Советы по защите блога на Wordpress

Список вряд ли будет полным, да и, как говорится, кому надо, все равно сломают. Но по крайней мере эти действия может сделать практически любой блоггер, дабы хоть немного защититься.

Обновить коды счетчиков и виджетов

Проверить коды всех счетчиков и социальных виджетов у себя на блоге и на сайте, откуда вы их взяли.
Возможно они обновились.

Обновить все плагины и WordPress до последних версий и удалить неиспользуемое

Тут комментарии излишни, все умеют это делать. Уязвимости обычно содержатся в плагинах и темах, поэтому, как минимум, все неиспользуемое лучше удалить.

Обновить timthumb.php

Если в вашей теме используется ресайз миниатюр посредством timthumb.php, то обязательно нужно обновить этот файл на самую последнюю версию, так как старые версии известную уязвимость.

Проверить права на папки и файлы

У всех файлов права должны быть 644, у папок 755, кроме .htaccess — права 444 и папки uploads — права 777.

Самый быстрый вариант — это зайти в phpadmin и там в вашей базе данных выполнить вот этот запрос:

UPDATE wp_users SET user_login = ‘Ваш новый логин’ WHERE user_login = ‘admin’;

Или можно просто через админку блога создать нового пользователя, переназначить ему все статьи, а старого пользователя admin, удалить.

Сменить все пароли на более сложные

Банальный совет, но пароли должны быть сложными, состоящими из цифр и букв разного регистра. Также не стоит забывать, что после борьбы с вирусами нужно по-любому поменять все пароли (админка блога, админка хостинга, ftp, sql-базы), а также имеет смысл изменить секретные ключи в файле wp-config.php.

Защитить файлы .htaccess и wp-config.php от доступа для всех

Добавляем в ваш .htaccess в корне блога, вот этот код:

Для России рекомендую рублевую карту AllAirlines. Она дает хорошую бесплатную мед страховку и кешбек 2-10%. У меня такая, очень выгодно получается.

Карта с кешбеком →

<files wp-config.php>
Order deny,allow
deny from all
</files>
<Files .htaccess>
order allow,deny
deny from all
</Files>

Защитить папку wp-includes с помощью .htaccess

Создаем файл обычный текстовый файл, называем его .htaccess и копируем в папку wp-includes, предварительно добавив в файл код:

Order Allow,Deny
Deny from all
<Files ~ «.(css|jpe?g|png|gif|js|swf)$»>
Allow from all

Защитить папку wp-admin с помощью .htaccess и .htpasswd

Создаем файл обычный текстовый файл, называем его .htaccess и копируем в папку wp-admin, предварительно добавив в файл код:

AuthUserFile /home/public/.htpasswd
AuthType Basic
AuthName “restricted”
Order Deny,Allow
Deny from all
Require valid-user
Satisfy any

Где, «/home/public/.htpasswd» — это полный путь к файлу .htpasswd. Желательно, чтобы этот файл располагался выше директории вашего блога.

В файле .htpasswd хранится пароль для доступа в зону wp-admin в зашифрованном виде. Создать этот файл проще всего в любом генераторе htpasswd, указав имя пользователя и пароль в обычном виде. Лучше всего не повторятся и указывать данные, отличающиеся от уже существующих учетных записей.

С этим способом есть только одно неудобство — он не применим, если у вас многопользовательский блог, так как пароль будет запрашиваться у всех пользователей.

Изменить префикс базы данных

Изменить префикс вашей sql базы данных со стандартного «wp_» на какой нибудь «wpsdjflk647_» можно было в самом начале создания блога. Но и сейчас это не проблема. Я сделал это плагином, о котором, речь пойдет ниже. Хотя можно было зайти в phpadmin, заменить там все названия таблиц, а потом изменить префикс и в файле wp-config.php

Установить плагин Belavir

Установите плагин Belavir, который будет отслеживать изменения во всех php файлах вашего блога. Плагин сам ничего не мониторит, а запускает проверку, когда вы заходите в админку блога на страницу Консоль, где собственно он и отображает изменения. Настроек у него никаких нет.

Установить плагин WP Security Scan

Установите плагин WP Security Scan, с помощью которого можно сделать некоторые вещи, в частности:
— изменить префикс базы данных
— проверить права на папки и файлы
— скрыть версию WordPress
— подключить антивирус для блога и проверить его

Установить плагин Better WP Security

Установите плагин Better WP Security, он даже больше нужен, чем предыдущие два. Список его возможностей очень большой, перечислю часть:
— позволяет изменить префикс базы данных
— убирает ненужную информацию из кода блога по типу версии вордпресс
— мониторит изменения во всех файлах
— банит айпи тех, кто вводит странные адреса в браузере после имени вашего блога, получая ошибку 404
— запрещает подбирать пароль к админке, банит айпи
— изменяет стандартные адреса входа в админку, отличная защита от brute-force атак
— и многое другое.

Мониторинг изменений на вашем ftp

Установите программу ftpinfo на свой компьютер, которая позволяет подсоединяться к вашему ftp-серверу и мониторить изменения всех файлов аккаунта на предмет их появления/удаления/изменения. Очень удобная штука во время вирусных атак. Можно мониторить не только все файлы, но и создавать маски для файлов и папок.

Бекапы баз данных и файлов раз в несколько дней

Очень полезная вещь, может пригодится и для борьбы с вирусами. Под рукой всегда будут оригиналы файлов и будет возможность откатится назад, если не получается вычистить сайт от вирусов. Я использую плагин BackWPup. У него много возможностей, в том числе и копирование данных в Dropbox — удобный сервис, предоставляющий синхронизацию с вашим компьютером.

Вот такие вот советы по защите блога на WordPress я применил у нас на блоге. Если, есть какие-то вопросы или дополнения (может еще что-то еще можно сделать), пишите в комментариях :)

Выбрать страховку очень сложно, поэтому вот выжимка с форумов и из опыта - ТОП страховок. Я часто путешествую и сам пользуюсь страховками.

ТОП страховок →

Советы по защите блога на WordPress

Все части моего небольшого FAQ для блоггеров: