В попередній статті ми ознайомилися з основами безпеки сайту на Вордпресс. Настав час дізнатися більше, як захистити сайт на WordPress.
Wordpress як CMS (система управління контентом) може бути вразлива в випадках, коли не буде вжито заходів, які рекомендуються самим розробниками даної системи. При цьому не має значення для яких цілей створюється сайт: це буде корпоративний сайт , інтернет магазин або просто сайт візитка , він може стати цікавим для хакерів по закінченню деякого часу.

1. Файл wp-config.
Нам необхідно захистити файл wp-config.php , тому як цей файл є одним з найважливіших на WordPress сайті і містить важливу інформацію, таку як імена користувачів, паролі і т.д. Існує два способи захистити цей файл:

  • Обмеження доступу через .htaccess файл
  • Вказівка ​​ прав доступу до даного файлу на хостингу або через FTP

1. Обмеження доступу через .htaccess файл
Якщо ваш сайт знаходиться на Linux сервері , ви можете використовувати даний метод.
Для початку необхідно додати файл .htaccess в корінь сайту (файл можна створити в будь-якому текстовому редакторі, наприклад, Notepad). Потім додати код, наведений нижче, і зберегти.

# PROTECT WP-CONFIG
& lt; Files wp-config.php & gt;
Order Allow, Deny
Deny from all
& lt; / Files & gt;

Після цього ви можете перевірити, що ж сталося. При переході по посиланню www.example.com/wp-config.php ви побачите, що доступ до даного файлу заборонений.

2. Вказівка ​​ прав доступу до даного файлу на хостингу або через FTP.
Ви можете легко зберегти файл wp-config.php, вказавши для нього права доступу 644 -rw-r – r–. Зробити це можна або на хостингу в менеджері файлів сайту або через FTP. Для того, щоб дізнатися більше про права доступу до файлів, ви можете зв’язатися з вашим хостингом або знайти більш детальну інформацію в Інтернеті. Наприклад, дізнатися більше про права доступу до файлів можна на сайті WordPress codex .

2. Секретні ключі.
Сайт на WordPress буде в безпеці, якщо знати, як його захистити. У файлі wp-config.php є розділ «Аутентифікація унікальних ключів», де необхідно додати ключі безпеки для свого сайту, але багато розробники і адміністратори не звертають на це увагу. У підсумку шпигунські програми та хакери користуються цим упущенням.
Як ви можете побачити у файлі wp-config, вам необхідно перейти за посиланню для того, щоб отримати свої унікальні ключі безпеки:

* Authentication Unique Keys and Salts.
*
* Change these to different unique phrases!
* You can generate these using the {link https://api.wordpress.org/secret-key/1.1/salt/ WordPress.org secret-key service}
* You can change these at any point in time to invalidate all existing cookies. This will force all users to have to log in again.
*
*since 2.6.0
* /
define (‘AUTH_KEY’, ‘put your unique phrase here’ );
define (‘SECURE_AUTH_KEY’, ‘put your unique phrase here’ );
define (‘LOGGED_IN_KEY’, ‘put your unique phrase here’ );
define (‘NONCE_KEY’, ‘put your unique phrase here’ );
define (‘AUTH_SALT’, ‘put your unique phrase here’ );
define (‘SECURE_AUTH_SALT’, ‘put your unique phrase here’ );
define (‘LOGGED_IN_SALT’, ‘put your unique phrase here’ );
define (‘NONCE_SALT’, ‘put your unique phrase here’ );

Потім необхідно додати їх у файл і зберегти. Цей крок є дуже важливим для захисту вашого сайту.

3. Префікс бази даних.
Wordpress має стандартну структуру бази даних, тому хакери це використовують у своїх цілях. Але, якщо ви поміняєте структуру бази даних, то вона буде в більшій безпеці від зловмисників. Як це зробити?

Як ви можете бачити в wp-config є поле, в якому вказується префікс для бази даних, який ви можете задати. За умовчанням в базі даних Вордпресс всі таблиці починаються з префікса “wp_” . Наприклад, wp_users, wp_terms і т.д. Але, ми можемо поміняти її на “fgdgerFDSF343_” , наприклад. Тоді таблиці вашої бази даних будуть починатися з префікса fgdgerFDSF343_users, fgdgerFDSF343_terms і т.д.

* WordPress Database Table prefix.
*
* You can have multiple installations in one database if you give each a unique
* Prefix. Only numbers, letters, and underscores please!
* /
$ table_prefix = ‘wp_’;

Після того, як ви встановите новий префікс і обновіть сайт, якщо все буде зроблено вірно, ви побачите, що на сайті нічого не помінялося, але зайшовши в базу даних можна буде переконається, що назва таблиць помінялося. І це те, що нам потрібно.

Будьте уважні і не забувайте ставити після нового префікса нижнє підкреслення “_” . Зробіть обов’язково резервну копію бази даних, перед тим, як вносити зміни !!!! Це дуже важливо, так як, якщо ви зробите помилку, то зможете легко повернути все назад.

4. Ім’я користувача.
Будь ласка, будьте уважні і поміняйте ім’я вашого користувача (адміністратора) з admin на інше. Це дуже важливо!!! Так як, admin – це ім’я адміністратора сайту на Вордпресс за замовчуванням, і будьте впевнені, зловмисники знають це.

5. Права доступу.
Не забувайте встановлювати права доступу до файлів на сайті. Це ключовий момент для захисту вашого сайту від атак! Якщо ви не хочете вносити зміни в ваш сайт, встановіть права доступу 644 до папки wp-content . І тоді ваш сайт буде закритий від внесення змін в тему або плагіни.

Прочитавши цю статтю і скориставшись нашими порадами, ви зможете більше захистити ваш сайт від можливих атак. Якщо вам необхідна допомога, ви можете написати нам і ми допоможемо вам у вирішенні проблем.

В наступній статті ми розповімо вам більше про те, як можна убезпечити ваш сайт на WordPress.