100
10.01.2018

Обеспечение безопасности WordPress

WordPress стал самой популярной в мире CMS! Поскольку он настолько популярен, при разработке сайта на WordPress необходимо позаботиться о безопасности данной платформы.

Многие знают, как обеспечивается безопасность CMS плагинами, однако если вы не сосредотачиваетесь на безопасности своего сайта WordPress помимо стандартных решений, вы будете рисковать безопасностью вашего сайта.

ШАГ 1. ОГРАНИЧЕНИЕ ДОСТУПА К ПАПКЕ WP-INCLUDES

Сайты WordPress состоят из серии файлов и папок, каждый со своими уникальными URL-адресами, а это означает, что если кто-то ввел бы правильный URL-адрес, он мог бы получить доступ или изменить конфиденциальные файлы, которые запускают ваш сайт.
Одной из наиболее распространенных целей для такого рода взлома является папка wp-includes, поэтому мы добавим дополнительный код в файл конфигурации сервера, чтобы усилить безопасность и предотвратить такие виды угроз.

Для начала вам необходимо открыть файл .htaccess вашего сайта. Это можно сделать через любой текстовый редактор (Блокнот, Notepad и т.д.). После открытия файла .htaccess вы заметите, что в файле уже есть код, созданный WordPress. В одной из ранних строк кода вы найдете строку: # BEGIN WordPress. Непосредственно над этим кодом мы добавим дополнительные строки кода, которые укрепят защиту сайта, ограничив доступ к папке wp-includes.

# Blocking web access to the wp-includes folder
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteBase /
RewriteRule ^wp-admin/includes/ - [F,L]
RewriteRule !^wp-includes/ - [S=3]
RewriteRule ^wp-includes/[^/]+\.php$ - [F,L]
RewriteRule ^wp-includes/js/tinymce/langs/.+\.php - [F,L]
RewriteRule ^wp-includes/theme-compat/ - [F,L]
</IfModule>

После этого вам просто нужно повторно загрузить файл .htaccess на сервер, и все готово. Хотя изменения здесь кажутся незначительными, это может сильно повлиять на защиту вашего сайта. Поскольку многие из расширенных функций WordPress находятся в папке wp-includes, они являются основной целью для хакеров.

ШАГ 2: ЗАЩИТА WP-CONFIG.PHP

Следующим шагом, который поможет защитить WordPress, является ограничение доступа к файлу wp-config.php. Когда вы впервые создали свой сайт WordPress, вам нужно было создать имя базы данных, имя пользователя, пароль и префикс таблицы, который содержится в файле wp-config.php. Причина, по которой необходимо защитить этот файл, состоит в том, что в нем содержится информация, которую WordPress должен обмениваться с базой данных, и в конечном итоге контролировать свой сайт.

Чтобы защитить ваш файл wp-config.php, вам просто нужно сделать несколько простых шагов. Во-первых, надо снова открыть файл .htaccess. скопировать фрагмент кода ниже и вставить его в наш .htaccess файл так же, как мы сделали с шага 1.

# Blocking web access to the wp-config.php file
<files wp-config.php>
order allow,deny
deny from all
</files>

Наконец, сохраните и повторно загрузите файл.

ШАГ 3: ЗАЩИТА САМОГО ФАЙЛА .HTACCESS

Как вы можете видеть с шагами 1 и 2, файл .htaccess может быть неотъемлемой частью защиты вашего сайта WordPress от вредоносных внешних угроз. Вот почему на этом этапе мы собираемся защитить сам файл .htaccess, чтобы хакеры не удалили защитные средства, которые мы уже установили.

Для этого мы снова откроем файл .htaccess. Затем вставьте код, приведенный ниже, в существующий код.

# Securing .htaccess file
<files ~ "^.*\.([Hh][Tt][Aa])">
order allow,deny
deny from all
satisfy all
</files>

И с помощью этого простого дополнения ваш .htaccess-файл защищен от внешних угроз.

Выполнив  все эти шаги, вы увеличили общую безопасность сайта WordPress.