Как защитить от взлома файлы сайта на WordPress — важные правила…

Встречайте: вот несколько необходимых настроек сайта, которые помогут значительно обезопасить свою кровиночку сайт от взлома мошенниками))

…перечислю некоторые возможности, которые ну просто дозарезу необходимо знать и использовать в качестве превентивных мер, создавая сайт…

А вообще, в интернете запросто отыскать много полезного из того, что просто необходимо иметь в арсенале защиты своего сайта/блога…

Занавес открывается:

Конечно, стопроцентной защиты (как и ничего 100%, впрочем) не существует, но, однако, процентность взлома блога должна быть как можно ниже и к этому — нужно стремиться стремглав) А посему всякая информация безопасности интернет-ресурсов лишней не бывает.

некоторые правила безопасности блога на WordPress

Продолжим…

Я сейчас не стану говорить о пользе/не пользе статических и динамических ip-адресов, с ними разберётесь постепенно, так сказать, в процессе личной практики… )

А пока, настоятельно предлагаю поближе познакомиться с вашим хостингом !! — рекомендую написать в поддержку, чтобы они разъяснили настоящие возможности вашего аккаунта, а в том числе и возможные вариации защиты.

Всякий приличный хостер (группа поддержки — Support)) обязательно предложат пояснительное письмо.

…стоит поинтересоваться у поддержки, есть ли возможность установить двухфакторную аутентификацию при заходе к себе во владения…

Подобный принцип работы наглядно демонстрируется, к примеру, в Google — когда добавляете аккаунт требуется подтверждение по SMS.

Что жж, пока ждёте ответ хосто-братьев, как правило, нерасторопной тех-поддержки… времени не теряйте:

попристальнее изучите регулировки панели управления хостом

Будет нелишним отключить доступ по FTP, ну или как-то это дело регулировать: когда хостомеханика сайта не требуется, вряд ли «включенный доступ» оправдан, — если у вас динамический ip и вы не можете запретить вход в аккаунт всем ип адресам, окромя вашего…

Ну и касаемо этой темы, вероятно, будет небесполезно отключить возможность редактирования файлов корня шаблона из админки.

Ведь как, когда уже сайт боле-менее настроен и работает, доступ к регулировкам файлов только в тягость личным нервам… К слову, на сайтах под моим управлением «редактирование из консоли» отключено всегда!

Открываете файл wp-config.php что в корне сайта (не темы) и куда-то ближе книзу… рядышком со строкой «пожелания удачи» от разработчиков, дописываете строки данные ниже:

/**запрет редакции в админке*/
define('DISALLOW_FILE_EDIT', true);

Ну и кому нужно, там же можно запретить автоматическое обновление системных файлов WordPress. Это полезно !! — ко всем обновлениям нужно быть подготовленным.

Не подвергайте свой сайт тестированию cms разработчиков ! —

существуют так называемые «мажорные» и «минорные» обновления, попросту — важные и не очень важные, в которых осуществляется отлов и исправление ошибок обновлённого функционала текущей версии WordPress.

/**отключение автообновления вордпресс*/
define( 'WP_AUTO_UPDATE_CORE', false );

Итак, после использования файла wp-config.php для нашей же защиты, научимся:

как обезопасить файлы wp-config.php и .htaccess

После наших редакций конфигурационного файла открываем не менее легендарный файл .htaccess — в нём мы кстати защитим и сам файл конфигурации wp-config.php…

1 — код: защищаем файл конфигурации.

# защита wp-config.php
<files wp-config.php>
order allow,deny
deny from all
</files>

2 — код: защитим сам файл .htaccess — (один из вариантов) чтобы защитить от хакеров — их несанкционированного доступа — важнейший системный файл нашего сайта.

# Защищаем собственно .htaccess файл
<Files ~ "^.*\.([Hh][Tt][Aa])">
order allow,deny
deny from all
satisfy all
</Files>

Далее…

У которых статический ip — будет полезно защитить файл wp-login.php — страничку входа в админку.

<Files wp-login.php>
Order Deny,Allow
Deny from all
Allow from xxx.xx.xx.xx
</Files>

запрет доступа к странице всех ip-адресов, кроме вашего: где ххх.ххх. ваш личный IP.

