Логин: Пароль: Забыли пароль? Регистрация
Рекламный блок

              

Страница 1 из 11
Форум » FOR WEB-MASTER`S » Учебник » Безопасность установки WordPress
Безопасность установки WordPress
sg-uaДата: Четверг, 10.02.2011, 18:06 | Сообщение # 1

Репутация: 0
Сообщений: 250
Награды: 0
Статус:
Для того чтобы процесс установки WordPress стал более безопасным, нужно придерживаться нескольких простых вещей. Во-первых, нужно всегда проверять актуальность инсталлятора, поскольку с каждой новой версией WordPress закрывает очередные лазейки для хакеров. Во-вторых, в процессе инсталляции нужно применять сгенерированные ключи аутентификации (об этом уже говорилось ранее).

Начнем по порядку. Первое, что необходимо сделать, это проверить файл header.php на наличие в нем следующей строки:

<?php remove_action('wp_head', 'wp_generator'); ?>

Удалите эту строку. Она позволяет узнать, какую версию WordPress вы используете. Данная строка оказывается полезной как для различных ботов и пауков, собирающих статистику, так и для… хакеров, которые легко смогут подобрать нужный эксплойт, т.к. дыры, имеющиеся в той или иной версии, быстро становятся известными.

Убедитесь также в том, что в файле wp-config.php присутствуют секретные ключи. Они сделают установку более безопасной. Сгенерировать четыре ключа можно по этой ссылке: api.wordpress.org/secret-key/1.1/. Подробнее об этом было сказано ранее.

Пользователи и пароли

Первое, что необходимо сделать после установки WordPress – войти в панель управления и сменить имя администратора. По умолчанию администратору присваивается стандартное имя «admin». Взломать пароль в этом случае представляется проще простого – методом обычного перебора. Если злоумышленник получит пароль от вашей администраторской записи, он сможет сделать с сайтом все, что угодно. Вследствие этого, сменив имя администратора, можно получить уверенность в том, что по крайней мере один путь ко взлому со стороны хакеров будет отрезан.

Однако, это не гарантирует, что хакеры не смогут отыскать других пользователей с правами администратора. Если на вашем блоге присутствуют архивы пользователя, они могут вас выдать. Возможное решение – нигде не оставлять ссылок на авторский профиль (кроме тех, которые ведут за пределы WordPress), однако что делать, если без них никак не обойтись?

Этот вопрос можно разрешить следующим образом – назначить при помощи администраторской записи отдельного пользователя, от лица которого вы будете добавлять записи, редактировать их, проверять комментарии и т.д. В итоге запись администратора останется неизвестной для потенциальных взломщиков. Однако, они могут взломать и запись с правами редактора, что в худшем случае приведет к удалению всей имеющейся информации на сайте. Если вы создавали резервные копии информации, то ее всегда можно будет восстановить.

Значительно повышает безопасность сайта грамотно подобранный пароль – чем больше разнообразных символов он содержит, тем сложнее его взломать.

Работа с сервером

Пользователь, назначенный для работы с базой данных MySQL, получает все привилегии записи, которые, строго говоря, совершенно ему не нужны и лишь снижают общую безопасность сайта. Если вы немного ограничите возможности пользователя MySQL (блокировку таблиц и главной страницы, создание временных таблиц, ссылок или процедур), это никак не повлияет на вашу работу, но значительно снизит риск потерь информации в случае взлома.
Некоторые специалисты WordPress советуют создавать дополнительные логины при помощи Apache и файла .htaccess. Более продвинутые решения предлагают различные плагины, описанные далее.

Первое, что требуется сделать, это проверить, присутствует ли пустой файл index.php или index.html в каждой папке сервера. Обычно этот файл создается в WordPress по умолчанию. Он блокирует непосредственный просмотр содержимого папок, что допускается некоторыми веб-хостингами. Если в какой-либо из папок он отсутствует, необходимо его создать.

Также можно подключить возможность SSL-шифрования, которое будет осуществляться при входе в панель администратора. Это осложнит потенциальным взломщикам задачу изучения исходящего трафика, возникающего в результате каких-либо действий администратора. Для того, чтобы включить SSL-шифрование, добавьте в wp-config.php следующую строку над комментарием «That’s all, stop editing! Happy blogging»:

define('FORCE_SSL_ADMIN', true);

SSL-шифрование может не работать, если ваш хостинг не поддерживает данную функцию. Некоторые хостинги предлагают данную услугу за определенную плату.

 
Форум » FOR WEB-MASTER`S » Учебник » Безопасность установки WordPress
Страница 1 из 11
Поиск:


Статистика форума Zorend.ru
Последние темы Популярные темы Лучшие пользователи Новые пользователи Звезды ZOREND`a
Глобальное обновление
Пара Анекдотов
Правила раздела
Считаем до 1000
Какая видео карта сейчас нормальная?
WebThumb 2.0 - Обмен посетителями на ваш сайт
халявные Icq налетай!
Аву плиз
 Считаем до 1000
 Конкурс "Уникальный человек"
 Участники конкурса "Уникальный человек"
 Играем в города :)
 Ваш аппарат
 Жалобы на участников конкурса "Уникальный человек"
 Зимняя шапка.
 Смайлики
Timoha - (Сообщений: 1091)
cook - (Сообщений: 1056)
pikus - (Сообщений: 1012)
Adrianoosem - (Сообщений: 419)
n1ceman - (Сообщений: 319)
b0ot - (Сообщений: 313)
sg-ua - (Сообщений: 250)
Аватар - (Сообщений: 250)
Alisasslom - (Зарегистрирован: 20.07.2015)
donkj4 - (Зарегистрирован: 20.07.2015)
meroslEr - (Зарегистрирован: 20.07.2015)
MelvinRat - (Зарегистрирован: 20.07.2015)
randiew16 - (Зарегистрирован: 20.07.2015)
ArthurGers - (Зарегистрирован: 20.07.2015)
CharlesCida - (Зарегистрирован: 20.07.2015)
guydd11 - (Зарегистрирован: 20.07.2015)
friendgog - (Репутация: 1187)
cook - (Репутация: 1004)
b0ot - (Репутация: 500)
pikus - (Репутация: 201)
Вадим - (Репутация: 102)
Timoha - (Репутация: 7)
-Wicked - (Репутация: 5)
plan - (Репутация: 5)