TOP:
  • Взламали сайт на WordPress? Як очистити від вірусів та відновити роботу.
  • Пусто або помилка invalid taxonomy при використанні get_terms()
  • Редірект 301 посилань з великими літерами на такі самі з маленькими
  • Duplicator – character set and collation isn’t supported on current database.
  • Відкат оновлення плагіну чи шаблона
  • Вимкнути перевірку налаштувань форм у Contact Form 7
  • Як прибрати emoji (смайлики) з тексту
  • WordPress 6.3.2 Security Release
  • Вразливість плагіна tagDiv composer
Ви шукали:
  • Facebook
  • X (Twitter)
  • YouTube
Український WordPress
  • Читати
    • Всі публікації
    • Як зробити
    • Хаки для WordPress
    • Захист WordPress
  • Завантажити
    • Шаблони / Теми
    • Плаґіни
    • Релізи
  • Інфо
    • Про сайт
    • Зв’язок
    • Калькулятор вартості сайту
  • Навчитись
    • Створити блоґ
    • Блог на WordPress
    • Що таке блог?
    • Я хочу створити блог!
    • Система управління
    • Ставимо WordPress
    • Перші налаштування
    • Форум
  • Хостинг для WordPress
  • Ви шукали:
Блоґ Як зробити

WordPress Security – практичні поради

9 Січня, 2010 Читати хвилин ~3
Facebook Twitter Pinterest LinkedIn Tumblr Email
Поділитися
Twitter Facebook Telegram LinkedIn

Ви вже читали публікацію “Безпечний блог на WordPress” та її продовження, у якій я розповідав, що потрібно зробити, аби максимально захистити свій блог від зловмисників. Сьогодні хочеться дати декілька коротких порад для тих, хто віддає перевагу практиці та не любить багато читати.

Доступ до wp-admin по IP

Надати доступ тільки своїм IP адресам до директорії wp-admin – це дуже сильна річ. Це зупинить тих, хто намагатиметься зламати блог, використовючи brute force (не зупинить тільки Вас 🙂 ), також Ви будете впевнені, що тільки Ви можете керувати Вашим блогом. Отже зробити потрібно наступне – додайте до файлу .htaccess у кореневій директорії Вашого сайту наступне:
[html]

Order deny,allow
Deny from All
Allow from 123.456.789.0

[/html]

Підставте замість 123.456.789.0 своє значення.

Супер складний пароль доступу до бази даних

Використання складного пароля доступу до бази даних дуже ускладнює зловмисникам роботу по її взлому. Ще одна важлива річ – це зміна стандартних назв таблиць WordPress. Згенерувати пароль Ви можете, наприклад, використовуючи онлайн генератори паролів. А от як змінити імена, Ви можете дізнатись подивившись описану вище статтю – Безпечний блог на WordPress (частина 2).

Захист wp-config.php

Все, що зроблено для захисту Вашого блогу на попередньому кроці, буде марним, якщо не захистити файл wp-config.php. Саме в ньому зберігається уся інформація для доступу до БД. Додайте наступний код до .htaccess,аби захистити найцінніше, що у Вас є – інформацію:
[html]
# protect wpconfig.php

order allow,deny
deny from all

[/html]

Будьте обережні з плагінами

Плагіни – це ще один шлях несанкційованого доступу до Вашого блогу. Поганий не професійний код плагіну може стати чорним входом для хакерів. Завжди будьте обережні при встановлені нових плагінів!

Використовуйте SSL

SSL шифрує дані. Тобто зазвичай Ваш пароль надсилається серверу беззахисним, і його можна відновити, перехопивши дані. Якщо Ваш хостинг надає SSL сертифікати, отримайте його та використовуйте(з одним із доступних плагінів).

Оновлюйтесь до останніх версій!

Кожний новий випуск WordPress, зазвичай містить виправлення, що стосуються безпеки. Отже завжди оновлюйтесь до останніх версій! Але не забувайте перед кожним оновлення робити резервну копію Вашої бази даних!

Захистіться від переінсталяції

Після встановлення блогу видалить з директорії /wp-admin/ файл install.php. Це не дозволить зловмисникам запустити процес інсталяції другий раз.

