В предыдущей статье мы рассказывали вам о некоторых необходимых мерах, которые очень важны для безопасности вашего сайта. Любой сайт может быть подвержен возможным атакам. Поэтому необходимо знать, как предотвратить их. В этой статье мы расскажем, как защитить директории, админ панель вашего сайта и многое другое.

1. Директории.
Все директории на вашем сайте должны быть закрыты. Сейчас вы можете проверить, так это или нет. Перейдите, пожалуйста, по ссылке на вашем сайте: http://yourdomain/directory/ (например, http://yourdomain/wp-includes). Если директория не закрыта, то вы увидите все файлы, которые в ней находятся, такие как functions.php, post-formats.php…. Думаю, теперь вы понимаете, почему нужно закрыть директории на сайте.
Как мы можем это сделать? Есть два варианта:

  • Через .htaccess (для Linux хостинга).
    Это просто: необходимо добавить в файл .htacess, который находить в корне сайта код:

    # PREVENT DIRECTORY LISTINGS
    Options –Indexes
  • Добавить файл index.html в необходимые директории (для Windows хостинга):
    <!DOCTYPE>
    <html xmlns="http://www.w3.org/1999/xhtml">
    <head>
    <meta http-equiv="Content-Type" content="text/html; charset=UTF-8" />
    <title>Untitled Document</title>
    </head>
    <body>
    <h1>Directory Listing Disabled!</h1>
    </body>
    </html>

2. Защита админ панели.
Нам необходимо закрыть доступ к wp-admin для всех (кроме себя). Как мы можем это сделать? Нужно добавить файл .htaccess в папку wp-admin, где указать: с каких IP адресов можно попасть в админку сайта:

# SECURE WP-ADMIN 
<FilesMatch ".*">  
Order Deny,Allow  
Deny from all  
Allow from 123.456.78.9
 </FilesMatch>

Затем протестировать с помощью Proxy ваш сайт. Вы увидите, что для вас доступ к админке сайта возможен, а для остальных он будет закрыт (Forbidden). Например, если бы мой IP был 123.456.78.9.

Вы можете добавить несколько IP адресов, с которых вы хотите, чтобы доступ к админ панели сайта был открыт.

3. Версия WordPress.
Очень важным для безопасности вашего сайта является то, чтобы скрыть от хакеров версию Вордпресс, которую вы используете на данный момент.
Версию WordPress можно просмотреть в:

  • коде страниц сайта;
  • в RSS feeds;
  • в других feeds.

Итак, как мы можем закрыть эту информацию? Нам необходимо в теме, которая на данный момент используется, найти файл function.php. И в конце этого файла (перед ?>) добавить код и сохранить:

// remove version number from head & feeds
function disable_version() { return ''; }
add_filter('the_generator','disable_version');
remove_action('wp_head', 'wp_generator');

Теперь вы увидите, что версия Вордпресс больше не отображается. Как раз то, что там нужно!

4. Hotlinking.
Как вы знаете ссылка на вашем сайте на другой ресурс означает hotlink («горячая ссылка»). Также это может быть картинка, видео, файл и т.д. Если вы не хотите, чтобы на вашем сайте были ссылки от других сайтов, необходимо предотвратить это.
Вы можете добавить код ниже в .htaccess файл, который находится в корне вашего сайта.

# HOTLINK PROTECTION 
<IfModule mod_rewrite.c>
 RewriteEngine on
 RewriteCond %{HTTP_REFERER} !^$
 RewriteCond %{REQUEST_FILENAME} -f
 RewriteCond %{REQUEST_FILENAME} \.(gif|jpe?g?|png|docx)$ [NC]
 RewriteCond %{HTTP_REFERER} !^https?://([^.]+\.)?example\. [NC]
 RewriteRule \.(gif|jpe?g?|png)$ - [F,NC,L]
</IfModule>

Вместо example вы должны прописать адрес вашего сайта без .com (и т.п) и сохранить на хостинг. Также вы можете добавить другие форматы файлов, которые будут запрещены к добавлению на сайт со сторонних ресурсов.

Надеемся, что советами в этой статье мы смогли помочь вам в защите вашего сайта. Если у вас возникли трудности, вы можете написать нам. Команда GKS Веб Студии будет рада проконсультировать вас по возникшим вопросам.
В следующей статье мы поделимся еще некоторыми секретами, как защитить ваш сайт на Вордпресс.