Согласно статистике, хакеры атакуют сайты на Вордпресс примерно 90.000 раз в минуту, не имеет значения, большой сайт или маленький, старый или новый, в большинстве случаев это не зависит от владельца сайта.
Хакеры взламывают сайты для того, чтобы получить контроль над узлом сети и использовать ресурсы этого узла в своих целях.
Хорошая новость в том, что атакам хакеров можно успешно противодействовать. В этой статье вы узнаете, как усилить безопасность сайта с помощью настроек в файле wp-config.php.
Перед тем, как вы начнете применять эти настройки, сделайте бэкап файла wp-config. Этот файл загружается до загрузки ядра Вордпресс, и ошибка в одном знаке может положить весь сайт.
Содержание:
- Переместите wp-config.php
- Cмените ключи безопасности
- Используйте SSL
- Измените префикс базы данных
- Права доступа к файлам и папкам
- Отключите редактирование тем и плагинов в админке
- Используйте FTPS
- Используйте SSH
- Отключите режим debug
- Отключите отображение ошибок режима отладки во фронт-энде
- Включите автоматическое обновление
1. Переместите wp-config.php
В файле wp-config хранятся пароли для подключения к базе данных, ключи безопасности и другая важная информация, поэтому лучше переместить этот файл в безопасное место, и дать ему права доступа 400 или 440. Если вы переместите файл в новое место, хакерам сначала придется его найти, после этого попытаться взломать.
Вы можете безопасно перенести wp-config на один уровень выше корневой папки сайта:
Папка на уровень выше корневой папки недоступна из Интернета.
Не переносите файл, если на одном уровне выше уже есть файл wp-config, или ваш сайт установлен в подпапке или на субдомене.
Если вы хотите перенести wp-config в другое место (не на уровень выше), то перенесети файл в новое место, а на старом месте (корневая папка) создайте еще один wp-config и добавьте в него этот код:
Замените/путь/к/wp-config.php на новый адрес к файлу wp-config.
2. Смените ключи безопасности
В файле wp-config хранятся ключи безопасности, которые усложняют задачу хакерам по взлому сайта. Эти ключи помогают шифровать информацию, хранящуюся в кукис браузеров посетителей.
Меняйте ключи время от времени, особенно если сайт был взломан. Замена ключей закроет все открытые сессии залогиненных пользователей, в том числе хакеров.
Вы можете сгенерировать новые ключи в официальном генераторе ключей Вордпресс.
3. Используйте SSL
SSL сертификат шифрует соединение между сайтом и браузером посетителя, поэтому злоумышленник не может перехватить информацию, например, логин и пароль.
Если у вас уже установлен сертификат, вы можете включить его принудительное использование на странице авторизации и в админке сайта:
4. Измените префикс базы данных
У каждой таблицы в базе данных есть префикс. Стандартный префикс — wp_, но вы можете его изменить на что-нибудь уникальное, чтобы добавить хакерам работы. Чем больше препятствий вы создадите хакерам, тем меньше вероятность, что у них получится взломать сайт.
Найдите эту строку и замените префикс на свой, например, v6jt34_.
После этого нужно переименовать таблицы и некоторые записи в таблицах базы данных.
5. Права доступа к файлам и папкам
С помощью этого скрипта вы можете установить права доступа всем файлам и папкам:
После этого вручную установите права доступа нескольким важным файлам и папкам.
6. Отключите редактирование плагинов и тем в админке
В админке Вордпресс вы можете редактировать файлы плагинов и тем. Если хакеру удастся попасть в админку сайта, он получит полный доступ к файлам плагинов и тем, и сможет делать с ними что захочет. Добавит свой код, вирусы или спам.
Редактирование файлов из админки сайта можно отключить:
7. Используйте FTPS
Если на вашем хостинге включен режим FTPS, вы можете подключаться к серверу по безопасному соединению. Передача файлов будет проходить по зашифрованному каналу, поэтому хакеры не смогут перехватить данные или файлы.
Чтобы включить принудительное использование FTPS, добавьте эту строку:
И включите использование FTPS в вашем ftp-клиенте (Filezilla).
8. Используйте SSH
Аналогично с предыдущим пунктом, если на вашем хостинге включен протокол SSH, вы можете включить его принудительное использование:
9. Отключите режим debug
По умолчанию режим отладки отключен, но вы могли забыть его выключить, если использовали его раньше. Если эта функция осталась включенной, то некоторая информация о сайте, например, расположение файлов, становится доступна.
Найдите эту строку и замените true на false:
10. Отключите отображение ошибок режима отладки во фронт-энде
Если вы пользуетесь режимом debug, но хотите только отключить отображение ошибок на сайте со стороны посетителей, добавьте эту строку в wp-config:
11. Включите автоматическое обновление
Обновленная версия Вордпресс, тем и плагинов — первый совет от разработчиков всех плагинов / сервисов безопасности, потому что в обновлениях разработчики исправляют проблемы с безопасностью и оптимизируют код. Если вы не обновляете софт, то известные уязвимости устаревшего ПО, которые находятся в открытом доступе, могут быть использованы хакерами для взлома сайта.
Начиная с версии 3.7, минорные обновления Вордпресс устанавливаются автоматически, но можно включить автоматические крупные (мажорные) обновления. Добавьте эту строку в wp-config:
Читайте также:
- Руководство по wp-config.php
- Безопасность Вордпресс. Подробное описание
- Редактирование .htaccess для безопасности WordPress
- Бэкап Вордпресс. Подробное описание
Надеюсь, статья была полезна. Оставляйте комментарии.
