Обезопасим свой Wordprss

Опубликовано: Комментариев: 0

В сети много всего по поводу безопастности в Wordpress,но некоторые советы такие интересные бывают, что просто под стол от смеха можно упасть, вот к примеру улыбнула такая запись:

Бан злостных спамеров с помощью .htaccess Известно, что спаммеры иногда бывают очень злостными
спамеры типо когдато бывают нормальными чтоль? :lol: Ладно, отвлекся, вот что я думаю стоит закрыть в первую очередь:Защитим свой сайт от hotlink при помошщи .htaccess. Хот Линк это паразитизм, только в интернете. Злоумышленник место того чтобы закачивать всякие картинки себе на сайт решил сэкономить на хостинге и линкует ваши картинки к себе на сайт. Мало того, что он, хитрожопый такой, крадет ваши картинки, так Вы еще и платите за этот траффик! Ну зачем нам такое надо, так что давайте закроем возможность хотлинка.
RewriteCond %{HTTP_REFERER} !^$ RewriteCond %{HTTP_REFERER} !^http://slicks.name.*$ [NC] RewriteCond %{HTTP_REFERER} !^http://www.slicks.name.*$ [NC] RewriteCond %{HTTP_REFERER} !^http://slicks.name:80.*$ [NC] RewriteCond %{HTTP_REFERER} !^http://www.slicks.name :80.*$ [NC] RewriteCond %{HTTP_REFERER} !^http://92.48.117.218.*$ [NC] RewriteCond %{HTTP_REFERER} !^http://92.48.117.218:80.*$ [NC] RewriteRule .*[Jj][Pp][Gg]$|.*[Gg][Ii][Ff]$ http://www.google.com/index.html
Где slicks.name – это имя сайта,который вы спасаете от хот линка. Пишет как видете в нескольких вариантах, т.к. К сайту можно попасть просто набрав slicks.name, прописав www.slicks.name и через ip. Чтобы узнать ip своего сайта я писал в терминале ping slicks.name. Или же можно посмотреть в whois. Вот только я не знаю, что делать, если IP принадлежит не только Вам, а он делится между многими сайтами, как в моем случае? Я думаю, что тогда эту строчку с айпишниками можно просто пропустить.А хотлинщика пересылаем мы на гугл. Ну вот, hotlink нам уже не страшен. Теперь предлагаю закрыть от поисковых роботов свои файлы движка, и те папки, которые мы не хотим допустить к индексации. В этом нам поможет файл Robots.txt, который заливается в корневой каталог сайта:
User-agent: Yandex Disallow: /cgi-bin Disallow: /wp-admin Disallow: /wp-includes Disallow: /wp-content/plugins Disallow: /wp-content/cache Disallow: /wp-content/themes Host: www.slicks.name User-agent: * Disallow: /cgi-bin Disallow: /wp-admin Disallow: /wp-includes Disallow: /wp-content/plugins Disallow: /wp-content/cache Disallow: /wp-content/themes Sitemap: http://slicks.name/sitemap.xml
В таком случае мы закрываем от индексации поисковиками все папки и файлы, кроме /wp-content/uploads/ ну и правильно, зачем им знать какая у нас тема, плагины и что там в админке. 3. Злоумышленнику булет намного легче взломать ваш wordpress, если известна конкретная версия CMS. Так что следует убрать намеки на то, какая у вас версия WP.для этого в первую очередь удалите с корневого каталога readme.html и license.txt. Также откройте папку с вашей темой и уберите в header.php строчку:
< meta name= "generator" content="WordPress < ? php bloginfo (' version '); ?>" />
а в файл functions.php добавьте строку < ?php remove_action('wp_head', 'wp_generator'); ?> Еще есть способ сменить просто версию WP на любую другую при помощи плагина Replace WP-Version (http://wordpress.org/extend/plugins/replace-wp-version/) 4. Генерируйте в AUTH_KEY, SECURE_AUTH_KEY, LOGGED_IN_KEY, NONCE_KEY случайные буквенно символьные выражения, ставьте сильный пароль на доступ к MySQL. 5. Можно при установке вордпресс сменить префикс wp_ на что-то другоеСмените логин администратора wordpress.Это можно сделать либо плагином wp-optimize или руками. С плагином нет проблем. Чтобы сменить это руками следует зайти в phpmyadmin, выбрать вашу mySQL, найдите таблицу users и вместо user_login впишите что-то другое. 6. Воспользуйтесь плагином Anti-XSS Attack, я о нем писал в прошлом посте, там и ссылка на него есть 7. Еще можно разрешить доступ к админке только одному IP адресу, если у вас статический IP. 8.При неудачной попытке входа в блог, вы получаете ответ WP. Его можно убрать, поскольку этот вывод интересен и для хакеров. Нужно в файле functions.php вставить строку:
add_filter('login_errors',create_function('$a', "return null;"));
И на последок, делайте хоть раз в неделю бекап базы данных, чтобы в случае чего вы могли возможность быстро восстановить Ваш блог