Это пятая статья, которая является продолжением курса “Как увеличить…”, в котором я описываю внутреннюю оптимизацию блога, влияющую на количество подписчиков, комментаторов, посещаемость и скорость блога. В этом посте речь пойдет о мерах защиты блога на базе движка wordpress. Материал будет разбит по принципу “от простого к сложному”, поэтому каждый сможет предпринять меры по защите своего блога.
Не секрет, что движок wordpress не отличается идеальной защитой, поэтому необходимо каждый раз предпринимать хоть какие-то меры по защите своего блога от всякого рода мошенничества. В основном о защите блога задумываются тогда, когда их блог уже взломали – это факт! Не допустите этого. В статье я также затрону вопрос по защите контента.
Методы для новичка:
1) Сразу создавайте или генерируйте сложные пароли для входа в административную панель блога, базы данных MySQL и для связи с хостингом. Почитать мою историю про важность хороших паролей можно в статье про бесплатный менеджер паролей.
2) Для мошенников достаточно важно знать вашу версию движка. Ее можно узнать из ненужных на сервере файлов readme.html и license.txt. Удалите их и никогда больше не закачивается на хостинг.
3) Для связи с хостингом лучше всего использовать протокол ssh нежели ftp, который будет шифровать передаваемые данные. Такие менеджеры не сложно найти в интернете.
4) Для защиты своей базы данных используйте плагин wordpress database backup, который может отправлять вам на е-мейл бэкап с указанной периодичностью. Очень удобный плагин. Один раз настроил и не переживаешь, что база будет потеряна. 5 минут назад как раз пришла база на почту 
.
5) Как правило, более свежие версии движка и плагинов несут в себе исправления дыр, через которые злоумышленники могут взломать wordpress. Всегда обновляйте ваши плагины и wordpress.
6) Удалите плагины, которые вы не используете – они могут содержать дыры.
7) У зарегистрированных пользователей больше возможности навредить вашему блогу, потому что административная панель блога одинакова как для администратора, так и для зарегистрированного пользователя. Если вы запретите регистрацию, то снизите вероятность взлома.
8 ) Как уже понятно из вышеперечисленного злоумышленник не должен знать плагины, которые установлены на блоге. Для этого идем по пути /wp-content/plugins/ и вставляем туда пустой файл index.php. Теперь никто кроме вас не будет знать об установленных плагинах.
9) Плагин Anti-XSS attack предупредит вас и защитит от XSS-атак. Очень полезный плагин.
10) Для того, чтобы взломать административную панель в wordpress по идеи надо знать только пароль, потому что логин по умолчанию admin. Поэтому создайте нового пользователя со статусом администратора, а админа удалите, привезав все существующие записи к новому пользователю. Хорошо бы создать еще дополнительного пользователя, от которого бы писались непосредственно посты.
11) Чтобы не дать злоумышленнику возможность на подбор логина и паролей, нужно ограничить число попыток входа к административной панели. Плагины Limit Login Attempts и Login LockDown помогут в этом деле. Они примерно одинаковые по функциям. Они блокируют ввод логина и пароля на установленное время, если злоумышленник ввел неправильные данные несколько раз (указывается в настройках). Установить просто: распаковать, загрузить на сервер, активировать и настроить по вкусу.
12) Если вам и этого мало, то воспользуйтесь плагином AskApache Password Protect, который всякий раз будет спрашивать логин и пароль при открытии wp-admin. Назначайте, конечно, другие данные нежели для вхожа в админ-панель. Не всегда удобно, но достаточно защищено.
Методы для более продвинутых:
13) Выше я уже писал, что надо скрывать версию своего движка, поэтому в файле header.php вашей темы надо удалить строку:
<meta name=”generator” content=”WordPress <?php bloginfo(’version’); ?>” />
Также пропишите в functions.php
<?php remove_action(’wp_head’, ‘wp_generator’); ?>
14) Замените строку:
<?php echo $_SERVER ['PHP_SELF']; ?>
на
<?php bloginfo (’home’); ?>
в своем файле темы search.php. Это не даст мошенникам рыскать по вашему серверу. Если такой строчки нет, то и ладно.
15) Запретите доступ к файлу wp-config.php извне, потому что в нем содержится очень важная информация о логинах и паролях. Пропишите следующий код в фале .htaccess:
# protect wpconfig.php
<files wp-config.php>
Order deny,allow
deny from all
Защищаем контент:
16) Очень часто воруется контент с блогов через RSS-канал. Для этого существует очень простой и эффективный плагин Add to RSS. Он добавляет текст, ссылки (все что вы настроите) в конце каждого поста, отдаваемого в RSS. Причем все это не будет отражено на самом блоге.
Вот, пожалуй, и все. Получилось 16 вариантов защиты блога. Конечно же, их не обязательно все использовать. А вы как-то защищаете свой блог? Может быть я что-то пропустил?
Лез, лез я через лес, а там опа мой RSS! Подпишитесь сейчас и тогда вы не пропустите интересные материалы. Что такое RSS? Вы также можете подписаться на обновления через e-mail, проследовать за мной в твиттер, узнать о моих услугах и обменяться постовыми.
Здесь видео про то как можно за 2 минуты взломать сайт:
Здесь самое интересное:
— Как увеличить посещаемость блога
— Как увеличить число подписчиков на блоге
— 10 пунктов как удержать читателя на блоге
— Как увеличить интерес к комментированию на блоге
— 11 советов по ускорению блога
Загрузка ...