CMS | 29 апреля 2011 |

Как увеличить безопасность wordpress за 10 минут?

Приветствую своих читателей. В прошлый раз я писал пост с такой темой, Как повысить безопасность wordpress?. Там речь шла о том, чтобы сменить префикс у таблиц.

Wordpress-Security

Все уроки, которые я тут пишу, я сам лично проверяю на своих сайтах. Начнем.

Не используйте аккаунт admin

После установки, по умолчанию создается пользователь с ником admin. Таким образом, о нике администратора знает весь мир, то есть и злоумышленники тоже. Если хакер не знает не только пароля, но и логина, то ему будет вдвойне тяжело. Поэтому чтобы усложнить жизнь хакеру, откажемся от этого аккаунта по умолчанию.

Работаем так:

  • Создайте нового пользователя. Постарайтесь выбрать уникальный логин, чтобы нелегко было догадаться.
  • Не забудьте дать ему права администратора:
  • Выйдите из текущего admin аккаунта. Зайдите под новым.
  • Удалите admin аккаунт.Но не забудьте!связать старые записи и ссылки с новым аккаунтом:

Уникальные ключи для аутентификации.

В самом файле wp-config.php (лично у меня) находятся подобные рекомендации. Поэтому стоит их выполнить, перейдите по этой ссылке, там получите уникальные значения и замените их в файле конфигурации.

Установка специальных плагинов

Есть также плагины для таких целей. Я их лично не тестировал, просто подборка:

  • WP Security Scan - Сканирует вашу wordpress установку на предмет уязвимостей.
  • Exploit Scanner - сканирует все на предмет подозрительных файлов, включая плагины, для поиска в списке их файлов необычные названия. Ничего не удаляет, дает возможность пользователю сделать это.
  • WordPress File Monitor - мониторит файлы на предмет изменений, и если что отсылает вам уведомление по почте.
  • Login LockDown - если кто-то слишком много раз вводил неверные данные для входа в админ-панель, плагин блокирует ему доступ.

На этом все. Можете дополнить в комментариях -).

Рекомендую еще почитать

  • Как повысить безопасность wordpress?
  • 4 шага ускорить блог

    • Вы, можете добавить эту статью, в один из следующих сервисов:

    Опубликовать в Twitter Опубликовать в своем блоге livejournal.com

    5 коммент.

    1. getnaked

      29 Апр 2011

      Еще можно положить специальный .htaccess, который будет давать доступ в админку только определенным IP. Но это хорошо только тогда, когда IP постоянный.

    2. Severus

      29 Апр 2011

      Да, тоже неплохой метод. Я точно не знаю как это сделать, но вроде как-то так:

      1

      allow from IP

      Это не полностью, но в сети думаю есть ответ как это реализовать.

    3. Severus

      29 Апр 2011

      @getnaked, да, скорее всего, я с этим файлом особых дел не имел еще -)

    4. getnaked

      29 Апр 2011

      По-моему надо так:
      Order allow deny
      Deny from all
      Allow from 123.123.123.123

    5. Кот Шрёдингера

      4 Июн 2011

      А как связать старые записи с новым именем? И если у меня блогом пользуются несколько человек и все с правами администратора? Надо поменять и удалить только мой admin или всех перетащить на новые имена?