Безопасность WordPress

Нищий на улице обращяется к Хакеру:
— Гражданин, подайте на пропитание.
— А y тебя HTTPS есть?
— Нет (удивленно).
— Тогда не дам, опасно.

WordPress, по сравнению с другими бесплатными движками является довольно хорошо защищённой платформой. Во многом это достигается за счёт выхода регулярных обновлений. Но существуют уязвимости, которые могут повлиять на безопасность WordPress любой версии. Данное руководство поможет вам значительно улучшить безопасность вашего блога WordPress.

Всё, что вы делаете, делаете на свой страх и риск. Автор статьи не несёт ответственности за возможные проблемы, которые могут возникнуть при выполнении, описаных в руководстве действий. Поэтому, если вы не уверены, то поручите это специалистам.

1. Своевременно обновляйтесь

В первую очередь убедитесь, что у вас установлена последняя стабильная версия. Своевременное обновление вашего блога WordPress является самым важным шагом в вопросе обеспечения его безопасности. Если версия вашего блога устарела, то возможность взлома очень велика и никакие другие ухищрения не помогут сохранить его безопасность. Подумайте, что лучше: потратить 10 минут своего времени, чтобы обновить ваш WordPress блог или в панике искать способы вернуть управление, а потом ещё восстановить удалённую злоумышленником информацию?

2. Проверьте безопасность вашего WordPress блога

Существует несколько способов проверить безопасность WordPress. Самый простой на мой взгляд способ, установить плагин WP — Security. Который проводит детальную проверку вашего блога на предмет уязвимости от разных типов атак. И предлагает способы их устранения.

Чтобы начать, установите и активируйте плагин. В меню администраторской панели вашего блога появится новый пункт Security, кликните по нему. Плагин сразу же проведёт анализ безопасности WordPress. Обнаруженные уязвимости будут отмечены красным цветом. Давайте разберём самые важные из них по порядку.

2.1 Префикс базы данных

Если у вашей базы данных WordPress стандартный префикс «wp_», то вам необходимо его сменить и WP — Security Admin Tools сообщит вам об этом. Если это так, кликните на предложеной плагином ссылке.

Вы можете автоматически сменить префикс вашей базы данных WordPress. Укажите новый префикс и нажмите кнопку «Start Renaming». Перед началом операции проверьте, что файл wp-config.cfg доступен для перезаписи. И имя пользователя базы данных, используемое WordPress имеет достаточно прав. Если прав не достаточно, вам будет выдано сообщение об ошибке. В таком случае нужно сменить префикс базы данных WordPress вручную. Вот как это сделать:

**Не делайте этого, если не чувствуете уверенности при работе с phpMyadmin и внесении изменений в MySQL. Попросите кого-нибудь кто умеет.

**Обязательно сделайте бэкап базы данных

1. деактивируйте все плагины
2. экспортируйте вашу базу данных WordPress в sql файл(вы можете использовать интерфейс phpMyadmin)
3. откройте этот *.sql файл(перед этим сделайте ещё одну копию), используя текстовый редактор(рекомендую Notepad++), потом найдите и замените префикс «wp_» на «вашновыйпрефикс_»
4. теперь, удалите все таблицы вашей базы данных WordPress(только не удаляйте саму базу)
5. импортируйте файл *.sql, который вы только что изменили в вашу базу данных WordPress
6. и наконец, откройте для редактирования ваш файл wp-config.cfg и смените $table_prefix = ‘wp_’; $table_prefix = ‘вашновыйпрефикс_’;

2.2 Пользователь с именем admin

Когда вы устанавливаете WordPress, автоматически создаётся пользователь admin, обладающий полными правами. Обычно это имя не меняется, таким образом злоумышленнику остаётся подобрать лишь пароль. Чтобы усложнить задачу подбора, рекомендуется сменить admin на что-нибудь более сложное.

**Не делайте этого, если не чувствуете уверенности при работе с phpMyadmin и внесении изменений в MySQL. Попросите кого-нибудь кто умеет.

**Обязательно сделайте бэкап базы данных

Чтобы сменить имя пользователя admin откройте панель управления MySQL (скорее всего это phpMyadmin) и перейдите к вашей базе данных WordPress. Откройте таблицу users, в которой найдите строку user_login. В одном из столбцов будет прописано поле admin. Впишите в него новое имя.

2.3 Установите надёжный пароль на вход

Помимо имени пользователя необходимо сменить стандартный шестизначный пароль, на более надёжный. Я изпользую 10-ти значный пароль из всех возможных типов символов. Для хранения, генерации и вставки в формы паролей рекомендую использовать AI Roboform. Очень полезная программа, когда учётных записей уже под сотню, и у каждой должен быть уникальный безопасный пароль.

2.4 Установите пароль на доступ к папке /wp-admin

Ещё один очень важный шаг на пути к полной безопасности WordPress, это установка пароля на директорию /wp-admin. Устанавливая пароль на папку /wp-admin вы заметно усложните взлом вашего блога WordPress. Даже, если злоумышленник каким-то образом узнает пароль на вход в администраторскую панель, то не зная пароля на папку /wp-admin всё равно не сможет войти. Чтобы выполнить этот шаг, используйте специальный плагин AskApache. Он позволяет кроме установки пароля на /wp-admin, а также другие папки, защитить блог от спама и хакерских атак.

Чтобы установить пароль пройдите в настройки плагина Настройки -> AAPassPro. Убедитесь, что опция «Protect Admin Folder Immediately?» включена. Введите имя пользователя и пароль, а затем нажмите кнопку «Submit Settings».

3. Заключение

Выполнив все, описанные выше шаги вы предупредите большое колличество уязвимостей, тем самым подняв безопасность вашего WordPress блога на максимально высокий уровень. Минздрав напоминает: «Безопасность WordPress — залог здоровья блоггера!»