Если вы думаете, что ваш сайт безопасен, потому что он не представляет интереса для хакеров, то вы ошибаетесь, потому что подавляющее большинство нарушений безопасности не нацелены на кражу ваших данных или обезображивание вашего сайта.

Хакеры обычно хотят использовать ваш сервер в качестве ретранслятора для рассылки спама или настроить временный веб-сервер, обычно для обслуживания незаконных файлов. Если вас взломают, будьте готовы выложить деньги на расходы, связанные с сервером.

Есть несколько разных способов повысить безопасность вашего сайта или многосайтовой сети, но один из самых простых - отредактировать файл. WP-config.php. Обновление этого файла конфигурации, хотя не существует универсального решения, является политикой, которой необходимо следовать для обеспечения общей безопасности.

Имея это в виду, мы собираемся изучить различные модификации, которые вы можете сделать, чтобы защитить WordPress блог.

Настройка констант WordPress

В вашем файле конфигурации WordPress, также называется WP-config.php , вы можете определить так называемые константы PHP для выполнения определенных задач. В WordPress есть множество констант, которые вы можете использовать.

Константы также заключены в функцию определения() как показано в этом примере синтаксиса:

DEFINE ( ​​'NOM_DE_LA_CONSTANTE', значение);

В WordPress файл WP-config.php загружается раньше остальных файлов, составляющих ядро. Это означает, что если вы измените значение константы в WP-config.php, вы можете изменить способ, которым WordPress реагирует и работает. Вы можете отключить некоторые функции или включить их, изменив значение. Во многих случаях это можно сделать, изменив true за ложные, и наоборот, например.

Ниже вы найдете различные константы, а также другие типы PHP-кода, которые вы можете использовать в своем файле. WP-config.php  для повышения вашей безопасности. Поместите их все над следующей строкой в ​​вашем файле WP-config.php:

/ * Это все, прекратить редактирование! Счастливый блоггинг. * /

Внимание: будьте осторожны

Поскольку изменения, которые вы собираетесь внести, могут резко изменить ваш сайт, это хороший идея поддержать это. В случае возникновения ошибки вы можете быстро восстановить свой сайт до состояния, предшествовавшего этим изменениям, и как только ваш сайт заработает нормально, вы можете попробовать еще раз.

1. Измените свои ключи безопасности

Возможно, вы уже знаете о различных ключах безопасности и, возможно, уже добавили уникальные ключи, что неплохо.

Ключи информационной безопасности шифруют данные, хранящиеся в файлах cookie, и их может быть полезно изменить, особенно после взлома вашего сайта. Это завершит все открытые сеансы авторизованных пользователей на вашем сайте, что означает, что хакеры также вышли из системы.

Когда вы сбрасываете пароли и убедитесь, что ваш сайт свободен от бэкдор-эксплойтов и т.п.

Вы можете создать новый набор ключей безопасности, используя WordPress Key Generator Security. Скопируйте все содержимое и вставьте его, чтобы заменить раздел, который выглядит следующим образом:

define( 'AUTH_KEY', 't`DK%X:>xy|eZ(BXb/f(Ur`8#~UzUQG-^_Cs_GHs5U-&Wb?pgn^p8(2@}IcnCa|' ); define( 'SECURE_AUTH_KEY ', 'D&ovlU#|CvJ##uNq}bel+^MFtT&.b9{UvR]g%ixsXhGlRJ7q!h}XWdEC[BOKXssj' ); define( 'LOGGED_IN_KEY', 'MGKi8Br(&{H*~&0s;{k0  (hdXW|5M=X={we4;Mpvtg+Vo<$|#_}qG(GaVDEsn,~*2i' ); define( 'NONCE_SALT', 'a|#h{c7|P &xWs0IZ2c8&%883!c( /uG}W:мАви

2. Принудительное использование SSL

Сертификат SSL шифрует соединение между вашим сайтом и браузером посетителя, поэтому хакеры не могут перехватить и украсть личную информацию. Если у вас уже установлен сертификат SSL, вам нужно заставить WordPress использовать его, это может повысить вашу безопасность.

Чтобы принудительно использовать ваш SSL-сертификат во время соединения, добавьте эту строку:

DEFINE ( ​​'FORCE_SSL_LOGIN', правда);

Вы также можете принудительно установить свой SSL-сертификат на панели администратора с помощью этой строки:

DEFINE ( ​​'FORCE_SSL_ADMIN', правда);

Это очень хорошие моменты для начала, хотя в идеале было бы использовать SSL-сертификат на всех ваших сайт.

3. Измените префикс базы данных.

Префикс ставится перед именами всех таблиц в вашей базе данных. По умолчанию в таблице используется префикс " wp_" и добавление его в вашу базу данных добавит хакеру дополнительную задачу. Чем больше препятствий вы добавляете, тем больше ваш блог взломать будет сложно.

Изменение префикса по умолчанию помогает, и все, что вам нужно сделать, это изменить константу в файле " wp-config.php ", но также необходимо, чтобы таблицы базы данных в вашей установке имели такой же новый префикс. Вы можете изменить wp_ для чего-то вроде g628_. Вы должны выбрать то, о чем действительно непросто угадать.

4. Отключить редактирование тем и плагинов.

В каждой установке WordPress вы можете напрямую редактировать плагины и темы через панель управления. Если хакеру удалось получить доступ к вашей панели управления, у него будет доступ к этому специальному редактору, где он сможет делать все, что захочет, в вашем плагине и файлах темы, например, добавлять вредоносные программы, вирусы или спам.

5. Отключить отладку

Если вы когда-либо включали отладку на своем сайте или в сети, вы, вероятно, делаете это, потому что это отличный инструмент для устранения неполадок, но не забудьте отключить его, когда закончите. Если оставить этот параметр включенным, важная информация о вашем сайте и местоположении его файлов может быть раскрыта хакерам всем, кто посещает ваш сайт.

Чтобы отключить режим отладки, вы можете изменить константу WP_DEBUG с true на false следующим образом:

DEFINE ( ​​'WP_DEBUG', ложь);

6. Отключите регистрацию ошибок в WordPress.

 Если вы не можете внести предыдущее изменение, потому что вам все еще нужно активно отлаживать свой сайт, вы все равно можете защитить важную информацию своего сайта, отключив внешние ошибки и отключив ведение журнала ошибок.

Чтобы отключить отчеты об ошибках внешнего интерфейса, добавьте эту строку, оставив для параметра отладки (WP_DEBUG) значение true:

DEFINE ( ​​'WP_DEBUG_DISPLAY', ложь);

7. Включить автоматические обновления

Обновление вашего сайта с использованием последних версий WordPress, а также ваших плагинов и тем должно быть важной частью при разработке стратегии безопасности. ПосколькуОбновления содержат исправления безопасности для известных уязвимостей, а не обновление уязвимостей. ваш блог этим потенциальным рискам.

Начиная с версии WordPress 3.7, незначительные исправления безопасности автоматически применяются к сайтам WordPress, а базовые версии - нет. Однако вы можете включить автоматическое обновление для всех новых версий, изменив значение константы для автоматических обновлений:

DEFINE ( ​​'WP_AUTO_UPDATE_CORE', правда);

Точно так же вы можете добавить следующую строку под предыдущей, чтобы включить автоматические обновления для плагинов:

add_filter ( 'auto_update_plugin', '__return_true');

Вы также можете следовать этой строке, чтобы разрешить автоматическое обновление тем:

add_filter ( 'auto_update_theme', '__return_true');

Вот и все для этого урока. Я надеюсь, что это позволит вам лучше защитить свой WordPress блог.