Как инженер Google защищает свой WordPress-блог

В последнее время WordPress обновляется довольно часто, но главная причина не появление новых возможностей, а обнаруженные ошибки безопасности.

Многие популярные авторы становились жертвами взлома. Мэтт Каттс (Matt Cutts), инженер Google, дал три простых совета, как сделать блог на основе WordPress более безопасным:

    1. Запрет посторонним даже пытаться вводить логин/пароль. Для этого создается файл .htaccess в директории /wp-admin/ следующего содержания:

AuthUserFile /dev/nullAuthGroupFile /dev/nullAuthName “Access Control”AuthType Basicorder deny, allowdeny from allallow from 64.233.169.99 # в белый список добавлен IP-адрес дома allow from 69.147.114.210 # в белый список добавлен IP-адрес работы

allow from — это правило разрешает доступ к админке только пользователям с разрешенным IP. Правда, нужно иметь в виду пару моментов. Не у всех может быть постоянный IP, он может быть и динамических. Кроме того, блог зачастую ведут несколько авторов.

  1. Создать пустой файл index.html в папке wp-content/plugins/. Это позволяет скрыть данные об установленных у вас плагинах, ведь зачастую они сами могут содержать уязвимости.
  2. Устанавливайте каждую новую версию, каждый патч. В противном случае, блог будет открыт к атакам.

Бонус: Удалите строку:

<meta name=”generator” content=”WordPress <?php bloginfo(’version’); ?>” />  <!-– leave this for stats please -->

чтобы злоумышленник не мог узнать текущую версию WordPress (на случай, если вы все-таки не своевременно обновляетесь).


Понравилась статья? Поделиться с друзьями:
Перейти к верхней панели
Adblock detector