Простые рекомендации для обеспечения безопасности сайта на WordPress

Ограничение доступа к папке wp-includes

Структура сайтов WordPress такова, что файлы и папки имеют собственные уникальные URL-адреса. При этом любой, кто введет правильный URL-адрес, может получить доступ к файлам на вашем сайте и затем их изменить. Папки wp-includes, которые содержат многие из расширенных функций WP, чаще всего оказываются под угрозой такого взлома. Самый простой способ избежать риска взлома - добавить файл конфигурации сервера специальный код. В итоге при попытке получить доступ к указанным важным файлам, пользователь будет перенаправлен на домашнюю страницу вашего сайта.

Прежде всего, откройте в текстовом редакторе файл .htaccess. Поскольку мы собираемся всего лишь добавить небольшой фрагмент кода в файл, для этой цели сгодится абсолютно любой текстовый редактор. Вы увидите код, сгенерированный WordPress. Найдите строку # BEGIN WordPress, и вставьте прямо над ней следующий дополнительный код.

# Blocking web access to the wp-includes folder
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteBase /
RewriteRule ^wp-admin/includes/ - [F,L]
RewriteRule !^wp-includes/ - [S=3]
RewriteRule ^wp-includes/[^/]+\.php$ - [F,L]
RewriteRule ^wp-includes/js/tinymce/langs/.+\.php - [F,L]
RewriteRule ^wp-includes/theme-compat/ - [F,L]
</IfModule>

Все, что остается сделать, так это обновить файл .htaccess на сервере. Это казалось бы незначительное изменение повысит безопасность вашего сайта, ограничив доступ к папке wp-includes для возможных хакеров, которых будет каждый раз перекидывать на главную страницу.

Защита файла wp-config.php

Далее вспомним о файле wp-config.php, в котором хранятся имя вашей базы данных, имя пользователя, пароль и префикс таблицы, созданные на начальных этапах создания сайта. Поскольку WordPress использует эту информацию для связи с базой данных, данный файл по большому счету является ключом к управлению вашим сайтом. Это делает защиту файла wp-config.php обязательным условием для обеспечения безопасности вашего сайта.

Чтобы ограничить сторонни доступ к wp-config.php, снова откройте файл .htaccess и добавьте в него фрагмент кода ниже.

# Blocking web access to the wp-config.php file
<files wp-config.php>
order allow,deny
deny from all
</files>

Не забудьте повторно загрузить его на сервер.

Защитите непосредственно файл .htaccess.

Из ранее описанных мер следует, что файл .htaccess имеет решающее значение для защиты вашего сайта на WordPress от возможного взлома. Следовательно, его в свою очередь также необходимо защитить от попыток удаления или изменения.

Еще раз откройте файл .htaccess и добавьте следующие строки кода.

# Securing .htaccess file
<files ~ "^.*\.([Hh][Tt][Aa])">
order allow,deny
deny from all
satisfy all
</files>

Таким нехитрым образом вы легко защитите файл .htaccess от внешних угроз.

Запретить доступ к редактору файлов

Наконец, следует устранить главную угрозу, а именно возможность сторонним пользователям получать доступ к редактору в панели инструментов WordPress. Данный удобный инструмент предназначен для редактирования файлов тем, однако с его помощью можно также изменять код вашего сайта. В качестве контрмеры можно удалить Редактор из панели управления WordPress. Для обеспечения целостности сайта мы рекомендуем вам получить доступ к файлу через ftp-клиент, как, например, FileZilla, а не напрямую в WordPress.

Прежде всего, откройте файл wp-config.php. В конце, перед текстом «Вот и все, прекратите редактирование! Счастливое ведение блога » и вставьте нижеуказанный код.

Define ('DISALLOW_FILE_EDIT', true);

Обновите измененный файл на сервере и вздохните с облегчением. Теперь ваш сайт на WordPress надежно защищен от попыток взлома. Следуйте этому простому руководству, чтобы повысить безопасность вашего сайта, ограничив внешний доступ и тем самым не допуская изменения файлов, важнейших для работы вашего сайта.