»  Безопасность  »  Настройки wp-config.php для безопасности Вордпресс

Настройки wp-config.php для безопасности Вордпресс

Последнее обновление:

Настройки wp-config для безопасности ВордпрессСогласно статистике, хакеры атакуют сайты на Вордпресс примерно 90.000 раз в минуту, не имеет значения, большой сайт или маленький, старый или новый, в большинстве случаев это не зависит от владельца сайта.

Хакеры взламывают сайты для того, чтобы получить контроль над узлом сети и использовать ресурсы этого узла в своих целях.

Хорошая новость в том, что атакам хакеров можно успешно противодействовать. В этой статье вы узнаете, как усилить безопасность сайта с помощью настроек в файле wp-config.php.

Перед тем, как вы начнете применять эти настройки, сделайте бэкап файла wp-config. Этот файл загружается до загрузки ядра Вордпресс, и ошибка в одном знаке может положить весь сайт.

Содержание:

  1. Переместите wp-config.php
  2. Cмените ключи безопасности
  3. Используйте SSL
  4. Измените префикс базы данных
  5. Права доступа к файлам и папкам
  6. Отключите редактирование тем и плагинов в админке
  7. Используйте FTPS
  8. Используйте SSH
  9. Отключите режим debug
  10. Отключите отображение ошибок режима отладки во фронт-энде
  11. Включите автоматическое обновление

1. Переместите wp-config.php

В файле wp-config хранятся пароли для подключения к базе данных, ключи безопасности и другая важная информация, поэтому лучше переместить этот файл в безопасное место, и дать ему права доступа 400 или 440. Если вы переместите файл в новое место, хакерам сначала придется его найти, после этого попытаться взломать.

Вы можете безопасно перенести wp-config на один уровень выше корневой папки сайта:
Папка на уровень выше корневой папки недоступна из Интернета.

Корневая папка Вордпресс
Корневая папка Вордпресс

Не переносите файл, если на одном уровне выше уже есть файл wp-config, или ваш сайт установлен в подпапке или на субдомене.

Если вы хотите перенести wp-config в другое место (не на уровень выше), то перенесети файл в новое место, а на старом месте (корневая папка) создайте еще один wp-config и добавьте в него этот код:

Замените/путь/к/wp-config.php на новый адрес к файлу wp-config.

2. Смените ключи безопасности

В файле wp-config хранятся ключи безопасности, которые усложняют задачу хакерам по взлому сайта. Эти ключи помогают шифровать информацию, хранящуюся в кукис браузеров посетителей.

Меняйте ключи время от времени, особенно если сайт был взломан. Замена ключей закроет все открытые сессии залогиненных пользователей, в том числе хакеров.

Вы можете сгенерировать новые ключи в официальном генераторе ключей Вордпресс.

3. Используйте SSL

SSL сертификат шифрует соединение между сайтом и браузером посетителя, поэтому злоумышленник не может перехватить информацию, например, логин и пароль.

Если у вас уже установлен сертификат, вы можете включить его принудительное использование на странице авторизации и в админке сайта:

4. Измените префикс базы данных

У каждой таблицы в базе данных есть префикс. Стандартный префикс — wp_, но вы можете его изменить на что-нибудь уникальное, чтобы добавить хакерам работы. Чем больше препятствий вы создадите хакерам, тем меньше вероятность, что у них получится взломать сайт.

Найдите эту строку и замените префикс на свой, например, v6jt34_.

После этого нужно переименовать таблицы и некоторые записи в таблицах базы данных.

5. Права доступа к файлам и папкам

С помощью этого скрипта вы можете установить права доступа всем файлам и папкам:

После этого вручную установите права доступа нескольким важным файлам и папкам.

6. Отключите редактирование плагинов и тем в админке

В админке Вордпресс вы можете редактировать файлы плагинов и тем. Если хакеру удастся попасть в админку сайта, он получит полный доступ к файлам плагинов и тем, и сможет делать с ними что захочет. Добавит свой код, вирусы или спам.

Редактирование файлов из админки сайта можно отключить:

7. Используйте FTPS

Если на вашем хостинге включен режим FTPS, вы можете подключаться к серверу по безопасному соединению. Передача файлов будет проходить по зашифрованному каналу, поэтому хакеры не смогут перехватить данные или файлы.

Чтобы включить принудительное использование FTPS, добавьте эту строку:

И включите использование FTPS в вашем ftp-клиенте (Filezilla).

8. Используйте SSH

Аналогично с предыдущим пунктом, если на вашем хостинге включен протокол SSH, вы можете включить его принудительное использование:

9. Отключите режим debug

По умолчанию режим отладки отключен, но вы могли забыть его выключить, если использовали его раньше. Если эта функция осталась включенной, то некоторая информация о сайте, например, расположение файлов, становится доступна.

Найдите эту строку и замените true на false:

10. Отключите отображение ошибок режима отладки во фронт-энде

Если вы пользуетесь режимом debug, но хотите только отключить отображение ошибок на сайте со стороны посетителей, добавьте эту строку в wp-config:

11. Включите автоматическое обновление

Обновленная версия Вордпресс, тем и плагинов — первый совет от разработчиков всех плагинов / сервисов безопасности, потому что в обновлениях разработчики исправляют проблемы с безопасностью и оптимизируют код. Если вы не обновляете софт, то известные уязвимости устаревшего ПО, которые находятся в открытом доступе, могут быть использованы хакерами для взлома сайта.

Начиная с версии 3.7, минорные обновления Вордпресс устанавливаются автоматически, но можно включить автоматические крупные (мажорные) обновления. Добавьте эту строку в wp-config:

Читайте также:

  1. Руководство по wp-config.php
  2. Безопасность Вордпресс. Подробное описание
  3. Редактирование .htaccess для безопасности WordPress
  4. Бэкап Вордпресс. Подробное описание

Надеюсь, статья была полезна. Оставляйте комментарии.

Поделиться в facebook
Поделиться в vk
Поделиться в email
Поделиться в telegram
Поделиться в whatsapp

Оставьте комментарий

Do NOT follow this link or you will be banned from the site!