Блоґ про WordPress

Безпечний блог на WordPress – поради, частина 1

Безпечний блог на WordPress - порадиWordPress дуже популярний і привертає багато уваги тих людей, які бажають отримати неправомірний доступ до Вашого блогу. Як і у інших випадках забезпечення з відкритим кодом, атакуючий має вільний доступ до коду WordPress. Ризик отримання спам-посилань, руйнування блогу та інших атак дуже великий. У цій статті я покажу декілька різних шляхів, як можна зробити Ваш WordPress більш безпечним .
Існує дуже багато методів підвищення безпеки у блозі на WordPress. Я продемонструю тільки ті, які дуже легко втілити у життя :).

Які методи Ви використовуєте, залежить від різних доступних Вам опцій. Наприклад, якщо Ви маєте доступ до конфігурації серверу, Ви вже можете значно підвищити рівень безпечності Вашого блогу. Це стосується НЕ WordPress-овських налаштувань безпеки.

Установіть WordPress безпечно

WordPress відомий своєю простою інсталяцією. Цей факт працює на популярність даного програмного забезпечення, але з цього також виходить, що багато налаштувань однакові на різних блогах. Це дозволяє хакерам отримувати неавторизований доступ до Вашого блогу.

Вже впродовж інсталяції WordPress Ви маєте звернути увагу, що Ваш блог повинен мати як змога менше спільного з стандартною інсталяцією WordPress. Така інсталяція, що відрізняється від стандартної, робить блог більш захищеним від потенційного ризику неавторизованого доступу. Отже Вам необхідно звернути увагу на наступні декілька порад, коли Ви встановлюєте WordPress.

Всі ці поради стосуються "чистої" інсталяції WordPress, без сторонніх плагінів. Є також корисні плагіни для покращення безпеки блогу на WordPress, які будуть гарним альтернативним вибором цим порадам для менш досвідчених користувачів.

Префікс таблиць

Доступ до бази даних налаштовується у файлі wp-config.php. У ньому визначений префікс імен таблиць, які використовує WordPress для створення бази даних при інсталяції. За замовчуванням цей префікс - "wp_". Ви повинні завжди вказувати якийсь інший префікс, що не співпадає із стандартним. Ви також повинні слідкувати за тим, що у префіксі використовуєте тільки числа, букви та знак підкреслення, оскільки інші символи не підтримуються.

Унікальні ключі ідентифікації

Також у wp-config.php Ви маєте можливість визначити чотири ключі безпеки аби збільшити безпечність WordPress. Ключі можна створити вручну або за допомогою генератора на wordpress.org. Чотири ключі призначені для різних кукі/cookie та використовуються у різних місцях для покращення безпечності WordPress, отже також дуже важливо використовувати різні ключі при кожній інсталяції.

Описані ключі це:

  • AUTH_KEY Використовується для з'єднання по http.
  • SECURE_AUTH_KEY Ця константа використовується для з'єднання по https.
  • LOGGED_IN_KEY Використовується при вході користувача, не адміністративний cookie.
  • NONCE_KEY Знаходиться у $_POST-запитах WordPress.

Права на доступ до файлів та директорій

Обмежені права на доступ до файлів та директорій роблять складним завданням для зловмисників зміну їх вмісту.

Пошукові системи зазвичай при індексації занурюються у глиб Вашого сайту на стільки, на скільки можуть. Забороніть це використовуючи robots.txt файл для визначення доступу. Внутрішні директорії WordPress не мають бути доступні у пошукових результатах - простого слова Disallow достатньо.

Виходячи з того, яка у Вас конфігурація серверу, існує верогідність, що можна отримати список вмісту директорій Вашого блогу через браузер. Це також має бути заборонене, що швидко робиться шляхом додавання пустого файлу index.html в кожну папку. Як альтернатива, можна використати плагін Secure WordPress Plugins.

Перейменуйте wp-content

Усі плагіни, файли та теми зберігаються у папці wp-content. Часто теми або плагіни створюють діру у безпеці Вашого блогу, але з версії 2.6 є можливість вільно назвати цю папку і перемістити її будь-куди. При новій інсталяції це може бути зроблено легко та швидко. Це може бути проблемою для роботи деяких плагінів та тем, оскільки не усі автори перевіряють шлях до цієї папки, використовуючи доступні константи та функції. В будь-якому випадку ця порада рекомендується тільки для досвідчених користувачів.

Аби перевизначити директорію достатньо встановити значення константи у wp-config.php.

define('WP_CONTENT_DIR', ABSPATH . 'test');    // wp-content директорія
define('WP_CONTENT_URL', 'http://example.com/test');    // wp-content URL

Далі буде ;).
Читайте другу частину порад Безпечний блог на WordPress

Зверніть увагу: ця публікація побачила світ більше року тому, з того часу багато чого могло змінитися ;)
Дмитро Кондрюк
Дмитро Кондрюк
В веб-індустрії з 2003 року. В 2009р. заснував проект Український WordPress (що у подальшому став офіційним сайтом команди локалізації WordPress в Україні). З 2010 року засновник і технічний директор проекту Український хостинг для WordPress (WPHost.me) - повноцінного хостинг-сервісу, максимально оптимізованого на використання CMS WordPress.

Коментарів 14

  • [...] This post was mentioned on Twitter by Dmitry, Dmitry. Dmitry said: Новеньке: Безпечний блог на Wordpress - поради (частина 1) (http://bit.ly/Qfqir) [...]
  • [...] поради щодо збереження вашого блогу у безпеці. Перша частина була опублікована декілька днів тому і включала [...]
  • [...] Про Wordpress українською ділиться порадами щодо того, як убезпечити свій блог від зловмисних дій [...]
  • [...] вже читали публікацію “Безпечний блог на WordPress” та її продовження, у якій я розповідав, що потрібно [...]
  • [...] поради щодо збереження вашого блогу у безпеці . Перша частина була опублікована декілька днів тому і включала [...]
  • [...] раджу ознайомитись із статтями на сайті wordpress.co.ua – Безпечний блог на WordPress – поради, частина 1 та Безпечний блог на WordPress – поради, частина [...]
  • "Аби перевизначити директорію достатньо встановити значення константи у wp-config.php. define('WP_CONTENT_DIR', ABSPATH . 'test'); // wp-content директорія define('WP_CONTENT_URL', 'http://example.com/test'); // wp-content URL" Нічо не ясно - куди і замість чого це вставляти? Я програмувати не вмію, тому краще показати текст замість якого це треба написати. Що таке "пустий файл хтмл"?
    • Не замість, а додати до існуючих рядків, наприклад одразу після доступів до бази даних. А взагалі, зверніться за допомогою до спеціаліста, адже невміле коригування файлів може призвести до проблем
          • кожному своє, цей плагін має багато можливостей, а навантаження створює мінімальне
          • не для спростування ваших слів, а для інформації: після встановлення та активації плагіну завантаження сторінки на тестовому блозі почало використовувати майже втричі більше процесорних ресурсів. глобально - цифра все одно маленька, але факт

Поділіться з друзями.

Ми впевнені, що це може бути корисним для інших і для нашого сайту також )