»  Безопасность  »  Настройки wp-config.php для безопасности Вордпресс

Настройки wp-config.php для безопасности Вордпресс

Последнее обновление:

Настройки wp-config для безопасности ВордпрессСогласно статистике, хакеры атакуют сайты на Вордпресс примерно 90.000 раз в минуту, не имеет значения, большой сайт или маленький, старый или новый, в большинстве случаев это не зависит от владельца сайта.

Хакеры взламывают сайты для того, чтобы получить контроль над узлом сети и использовать ресурсы этого узла в своих целях.

Хорошая новость в том, что атакам хакеров можно успешно противодействовать. В этой статье вы узнаете, как усилить безопасность сайта с помощью настроек в файле wp-config.php.

Перед тем, как вы начнете применять эти настройки, сделайте бэкап файла wp-config. Этот файл загружается до загрузки ядра Вордпресс, и ошибка в одном знаке может положить весь сайт.

Содержание:

  1. Переместите wp-config.php
  2. Cмените ключи безопасности
  3. Используйте SSL
  4. Измените префикс базы данных
  5. Права доступа к файлам и папкам
  6. Отключите редактирование тем и плагинов в админке
  7. Используйте FTPS
  8. Используйте SSH
  9. Отключите режим debug
  10. Отключите отображение ошибок режима отладки во фронт-энде
  11. Включите автоматическое обновление

1. Переместите wp-config.php

В файле wp-config хранятся пароли, ключи безопасности и другая важная информация, поэтому лучше переместить этот файл в безопасное место, и дать ему соответствующие права доступа. Если вы переместите файл в новое место, хакерам сначала придется его найти, после этого попытаться взломать.

Вы можете безопасно перенести wp-config на один уровень вверх, но не переносите файл, если на одном уровне выше уже есть файл wp-config, или ваш сайт установлен в подпапке или на субдомене.

Перенесите wp-config на новое место, а на старом месте (корневая папка) создайте еще один wp-config и добавьте в него этот код:

Замените/путь/к/wp-config.php на новый адрес к файлу wp-config.

2. Смените ключи безопасности

В файле wp-config хранятся ключи безопасности, которые усложняют задачу хакерам по взлому сайта. Эти ключи помогают шифровать информацию, хранящуюся в кукис браузеров посетителей.

Меняйте ключи время от времени, особенно если сайт был взломан. Замена ключей закроет все открытые сессии залогиненных пользователей, в том числе хакеров.

Вы можете сгенерировать новые ключи в официальном генераторе ключей Вордпресс.

3. Используйте SSL

SSL сертификат шифрует соединение между сайтом и браузером посетителя, поэтому злоумышленник не может перехватить информацию, например, логин и пароль.

Если у вас уже установлен сертификат, вы можете включить его принудительное использование на странице авторизации и в админке сайта:

4. Измените префикс базы данных

У каждой таблицы в базе данных есть префикс. Стандартный префикс — wp_, но вы можете его изменить на что-нибудь уникальное, чтобы добавить хакерам работы, если они хотят взломать ваш сайт. Чем больше препятствий вы создадите хакерам, тем меньше вероятность, что у них это получится.

Найдите эту строку и замените префикс на свой, например, v6jt34_.

После этого нужно переименовать таблицы и некоторые записи в таблицах базы данных.

5. Права доступа к файлам и папкам

Вы можете вручную установить права доступа к нескольким важным файлам и папкам, или можете автоматически установить права доступа всем файлам и папкам:

6. Отключите редактирование плагинов и тем в админке

В админке Вордпресс вы можете редактировать файлы плагинов и тем. Если хакеру удастся попасть в админку сайта, он получит полный доступ к файлам плагинов и тем, и сможет делать с ними что захочет, добавит свой код, вирусы или спам.

Редактирование файлов из админки сайта можно отключить:

7. Используйте FTPS

Если на вашем хостинге включен режим FTPS, вы можете подключаться к серверу по безопасному соединению. Передача файлов будет проходить по зашифрованному каналу, поэтому хакеры не смогут перехватить данные или файлы.

Чтобы включить принудительное использование FTPS, добавьте эту строку:

8. Используйте SSH

Аналогично с предыдущим пунктом, если на вашем хостинге включен протокол SSH, вы можете включить его принудительное использование:

9. Отключите режим debug

По умолчанию режим отладки отключен, но вы могли забыть его выключить, если использовали его раньше. Если эта функция осталась включенной, то некоторая информация о сайте, например, расположение файлов, становится доступна.

Найдите эту строку и замените true на false:

10. Отключите отображение ошибок режима отладки во фронт-энде

Если вы пользуетесь режимом debug, но хотите только отключить отображение ошибок на сайте со стороны посетителей, добавьте эту строку в wp-config:

11. Включите автоматическое обновление

Обновленная версия Вордпресс, тем и плагинов — одно из главных условий безопасности сайта, так как в обновлениях разработчики исправляют проблемы с безопасностью и оптимизируют код. Если вы не обновляете софт, то известные уязвимости устаревшего ПО, находящиеся в открытом доступе, могут быть использованы хакерами для взлома сайта.

Начиная с версии 3.7, минорные обновления Вордпресс устанавливаются автоматически, но можно включить автоматические крупные (мажорные) обновления. Добавьте эту строку в wp-config:

Читайте также:

  1. Руководство по безопасности Вордпресс
  2. Руководство по wp-config.php
  3. Редактирование .htaccess для безопасности WordPress
  4. Префикс базы данных

Надеюсь, статья была полезна. Оставляйте комментарии.

Оставьте комментарий

Do NOT follow this link or you will be banned from the site!