как обезопасить от мошенников медиа-папку uploads

…папка с картинками одно из уязвимых и дырявых мест корня сайта.

Вот путь:

ВАШ_ДОМЕН/wp-content/uploads

Внутри папки uploads создаём новый независимый файл .htaccess и прописываем в нём следующие кодированные строки (этими параметрами запретим выполнение сторонних скриптов и внешний доступ к папке uploads, а также исключим загрузку неизвестных файлов):

Позволим загрузку только лишь картинок определённого формата — пропишем следующие строки в созданный файл.

#Защищаем uploads папку - только загрузка картинок
<FilesMatch "\.(gif|jpg|png)$">
Allow from all
</FilesMatch>
Deny from all
#Защищаем uploads папку - только загрузка картинок
# END WordPress

Как это работает: просто и замечательно… посмотрите на вторую строку (выделена жёлтый), видите..? Это расширения файлов, которые разрешены к загрузке в папку (это коротко)…

Дополню, пожалуй, только тем, что вы можете на своё усмотрение добавить «разрешённое» расширение. Например, в этом случае будет целесообразно дописать и формат (или расширение, кому как удобнее) jpeg — попробуйте отредактировать сами…

А я покажу ещё один, на мой взгляд, симпатичный способ — кстати, не так давно на одном из сайтов закрыл огромную лазейку — прямо дыру ко взлому (к великой неожиданности администратора) но обо всём по порядку:

как защитить важные файлы ядра вордпресс и корня шаблона…

Поместите вот этот лихой файлик .htaccess в наиважнейшие папки своего сайта: это полезная заготовка и настраиваемый инструмент защиты в дальнейшем пути развития блога/сайта…

Права на запись можно задать и 444 — это в файловом менеджере… (Конечно же, не забывайте тестировать итог проделанных работ)

Итак — в папку темы поместите, скопировав, следующий чудо код… (замените .htaccess второй строки на имя другого защищаемого файла или оставьте как есть).

#Защищаем .htaccess файл
<files .htaccess>
order allow,deny
deny from all
</files>
# защита index.php
<files index.php>
order allow,deny
deny from all
</files>
# END WordPress

Выделенная строка 7  — как вы понимаете, обезопасит индексный файл (во многих темах он отвечает за формирование заглавной страницы сайта) — это очень важно!!

На одном из сайтов получилось так: подстроив кое-какие огрехи и убрав некоторые прорехи… Я решил для пущей строгости тестить далее…

…набираю в адресной строке браузера такой чудо-адресок:

https://mihalica.ru/wp-content/themes/имя_темы

Секунды соединения… ужас-интернет-коллапса… и — браузер преподнёс неожиданное окно, короче…

В самом верху красовалась строка гласившая о фатал еррор.

Fatal error: Uncaught Error: Call to undefined function ... и так далее...

Чем это плохо !? — если у вас получается то же самое, взгляните на сообщение в вашем окне внимательнее!!!!

Среди прочей тех-составляющей лабуды, более менее продвинутый пользователь, разглядит логин для входа в админку файлового менеджера — это очень и очень!!.

Взломщику останется только подобрать пароль — и ваш акк на хостинге открыт. О какой защите сайта или аккаунта файлового менеджера здесь можно толковать?

Не знаю, за все хостинги утверждать не берусь, но во многих — описанная выше строка имеет опасную информацию. Имейте ввиду это други.

Вот ещё экзерсис:

Добавьте в папки plugins (плагинов) и основную пользовательскую wp-content такой файлик:

Это почти пустой индексный файл — с расширением.php — имея его в нужных директориях, доступ к просмотру файлов будет запрещён — пустая беленькая страничка.

Не правда ли, очень философично и многозначительно — как картина белый квадрат.

Пусть взломщик наслаждается искусством… и парится.

Запись в фале лаконичная:

<?php
// Silence is golden.

А напоследок я спою вот о чём:

Желаю вам удачного ведения дел в вашем бизнесе… )

На этом у меня на сегодня решительно всё!..

…а в комментариях давайте поделимся личными способами защиты… Всем будет полезно!!

А я ещё что-то найду для новичков: в общем у меня есть кое-что новенькое, но несколько сложновато… да и пока что тестирую лично-с. Так что нелишне будет подписаться))

Online консультация по настройкам и созданию сайтов на WordPress