В этой статье мы затронем такую важную тему как защита своего сайта. Административная зона любого сайта давно стала мишенью для хакеров.
В этой статье я опишу пять простых шагов, которые позволят сделать ваш сайт на WordPress’e более защищённым.
1.Поддерживайте актуальные версии
Следите за обновлениями и обновляйтесь. Сам WordPress оповещает о доступности новой версии, так же это касается и плагинов — держите их версии актуальными.
Не случайно периодически выходят новые обновления, некоторые из них вносят новый функционал, обновляют внешний вид или устраняют «дыры» повышая этим общую безопасность.
2.Используем .htaccess для защиты файла wp-config
Находим файл .htaccess в корне нашего сайта и добавляем следующие строки:
<files wp-config.php>
order allow,deny
deny from all
</files>
wp-config.php содержит все данные, необходимые для подключения к базе данных. Защита этого файла – одна из самых главных задач.
3.Скрываем версию WordPress’a
Если по какой-либо причине вы не обновили свой движок, есть опасность того что злоумышленник опираясь на старую версию вашего движка сможет найти дыры и лазейки для взлома.
Для того что бы это избежать, открываем файл functions.php, лежащий в папке с активной темой нашего блога и добавляем туда этот код:
remove_action('wp_head', 'wp_generator');
4.Защищаем WordPress от попыток модификации переменных GLOBALS и _REQUEST
Вставьте код в ваш файл .htaccess, расположенный в корне сайта.
Options +FollowSymLinks
RewriteEngine On
RewriteCond %{QUERY_STRING} (\<|%3C).*script.*(\>|%3E) [NC,OR]
RewriteCond %{QUERY_STRING} GLOBALS(=|\[|\%[0-9A-Z]{0,2}) [OR]
RewriteCond %{QUERY_STRING} _REQUEST(=|\[|\%[0-9A-Z]{0,2})
RewriteRule ^(.*)$ index.php [F,L]
Код позволяет проверять все запросы. Если запрос содержит тег или попытку модифицировать значение переменных GLOBALS и _REQUEST, он просто блокирует его и выдаёт пользователю 403-ю ошибку.
5.Изменение директории панели администрирования
Эффективным способом защиты административной консоли WP, является изменение адреса административной консоли с известного всем /wp-admin на что-то более сложное и известное лишь администратору.
В этом нам поможет iThemes Security – это плагин предназначен для защиты вашего сайта, а так же включает в себя функцию по изменению директории админ панели. Что бы это сделать в первую очередь устанавливаем и активируем плагин, затем переходим в настройки плагина и выбираем блок Hide Backend перед этим выбираем соответствующую сортировку.
В заключении хотел бы вам посоветовать плагин по защите вашего сайта, с огромным функционалом — Wordfence. Подробнее о плагине вы можете узнать на сайте плагина — https://www.wordfence.com/ .
P.S.: Всегда серьезно относитесь к защите вашего сайта, пренебрегая безопасностью вы подвергаете риску свой сайт вместе со всем его содержимым.