Зупиніть СПАМ

Один із шляхів зупинити спам коментарі – не дозволити працювати спам-скриптам, які приходять на блог без реферів (не за посиланнями), за допомогою наступного коду у .htaccess:
[html]
#Stop spammers

RewriteCond %{REQUEST_METHOD} POST
RewriteCond %{REQUEST_URI} .wp-comments-post. [NC]
RewriteCond %{HTTP_REFERER} !.*wordpress. [OR,NC]
RewriteCond %{HTTP_USER_AGENT} ^$
RewriteRule (.*) – [F,L]

[/html]
Лише замініть слово wordpress на назву свого домену

Відключіть повідомлення про помилки

Наостанок, невелика, але дуже корисна порада – не показуйте помилки при вході на блог через форму логіну. Для цього додайте у Ваш functions.php, який знаходиться у директорії з активною темою блогу, наступний код, що відключить повідомлення про помилки зі сторінки входу. Таким чином зловмисники не будуть знати, що вони ввели не вірно – логін чи пароль:
[php]
add_filter(‘login_errors’,create_function(‘$a’, “return null;”));
[/php]

SSLwp-config.phpwp-login.phpбезпеказахистпароль
Дмитро К.

Дмитро Кондрюк в веб-індустрії з 2003 року. В 2009р. заснував проект Український WordPress (що у подальшому став офіційним сайтом команди локалізації WordPress в Україні). З 2010 року засновник і технічний директор проекту Український хостинг для WordPress (WPHost.me) - повноцінного хостинг-сервісу, максимально оптимізованого на використання CMS WordPress.

  • Website
Попередня стаття

“Хлібні крихти” у WordPress без плагіну

12 Грудня, 2009 Читати ~1 хвилину
Наступна стаття

wp.me — короткі адреси посилань

10 Січня, 2010 Читати ~1 хвилину

Пов'язана тема, буде цікаво!

WordPress 6.3.2 Security Release

13 Жовтня, 2023

Вразливість плагіна tagDiv composer

1 Жовтня, 2023

коментарів 5

  1. maque 15 років тому Відповісти

    Дуже непогана збірка порад щодо захисту. Для себе відкрив багато нового.

    • AzzePis 15 років тому Відповісти

      В планах організувати всі ці поради в гарний посібничок

  2. potter 15 років тому Відповісти

    посібник офлайновий чи на сайті буде структуровано інформацію?

    • AzzePis 15 років тому Відповісти

      скоріше за все – на сайті… можливо експортую в пдф на додадток

  3. funivan 13 років тому Відповісти

    Дякую, деякі друзі використовують вордпрес обовязково скину посилання на ваш сайт 😉

Коментувати Скасувати

  • Підписатися на новини

    Як бонус Ви отримуєте 3 преміум-шаблони для WordPress

     

  • Донат на розвиток проекту



  • Ваш надійний хостинг-провайдер
    Хостинг для WordPress Хостинг для WordPress
  • Останні публікації
    • Пусто або помилка invalid taxonomy при використанні get_terms()
      25 Березня, 2025
    • Редірект 301 посилань з великими літерами на такі самі з маленькими
      29 Жовтня, 2024
    • Duplicator – character set and collation isn’t supported on current database.
      10 Жовтня, 2024
  • Як встановити плагін?
    Коротка покрокова інструкція Коротка покрокова інструкція
  • Захист WordPress
    Зламали сайт або хочете вберегтись від цього? Зламали сайт або хочете вберегтись від цього?
  • Знижки на шаблони Themeforest
  • Свіжі публікації
    • Пусто або помилка invalid taxonomy при використанні get_terms()
      Як зробити 25 Березня, 2025

      В процесі розробки зіштовхнулися з проблемою, що список доступних “термінів” однієї з кастомних таксономій не…

    • Редірект 301 посилань з великими літерами на такі самі з маленькими
      Як зробити 29 Жовтня, 2024

      В процесі роботи над однією задачею від SEO спеціалістів виникла необхідність зробити редірект з посилань…

  • Найбільше обговорюють
    • HTTPS та SSL для WordPress безкоштовно за 11 кроків
      11 Січня, 2017
    • Розіграш! 115 преміум-шаблонів для WordPress безкоштовно.
      2 Жовтня, 2015
  • Реклама на сайті Реклама на сайті

© 2020 WordPress хостинг для Вашого сайту. All registered.

  • Facebook
  • X (Twitter)
  • Instagram