Комплексная защита сайта или блога на WordPress

10 способов обезопасить свой сайт или блог на WordPress от взлома хакерами. Как защитить WordPress от злоумышленников в интернете без привлечения специалистов

У меня есть привычка проверять многие сайты на возможность взлома. Точнее сказать — на предмет его защищенности. Я не имею ввиду, что я серфю Интернет в поисках слабозащищенных сайтов, скорее анализирую попавшиеся «под руку».

Я заметил, что многие мои читатели сильно пренебрегают безопасностью своих блогов, не делая некоторых шагов по самостоятельной защите wordpress’а после установки или обновления. Это имеет просто массовый характер!

Во-первых

Часто взломщики (особенно студенты и школьники, насмотревшиеся фильмов типа «Хакер») для взлома блога на WordPress используют данные о его версии. Версию блога можно узнать разными способами.

Например, с помощью файлов readme.html и license.txt расположенных в корне сайта.
Убедитесь сами:
SeoBlondinka.ru,
Krutikoff.com.ua,
TiamatInc.ru,
Online-delo.ru,
Trakhtenberg.info,
Dimoning.ru
и т.д.
Не буду выдавать все. Самое удивительное, что многие из этих вебмастеров уже не первый год в Интернете, но допускают такие серьезные ошибки. Ребята! Давайте устраняйте ваши уязвимости!

Для этого вам надо просто удалить файлы readme.html и license.txt через FTP в корневике блога. Скорее всего это будет папка имя_сайта/public_html/

Для проверки своего блога на наличие подобного рода уязвимостей введите в адресную строку браузера адрес: //имя_сайта/readme.html

Кроме того, сам WorPress пишет свою версию прямо в код страницы. В заголовке HEAD.
Чтобы убрать ее оттуда, пропишите в функции темы functions.php строку

<?php remove_action (’wp_head’, ‘wp_generator’); ?>

Во-вторых

Служебные папки движка тоже могут представлять некоторую опасность. Злоумышленник может посмотреть какие (например) плагины вы используете и подобрать «ключик» к вашему блогу.

Например: Spryt.ru, Online-delo.ru и т.д.

Устранить тоже легко. Поместите пустой файл index.php или index.html в папки имя_сайта/wp-admin/, имя_сайта/wp-content/, имя_сайта/wp-includes/. Или сделайте как я. Поместите такой вот интересный файл. Прикольно, да? Качайте и пользуйтесь.

Также рекомендую дописать в ваш файл .htaccess, который тоже лежит в корне сайта строки

Options All -Indexes
RewriteEngine On

Это защитит другие ваши папки от просмотра чужими людьми.

Для проверки своего (или чужого) блога на такую уязвимость введите в адресную строку браузера адрес: //имя_сайта/wp-admin/, //имя_сайта/wp-content/, //имя_сайта/wp-includes/ и т.д.

Читая этот пост, я надеюсь, что авторы указанных выше блогов в качестве примера, уже устранили свои уязвимости. Остальным могу посоветовать исправить свои.

Этот материал впервые был опубликован 14 марта 2009 года. Актуальность информации подтверждена 16 января 2024 году.