Бесплатно Экспресс-аудит сайта:

Установка WordPress и безопасность сайта

Как только был зарегистрирован хостинг и установлен WordPress, перво-наперво необходимо удалить ненужные файлы, находящиеся в корневой папке сайта. Например, на хостинге TimeWeb имеется папка _public.html. Нужно перейти в нее и удалить hello.php, license.txt и readme.html – файлы, не имеющие никакого значения для сайта. Заодно стоит проверить сайт на вирусы, мало ли…

Затем необходимо создать обычный пустой файл и, переименовав его в Index.php, добавить в папки: wp-includes/, wp-content/, /plugins/. Для того чтобы понять, правильно ли все сделано, необходимо перейти по адресу – сайт пользователя/ plugins (wp-includes или wp-content) и убедиться в действительном отображении пустой страницы. Без такой странички на сайте злоумышленники могут видеть все данные о системе пользователя, например, версию плагинов.

На следующем этапе необходимо отредактировать файл wp-config.php. Требуется изменить секретный ключ с дефолтного. Ключи безопасности необходимы для хэширования паролей, это позволит усилить их, тем самым, улучшая безопасность сайта.
Теперь необходимо wp-config.php переместить на уровень, расположенный выше, то есть из папки _public.html, в которой он находился ранее. Он перемещается на тот же уровень. В результате получается два файла - wp-config и public.html. Если WordPress не обнаружит этот файл в требуемой директории, он по умолчанию переместится на вышерасположенный уровень. Поэтому необходимость в дополнительных настройках отпадает. Совершая все действия, помните, что безопасность веб сайтов зависит от Вашего ответственного отношения к проводимым операциям.

Далее требуется установка правильных прав на папки и сайты. При этом не следует забывать основное правило: для папок – 755, для файлов – 644. Зайдя в административную панель сайта, первое, что необходимо сделать – изменить пароль на более сложный. (Таким образом, улучшится защита сайта от вирусов.) Для изменения пароля нужно перейти: «пользователи»- «ваш профиль». Одновременно с этим рекомендуется выбрать более сложное имя администратора и заменить им существующее.

Теперь необходимо из шаблона удалить информацию о версии WordPress. Для этого следует перейти в редактор тем, потом в header.php, где удаляется строчка

Чтобы проверить, правильно ли все выполнено, необходимо в браузере нажать «Ctrl+U» и, если в коде имеется версия WordPress, нужно в шаблоне отыскать код. Полностью просматривать код нет необходимости, как правило, версия отображается до тега .

На следующем этапе требуется установка плагинов, первым к установке рекомендован Login LockDown. Он предоставляет возможность изменить число попыток войти в WP. Например, настроено 3 пробы входа и, если на протяжении 10 минут неверно набирать логин или пароль, следующая возможность войти появится только через 60 минут. После реализации 3-х попыток за 5 минут плагин по умолчанию блокирует блок IP адресов на 1 час. Помните, что защита от взлома сайта во много зависит от сложности пары логин пароль.

Только не стоит очень увлекаться, иначе поставив все на максимум, можно и самому не попасть на собственный сайт.

На плагин Secure WordPress возложено много функций, но в большинстве случаев его используют для блогов с зарегистрированными пользователями, имеющими различные права. Плагин удаляет информационные сообщения об обновлениях плагинов, WordPress, тем (исключение составляет администратор). Также этот плагин скрывает номер WordPress версии, блокирует запросы, которые могут причинить вред сайту пользователя, который может повлечь за собой заражение, в результате чего потребуется лечение сайта.

Плагин Anti-XSS attack используется в качестве защиты для блога от XSS-атак. Если активировать этот плагин, не потребуются какие-либо дополнительные настройки.
Плагин WP Security Scan предназначен для сканирования и определения уязвимых мест на сайте. После его установки достаточно перейти по разделам новой вкладки. При этом не требуется знаний английского языка для понимания выводимых проблем на сайте. Установка этого плагина может исключить лечение сайта от вирусов.

По умолчания вход в административную панель сайта пользователя выглядит так: www.ваш сайт/wp-login.php. Чтобы изменить адрес для входа требуется установить плагин Hide Login.

Плагин WordPress File Monitor оповещает обо всех происходящих изменениях в файлах, находящихся на сайте пользователя. Сообщения выводятся не только в админке, но и дублируются на почту. Этот плагин можно включать лишь время от времени, чтобы проверить, все ли в порядке, никто ли не рылся в файлах конфигурации. Помните, лишняя проверка сайта на безопасность не помешает.

Установив плагин WP Secure Scan, появляется возможность поменять префикс WP на новый для работающего сайта. Другими словами можно поменять все пути, которые начинаются с WP, и при этом не страшится запутаться во всех файлах, содержащих эти пути, а также в настройках.

Чтобы обеспечить безопасность сайта на WordPress, следует соблюдать еще некоторые рекомендации. Как только выбрали нужную тему WordPress, надо удалить ненужные шаблоны и все плагины, которые не используются. Также необходимо следить за обновлениями безопасности, плагинов и WordPress. Следует регулярно выполнять поиск вируса на сайте, а при их обнаружении, не откладывая, проводить удаление вирусов с сайта. Проверять все плагины, темы и скрипты на безопасность и наличие вредоносного кода. Ни в коем случае не следует использовать слабые логины и пароли. Время от времени необходимо делать резервные копии всей информации. Несомненно, полезным будет и аудит безопасности сайта.