WordPress одна из популярных CMS в мире, а это значит что желающих ее взломать большое количество. В этой статье мы рассмотрим самые распространенные ошибки, которые делают ваш сайт на WordPress уязвимым для взлома. А так же в общих чертах рассмотрим способы их устранения.
Содержание
- 1. Действия во время установки Wordpress.
- 2. Дополнительная настройка Wordpress.
- 3. Файлы который нужно удалить.
- 4. Рекомендации.
1. Действия во время установки Wordpress.
Порой Web разработчик или блогер допускает самую распространенную ошибку во время установки WordPress, это использования логина администратора по умолчанию(admin).
Так что сразу меняйте логин админа на что-нибудь другое, и за одно придумайте пароль посложней (это исключит Brute force)
Еще одной из ошибок является использование стандартного префикса таблиц БД. Меняйте его на свой.
2. Дополнительная настройка Wordpress.
Смены логина админа и префикса таблиц БД недостаточно, по этому после установки Wodpress нужно поставить специальные плагины:
1. Small WP Security - это плагин я делал специально для своих проектов. Он обеспечивает безопасность HTTP-заголовков (header security) и скрывает версию WordPress.
Проверить результат работы плагина можно на следующих сервисах:
Securityheaders.com - Безопасность HTTP-заголовков.
Hackertarget.com - Сканер безопасности сайтов на WordPress.
2. Hide login page - с помощью этого плагина, можно скрыть стандартную страницу админки. Плагин очень прост в использовании. Просто укажите новый адрес админки.
3. Файлы который нужно удалить.
У Wordpress есть файлы, которые создаю небольшую лазейку для злоумышленников и желательно эти файлы удалить.
К этим файлам относится xmlrpc.php. Если Вы не планируете управлять своим сайтом через сторонние приложения, то смело закрывайте доступ к этому файлу или удалите его.
Xmlrpc.eritreo.it - С помощь этого сервиса, можно проверить доступность XML-RPC на сайте, как раз за это отвечает файл xmlrpc.php
Так же смело можно удалить файлы: wp-config-sample.php, license.txt и readme.html
4. Рекомендации.
Храните всегда резервную копию Вашего сайта, т.к. от взлома на 100% защиты не существует. А с ее помощью можно будет откатиться на момент когда все было в норме.
Выбирайте нормальный и надежный хостинг. От него тоже многое зависит.
Регулярно меняйте пароли от хостинга и от админ панели вашего сайта.
Используйте только проверенный плагины, потому что бывали случаи, когда происходит внедрение вредоносного кода через плагины.
И небольшое видео по статье:
