Как защитить свой блог
Не секрет, что CMS WordPress не является самой защищенной системой управления сайтами. Поэтому каждый владелец своего блога должен самостоятельно заняться защитой своего ресурса. Не нужно дожидаться момента, когда кто-то взломает ваш сайт. Лучше всего заняться защитой заранее и не допустить никаких действий злоумышленников. В этой статье мы обсудим, что можно предпринять для этого.
1. Создайте грамотный пароль для входа в панель администратора, для базы данных, для хостинга. Все это должны быть три разных пароля. Лучше всего воспользоваться специальной программой – менеджером паролей. Такая программа умеет не только генерировать правильные пароли, но и хранит их в надежном защищенном месте, а в нужный момент в мгновение ока предоставляет их вам.
2. Мошенники часто используют информацию о версии вашего движка. Обязательно удалите файлы locense.txt и readme.html. Этим вы лишите их возможности получить данную информацию.
3. Для того, чтобы связываться с файлами, лежащими на хостинге, используйте протокол ssh, а не популярный ftp. Он будет шифровать передаваемые вами данные и при доступе к ним злоумышленники не смогут понять их значение. Программы, работающие по этому протоколу, легко найти в свободном доступе интернета.
4. Защитите свою базу данных с помощью плагина wordpress database backup. Он будет отправлять на вашу почту бэкап с указанной вами периодичностью. Даже если вдруг что-то случится с базой на сервере, вы всегда сможете залить ее свежую версию, скачав при этом с собственного почтового ящика.
5. Всегда обновляйте плагины и сам движок. Как правило, более новые версии содержат в себе исправление проблем, связанных с безопасностью.
6. Удалите неиспользуемые вами плагины. Этим вы закроете еще несколько дыр.
7. Зарегистрированные пользователи имеют больше шансов навредить вашему сайту. Возможно следует запретить регистрацию. Хотя с другой стороны вы можете контролировать их права.
8. Некоторые злоумышленники используют информацию об установленных плагинах для того, чтобы взломать защиту. Для того, чтобы они не могли получить данную информацию, вставьте пустой файл index.php по пути /wp-content/plugins/
9. Установите плагин Anti-XSS attack . Он будет предупреждать вас всякий раз, когда совершается XSS-атака.
10. Для того, чтобы усложнить задачу взлома аккаунта, недостаточно просто установить сложный пароль. Было бы полезно также создать нового пользователя, имеющего статус администратора. Тот аккаунт админа, который был по умолчанию, лучше всего удалить. А для публикации постов создать еще одного пользователя, под именем которого вы и будете чаще всего посещать ресурс.
11. Для того, чтобы злоумышленник не смог заниматься подбором логинов и паролей, лучше всего воспользоваться плагинами Limit Login Attempts и Login LockDown. Они ограничат число попыток входа в административный раздел.
12. В файле header.php удалите строку <meta name=”generator” content=”WoerdPress <?php bloginfo(‘version’);?>”/>
13. В файле function.php пропишите строку <?php remove_action(‘wp_hesd’, ‘wp_generator’);?>
14. Строку <?php echo $_SERVER[‘PHP_SELF’];?> замените на <?php bloginfo(‘home’);?> в файле search.php. Это блокирует возможность мошенникам искать информацию на вашем сервере. Если такой строки нет, то и хорошо.
Итак, если вам небезразлична безопасность вашего блога, срочно бегите применять эти советы!