В последнее время WordPress обновляется довольно часто, но главная причина не появление новых возможностей, а обнаруженные ошибки безопасности.
Многие популярные авторы становились жертвами взлома. Мэтт Каттс (Matt Cutts), инженер Google, дал три простых совета, как сделать блог на основе WordPress более безопасным:
- Запрет посторонним даже пытаться вводить логин/пароль. Для этого создается файл .htaccess в директории /wp-admin/ следующего содержания:
AuthUserFile /dev/nullAuthGroupFile /dev/nullAuthName “Access Control”AuthType Basicorder deny, allowdeny from allallow from 64.233.169.99 # в белый список добавлен IP-адрес дома allow from 69.147.114.210 # в белый список добавлен IP-адрес работы
allow from — это правило разрешает доступ к админке только пользователям с разрешенным IP. Правда, нужно иметь в виду пару моментов. Не у всех может быть постоянный IP, он может быть и динамических. Кроме того, блог зачастую ведут несколько авторов.
- Создать пустой файл
index.htmlв папкеwp-content/plugins/. Это позволяет скрыть данные об установленных у вас плагинах, ведь зачастую они сами могут содержать уязвимости. - Устанавливайте каждую новую версию, каждый патч. В противном случае, блог будет открыт к атакам.
Бонус: Удалите строку:
<meta name=”generator” content=”WordPress <?php bloginfo(’version’); ?>” /><!-– leave this for stats please -->
чтобы злоумышленник не мог узнать текущую версию WordPress (на случай, если вы все-таки не своевременно обновляетесь).
