В предыдущей статье мы ознакомились с основами безопасности сайта на Вордпресс. Пришло время узнать больше, как защитить сайт на WordPress.
Wordpress как CMS (система управления контентом) может быть уязвима в случаях, когда не будут предприняты меры, которые рекомендуются самим разработчиками данной системы. При этом не имеет значения для каких целей создается сайт: это будет корпоративный сайт, интернет магазин или просто сайт визитка, он может стать интересным для хакеров по истечению некоторого времени.

1. Файл wp-config.
Нам необходимо защитить файл wp-config.php, потому как этот файл является одним из самых важных на WordPress сайте и содержит важную информацию, такую как имена пользователей, пароли и т.д. Существует два способа защитить этот файл:

  • Ограничение доступа через .htaccess файл
  • Указание прав доступа к данному файлу на хостинге или через FTP

1. Ограничение доступа через .htaccess файл
Если ваш сайт находится на Linux сервере, вы можете использовать данный метод.
Для начала необходимо добавить файл .htaccess в корень сайта (файл можно создать в любом текстовом редакторе, например, Notepad). Затем добавить код, приведенный ниже, и сохранить.

# PROTECT WP-CONFIG
<Files wp-config.php>
Order Allow, Deny
Deny from all
</Files>

После этого вы можете проверить, что же произошло. При переходе по ссылке www.example.com/wp-config.php вы увидите, что доступ к данному файлу запрещен.

2. Указание прав доступа к данному файлу на хостинге или через FTP.
Вы можете легко сохранить файл wp-config.php, указав для него права доступа 644 -rw-r—r—. Сделать это можно или на хостинге в менеджере файлов сайта или через FTP. Для того, чтобы узнать больше о правах доступа к файлам, вы можете связаться с вашим хостингом или найти более подробную информацию в Интернете. Например, узнать больше про права доступа к файлам можно на сайте WordPress codex.

2. Секретные ключи.
Сайт на WordPress будет в безопасности, если знать, как его защитить. В файле wp-config.php есть раздел «Аутентификация уникальных ключей», где необходимо добавить ключи безопасности для своего сайта, но многие разработчики и администраторы не обращают на это внимание. В итоге шпионские программы и хакеры пользуются этим упущением.
Как вы можете увидеть в файле wp-config, вам необходимо перейти по ссылке для того, чтобы получить свои уникальные ключи безопасности:

* Authentication Unique Keys and Salts.
*
* Change these to different unique phrases!
* You can generate these using the {@link https://api.wordpress.org/secret-key/1.1/salt/ WordPress.org secret-key service}
* You can change these at any point in time to invalidate all existing cookies. This will force all users to have to log in again.
*
* @since 2.6.0
*/
define(‘AUTH_KEY’, ‘put your unique phrase here’);
define(‘SECURE_AUTH_KEY’, ‘put your unique phrase here’);
define(‘LOGGED_IN_KEY’, ‘put your unique phrase here’);
define(‘NONCE_KEY’, ‘put your unique phrase here’);
define(‘AUTH_SALT’, ‘put your unique phrase here’);
define(‘SECURE_AUTH_SALT’, ‘put your unique phrase here’);
define(‘LOGGED_IN_SALT’, ‘put your unique phrase here’);
define(‘NONCE_SALT’, ‘put your unique phrase here’);

Затем необходимо добавить их в файл и сохранить. Этот шаг является очень важным для защиты вашего сайта.

3. Префикс базы данных.
Wordpress имеет стандартную структуру базы данных, поэтому хакеры это используют в своих целях. Но, если вы поменяете структуру базы данных, то она будет в большей безопасности от злоумышленников. Как это сделать?

Как вы можете видеть в wp-config есть поле, в котором указывается префикс для базы данных, который вы можете задать. По умолчанию в базе данных Вордпресс все таблицы начинаются с префикса “wp_ “. Например, wp_users, wp_terms и т.д. Но, мы можем поменять ее на “fgdgerFDSF343_ “, к примеру. Тогда таблицы вашей базы данных будут начинаться с префикса fgdgerFDSF343_users, fgdgerFDSF343_terms и т.д.

* WordPress Database Table prefix.
*
* You can have multiple installations in one database if you give each a unique
* prefix. Only numbers, letters, and underscores please!
*/
$table_prefix = ‘wp_’;

После того, как вы установите новый префикс и обновите сайт, если все будет сделано верно, вы увидите, что на сайте ничего не поменялось, но зайдя в базу данных можно будет убедится, что название таблиц поменялось. И это то, что нам нужно.

Будьте внимательны и не забывайте ставить после нового префикса нижнее подчеркивание ” _”. Сделайте обязательно резервную копию базы данных, перед тем, как вносить изменения!!!! Это очень важно, так как, если вы сделаете ошибку, то сможете легко вернуть все обратно.

4. Имя пользователя.
Пожалуйста, будьте внимательны и поменяйте имя вашего пользователя (администратора) с admin на другое. Это очень важно!!! Так как, admin – это имя администратора сайта на Вордпресс по умолчанию, и будьте уверенны, злоумышленники знают это.

5. Права доступа.
Не забывайте устанавливать права доступа к файлам на сайте. Это ключевой момент для защиты вашего сайта от атак! Если вы не хотите вносить изменения в ваш сайт, установите права доступа 644 к папке wp-content. И тогда ваш сайт будет закрыт от внесения изменений в тему или плагины.

Прочитав эту статью и воспользовавшись нашими советами, вы сможете больше защитить ваш сайт от возможных атак. Если вам необходима помощь, вы можете написать нам и мы поможем вам в решении возникших проблем.

В следующей статье мы расскажем вам больше о том, как можно обезопасить ваш сайт на WordPress.