777 файлы Вашей темы уязвимы.

Напомню, в большинстве случаев права CHMOD на все папки Вашего WP должны быть 755, на файлы 644.

10. Измените логин в aдмин панели.
Это в несколько десятков раз усложнит задачу подбора пароля. Об этом я писал Здесь.

11. Регулярно делайте backup базы данных.
Для этого рекомендую использовать скрипт о котором я говорил в статье Перенос wordpress на новый хостинг

Вот пожалуй и все! Этого будет достаточно для Безопасности Вашего Wordpress Блога.

Добавить в социальные закладки

• Google
• Y! MyWeb
• БобрДобр
• Мистер Вонг
• Яндекс.Закладки
• Текст 2.0
• News2
• AddScoop
• RUmarkz
• Memori
• Закладки Google
• Писали
• СМИ 2
• Моё Место
• Сто Закладок
• UCA