Защита блога WordPress: продолжение
Что еще можно сделать для защиты блога WordPress? Думаю, что Вы уже понимаете, что это очень серьезный вопрос, которому нужно уделить и внимание, и время. Кончено, лучший метод защиты — регулярный бекап базы данных блога WordPress, а также файлов и папок блога, которые хранятся на хостинге. Но и другие методы, позволяющие защитить Ваш блог от взлома, будут не лишними.
Итак, что можно сделать для безопасности Вашего блога WordPress?
Сгенерируйте уникальные ключи аутентификации
В файле wp-config.php имеются строки:
define(‘AUTH_KEY’, ‘unikalnaya_fraza’);
define(‘SECURE_AUTH_KEY’, ‘unikalnaya_fraza’);
define(‘LOGGED_IN_KEY’, ‘unikalnaya_fraza’);
define(‘NONCE_KEY’, ‘unikalnaya_fraza’);
define(‘AUTH_SALT’, ‘unikalnaya_fraza’);
define(‘SECURE_AUTH_SALT’, ‘unikalnaya_fraza’);
define(‘LOGGED_IN_SALT’, ‘unikalnaya_fraza’);
define(‘NONCE_SALT’, ‘unikalnaya_fraza’);
Эти строки шифруют наши пароли в базе данных. Они должны быть уникальными. Чтобы их таковыми сделать, пройдите по ссылке:
http://pervushin.com/goto/http://api.wordpress.org/secret-key/1.1/salt/
Этот сервис выдаст Вам готовый код, который Вы вставите вместо своего. Чтобы вставить, нужно сначала этот файл закачать из хостинга себе на компьютер, отредактировать, затем закачать назад на хостинг. Сделайте это, если не уверены в уникальности Вашего кода.
Защитите содержимое папок wp-includes и wp-content
Иногда случается, что содержимое этих папок можно просмотреть прямо в браузере, то есть любой может набрать в адресной строке браузера:
- http://блог/wp-includes
- http://блог/wp-content
- http://блог/wp-content/plugins
и увидеть список папок и файлов, которые у Вас в этих папках находятся. Причем если не видно в одном браузере, то не факт, что не будет видно в другом. Поэтому в любом случае нужно сделать следующее, создать файл index.html, пустой или с кодом
<meta HTTP-EQUIV="REFRESH" content="0; url=http://блог/">
и забросьте в эти папки: wp-includes, wp-content и plugins
Если этот файл Вы сделаете с кодом, при попытке набрать адресы выше злоумышленник будет перенаправляться на главную страницу Вашего блога.
Только в коде вместо слова блог поставьте доменное имя блога.
Защитите файл wp-config.php
Этот файл находится в корневой папке Вашего блога WordPress, и содержит важную информацию о логинах и паролях.
Чтобы его защитить, нужно найти файл .htaccess в корневой папке блога. Если файла .htaccess в корневой папке блога нет, создайте его (создаете файл в блокноте, и присваиваете ему такое имя). В самом начале файла должен быть код:
# BEGIN WordPress
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteBase /
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule . /index.php [L]
</IfModule>
# END WordPress
Для защиты файла wp-config.php введите в файл .htaccess код
<Files wp-config.php>
order allow,deny
deny from all
</Files>
Кроме того, нужно защитить сам файл .htaccess кодом
<Files .htaccess>
order allow,deny
deny from all
</Files>
Также в файле .htaccess пропишите строку
Options All -Indexes
для защиты Ваших папок и файлов от просмотра.
Измените префикс базы данных Вашего блога WordPress
По умолчанию префикс базы данных Вашего блога: wp_
Это означает, что если Вы его не изменяли при создании блога, названия всех таблиц базы данных Вашего блога начинаются с wp_
Злоумышленники знают это, и при попытке взлома им будет легче подобрать ключи к Вашей базе данных.
Префикс базы данных можно изменить — для этого нужно отредактировать файл wp-config.php. В коде этого файла находите строку:
$table_prefix = ‘wp_’;
и изменяете ее на строку
$table_prefix = ‘mywp_’;
где mywp_ — Ваш набор латинских букв. Префикс делайте коротким.
Кроме этого Вам необходимо переименовать все таблицы базы данных Вашего блога WordPress вручную. Для переименования заходите на хостинг в Управление базами MySQL, в phpMyAdmin, затем находите базу данных своего блога, если у Вас баз данных несколько, нажимаете закладку SQL, и выполняете SQL запросы к базе данных (прописываете команды и нажимаете кнопку ОК), такие как:
RENAME TABLE wp_posts TO mywp_posts;
что означает переименовать таблицу wp_posts в mywp_posts.
Переименовываете так каждую таблицу своей базы данных. Можно проверять, как переименовываются таблицы, нажимая на закладку Структура. Перед переименованием не забудьте сделать бекап базы данных.
Более подробные сведения Вы можете получить в разделах "Все курсы" и "Полезности", в которые можно перейти через верхнее меню сайта. В этих разделах статьи сгруппированы по тематикам в блоки, содержащие максимально развернутую (насколько это было возможно) информацию по различным темам.
Также Вы можете подписаться на блог, и узнавать о всех новых статьях.
Это не займет много времени. Просто нажмите на ссылку ниже:
Подписаться на блог: Дорога к Бизнесу за Компьютером
Вам понравилась статья? Поделитесь, буду весьма признателен:
Также приглашаю добавиться в друзья в социальных сетях:
Следующая статья >>
Крайне важная тема.Чётко написано не только что надо сделать, но и почему это надо сделать. И немедленно.
Слышала интернет-ужасы о потерянных блогах. Саша, твои статьи не дадут нам наступить на эти «грабли». Спасибо!