WordPress: советы по защите от взлома

Что делать, если ваш блог стал мишенью хакера? Вся работа по улучшению блога, увеличению трафика и количества читателей, а также возможности зарабатывать с помощью блога могут быть поставлены под угрозу или того хуже - все труды просто будут потеряны навсегда.

К счастью, WordPress даже в базовой стандартной версии является довольно безопасным инструментом. Радуют и довольно частые обновления, касающиеся  безопасности. Вот несколько простых советов, с помощью которых за пять минут можно значительно повысить защищенность WordPress.

Переместите файл wp-config.php на один уровень вверх

Файл wp-config.php содержит всю информацию о конфигурации WordPress. Если злоумышленник добрался до этого файла, то он сможет внедрить любое вредоносное ПО в твой блог, или попросту удалить все содержимое блога. Малоизвестной особенностью WordPress является возможность переместить файл wp-config.php на один уровень вверх. На большинстве linux-серверов этот файл хранится примерно по следующему пути:

~/home/user/public_html/wp-config.php

Просто заходим на FTP-сервер и меняем размещение файла. Теперь путь к нему выглядит так:

~/home/user/wp-config.php

После данной манипуляции файл становится недоступен для скриптов и ботов, которыми часто пользуются взломщики. И никаких дополнительных настроек: WordPress знает, что если файла wp-config/php нет в папке по умолчанию, то его надо искать на один уровень выше.

Примечание: данный совет не поможет, если блог располагается в подкаталоге (например public_html/blog), или является дополнительным доменом в cPanel (например public_html/yourblog.com).

Удалите аккаунт admin

Учетная запись администратора по умолчанию называется ‘admin'. Об этом знают практически все злоумышленники. Совсем не нужно, чтобы они изначально знали название учетной записи администратора, поэтому при установке WordPress выберите другое имя учетной записи администратора. Если учетная запись ‘admin' уже используется, то делаем следующее: заходим в ‘Dashboard > Users > Add New User' и создаем новую учетную запись с ролью администратора. Теперь выходим из системы и заходим под новым пользователем. После этого возвращаемся в ‘Users' и удаляем старую учетку администратора. Перед удалением можно перенести все содержимое, созданное под старой учетной записью админа, к новому пользователю.

Обновляйте WordPress, плагины и темы

WordPress позволяет с легкостью обновить себя, все плагины и темы. Лучше потратить минуту на обновление, чем несколько часов или дней на попытки восстановления того, что было взломано. Плагины и темы WordPress также имеют функцию автоматического обновления.

Установите WP Security Scan и Secure WordPress

Установка плагинов, касающихся безопасности - это отличный способ защитить свой блог от взлома. Наиболее эффективными являются два плагина: WP Security Scan и Secure WordPress от WebsiteDefender.

WP Security Scan поставляется с набором инструментов, помогающих обезопасить ваш блог:

Scanner проверяет права доступа к файлам WordPress и выделяет те из них, разрешения к которым выставлены неверно. Просто зайдите на FTP-сервер и измените права доступа на правильные.

Password Tool анализирует надежность вашего пароля, а также генерирует случайные и супер-надежные пароли, которые вы можете использовать.

Database позволяет делать резервные копии базы данных и менять префикс в базе данных. Это делает проблематичным для взломщика угадать имена таблиц в вашей БД, если он попытается провести SQL-инъекцию.

Secure WordPress использует другой подход к обеспечению безопасности, удаляя все "ниточки", за которые злоумышленник может зацепиться при поиске уязвимостей в вашей системе. Меню настроек данного плагина представляет собой простой список из нескольких пунктов, каждый из которых отмечается галочкой. В этом меню отключаются сообщения ошибок авторизации, удаляется информация о версии WordPress и даже блокируются вредоносные URL запросы. Рекомендуется активировать все пункты в этом меню, если только у вас нет потребности в какой-либо из функций, которая блокируется данным плагином.

Будьте бдительны

Описанные выше приемы помогут вам обезопасить ваш блог и защитить от взлома хакером-новичком. Но обеспечение безопасности - это непрерывный процесс, и поддержка безопасности вашей системы должна стать для вас привычным делом. Сохраняйте бдительность и следите за всеми последними новостями, касающихся безопасности WordPress, особенно если это касается вашего бизнеса. И не забывайте о самообразовании: ищите информацию, изучайте все, что может помочь вам в обеспечении еще лучшей безопасности.