В попередній статті ми розповідали вам про деякі необхідні заходи, які дуже важливі для безпеки вашого сайту. Будь-який сайт може бути підданий можливим атакам. Тому необхідно знати, як запобігти їх. У цій статті ми розповімо, як захистити директорії, адмін панель вашого сайту і багато іншого.

1. Директорії.
Всі директорії на вашому сайті повинні бути закриті. Зараз ви можете перевірити, так це чи ні. Перейдіть, будь ласка, за посиланням на вашому сайті: http://yourdomain/directory/ (наприклад, http://yourdomain/wp-includes). Якщо директорія не зачинені, то ви побачите всі файли , які в ній знаходяться, такі як functions.php, post-formats.php …. Думаю, тепер ви розумієте, чому потрібно закрити директорії на сайті.
Як ми можемо це зробити? Є два варіанти:

  • Через. htaccess (для Linux хостингу).
    Це просто: необхідно додати в файл .htacess, який знаходити в корені сайту код:

     # PREVENT DIRECTORY LISTINGS
    Options -Indexes 
  • Додати файл index.html в необхідні директорії (для Windows хостингу):
    <!DOCTYPE>
    <html xmlns="http://www.w3.org/1999/xhtml">
    <head>
    <meta http-equiv="Content-Type" content="text/html; charset=UTF-8" />
    <title>Untitled Document</title>
    </head>
    <body>
    <h1>Directory Listing Disabled!</h1>
    </body>
    </html>

2. Захист адмін панелі.
Нам необхідно закрити доступ до wp-admin для всіх (крім себе). Як ми можемо це зробити? Потрібно додати файл .htaccess в папку wp-admin, де вказати: з яких IP адрес можна потрапити в адмінку сайту:

# SECURE WP-ADMIN 
<FilesMatch ".*">  
Order Deny,Allow  
Deny from all  
Allow from 123.456.78.9
 </FilesMatch>

Потім протестувати за допомогою Proxy ваш сайт. Ви побачите, що для вас доступ до адмінки сайту можливий, а для інших він буде закритий ( Forbidden ). Наприклад, якби мій IP був 123.456.78.9.

Ви можете додати кілька IP адрес, з яких ви хочете, щоб доступ до адмін панелі сайту був відкритий.

3. Версія WordPress.
Дуже важливим для безпеки вашого сайту є те, щоб приховати від хакерів версію Вордпресс, яку ви використовуєте на даний момент.
Версію WordPress можна переглянути в:

  • коді сторінок сайту;
  • в RSS feeds;
  • в інших feeds.

Отже, як ми можемо закрити цю інформацію? Нам необхідно в темі, яка на даний момент використовується, знайти файл function.php . І в кінці цього файлу (перед?>) Додати код і зберегти:

// remove version number from head & feeds
function disable_version() { return ''; }
add_filter('the_generator','disable_version');
remove_action('wp_head', 'wp_generator');

Тепер ви побачите, що версія Вордпресс більше не відображається. Якраз те, що там потрібно!

4. Hotlinking.
Як ви знаєте посилання на вашому сайті на інший ресурс означає hotlink («гаряче посилання»). Також це може бути картинка, відео, файл і т.д. Якщо ви не хочете, щоб на вашому сайті були посилання від інших сайтів, необхідно запобігти цьому.
Ви можете додати код нижче в .htaccess файл, який знаходиться в корені вашого сайту.

# HOTLINK PROTECTION 
<IfModule mod_rewrite.c>
 RewriteEngine on
 RewriteCond %{HTTP_REFERER} !^$
 RewriteCond %{REQUEST_FILENAME} -f
 RewriteCond %{REQUEST_FILENAME} \.(gif|jpe?g?|png|docx)$ [NC]
 RewriteCond %{HTTP_REFERER} !^https?://([^.]+\.)?example\. [NC]
 RewriteRule \.(gif|jpe?g?|png)$ - [F,NC,L]
</IfModule>

Замість example ви повинні прописати адресу вашого сайту без . Com (і т.п) і зберегти на хостинг. Також ви можете додати інші формати файлів, які будуть заборонені до додавання на сайт зі сторонніх ресурсів.

Сподіваємося, що порадами в цій статті ми змогли допомогти вам у захисті вашого сайту. Якщо у вас виникли труднощі, ви можете написати нам. Команда GKS Веб Студії буде рада проконсультувати вас по виниклих питань.
В наступній статті ми поділимося ще деякими секретами, як захистити ваш сайт на Вордпресс.