Сосновский.ру – о Ёлках и не только

Это пятая статья, которая является продолжением курса “Как увеличить…”, в котором я описываю внутреннюю оптимизацию блога, влияющую на количество подписчиков, комментаторов, посещаемость и скорость блога. В этом посте речь пойдет о мерах защиты блога на базе движка wordpress. Материал будет разбит по принципу “от простого к сложному”, поэтому каждый сможет предпринять меры по защите своего блога.

Не секрет, что движок wordpress не отличается идеальной защитой, поэтому необходимо каждый раз предпринимать хоть какие-то меры по защите своего блога от всякого рода мошенничества. В основном о защите блога задумываются тогда, когда их блог уже взломали – это факт! Не допустите этого. В статье я также затрону вопрос по защите контента.

Методы для новичка:

1) Сразу создавайте или генерируйте сложные пароли для входа в административную панель блога, базы данных MySQL и для связи с хостингом. Почитать мою историю про важность хороших паролей можно в статье про бесплатный менеджер паролей.

2) Для мошенников достаточно важно знать вашу версию движка. Ее можно узнать из ненужных на сервере файлов readme.html и license.txt. Удалите их и никогда больше не закачивается на хостинг.

3) Для связи с хостингом лучше всего использовать протокол ssh нежели ftp, который будет шифровать передаваемые данные. Такие менеджеры не сложно найти в интернете.

4) Для защиты своей базы данных используйте плагин wordpress database backup, который может отправлять вам на е-мейл бэкап с указанной периодичностью. Очень удобный плагин. Один раз настроил и не переживаешь, что база будет потеряна. 5 минут назад как раз пришла база на почту .

5) Как правило, более свежие версии движка и плагинов несут в себе исправления дыр, через которые злоумышленники могут взломать wordpress. Всегда обновляйте ваши плагины и wordpress.

6) Удалите плагины, которые вы не используете – они могут содержать дыры.

7) У зарегистрированных пользователей больше возможности навредить вашему блогу, потому что административная панель блога одинакова как для администратора, так и для зарегистрированного пользователя. Если вы запретите регистрацию, то снизите вероятность взлома.

8 ) Как уже понятно из вышеперечисленного злоумышленник не должен знать плагины, которые установлены на блоге. Для этого идем по пути /wp-content/plugins/ и вставляем туда пустой файл index.php. Теперь никто кроме вас не будет знать об установленных плагинах.

9) Плагин Anti-XSS attack предупредит вас и защитит от XSS-атак. Очень полезный плагин.

10) Для того, чтобы взломать административную панель в wordpress по идеи надо знать только пароль, потому что логин по умолчанию admin. Поэтому создайте нового пользователя со статусом администратора, а админа удалите, привезав все существующие записи к новому пользователю. Хорошо бы создать еще дополнительного пользователя, от которого бы писались непосредственно посты.

11) Чтобы не дать злоумышленнику возможность на подбор логина и паролей, нужно ограничить число попыток входа к административной панели. Плагины Limit Login Attempts и Login LockDown помогут в этом деле. Они примерно одинаковые по функциям. Они блокируют ввод логина и пароля на установленное время, если злоумышленник ввел неправильные данные несколько раз (указывается в настройках). Установить просто: распаковать, загрузить на сервер, активировать и настроить по вкусу.

12) Если вам и этого мало, то воспользуйтесь плагином AskApache Password Protect, который всякий раз будет спрашивать логин и пароль при открытии wp-admin. Назначайте, конечно, другие данные нежели для вхожа в админ-панель. Не всегда удобно, но достаточно защищено.

Методы для более продвинутых:

13) Выше я уже писал, что надо скрывать версию своего движка, поэтому в файле header.php вашей темы надо удалить строку:

<meta name=”generator” content=”WordPress <?php bloginfo(’version’); ?>” />

Также пропишите в functions.php

<?php remove_action(’wp_head’, ‘wp_generator’); ?>

14) Замените строку:

<?php echo $_SERVER ['PHP_SELF']; ?>

на

<?php bloginfo (’home’); ?>

в своем файле темы search.php. Это не даст мошенникам рыскать по вашему серверу. Если такой строчки нет, то и ладно.

15) Запретите доступ к файлу wp-config.php извне, потому что в нем содержится очень важная информация о логинах и паролях. Пропишите следующий код в фале .htaccess:

# protect wpconfig.php

<files wp-config.php>
Order deny,allow
deny from all

Защищаем контент:

16) Очень часто воруется контент с блогов через RSS-канал. Для этого существует очень простой и эффективный плагин Add to RSS. Он добавляет текст, ссылки (все что вы настроите) в конце каждого поста, отдаваемого в RSS. Причем все это не будет отражено на самом блоге.

Вот, пожалуй, и все. Получилось 16 вариантов защиты блога. Конечно же, их не обязательно все использовать. А вы как-то защищаете свой блог? Может быть я что-то пропустил?

П.С.
После того как заработаете кучу денег в интернете, то жене (девушке) можно купить шубу из норки – ей понравится.
Нужна техника из Китая? На сайте www.svs-amur.ru компания ООО СВС-Амур предлагает самосвалы, тягачи, бульдозеры и другую тяжелую технику.

Статьи по теме:

• 11 советов по ускорению работы блога
• Как увеличить интерес к комментированию на блоге
• 10 пунктов как удержать читателя на блоге
• Как увеличить число подписчиков на блоге
• 7 советов по увеличению доверия читателей