Защита Wordpress

Автор dbaik, 07-12-2010, 09:14:24

« назад - далее »

dbaikTopic starter

Какие обязательные мероприятия для защиты сайта на wordpress?

Вот что знаю:
1. Защита файла  wp-config.php, который содержит информацию о доступе к MySQL.
В файле .htaccess прописываем:
<files wp-config.php>
order allow,deny
deny from all
</files>


2. Удаление версии wordpress из meta тега.
Заходим в function.php текущей темы и прописываем:
remove_action('wp_head', 'wp_generator');

3. Переименование стандартного имени "admin".
Если это версия 3.0 и >, то через админку, если более ранние, то выполнить запрос к БД:

UPDATE wp_users SET user_login = 'Ваш новый логин' WHERE user_login = 'Admin';


mixa33rus

У Шакина есть интересные статьи про безопасность WP.

[spoiler]http://shakin.ru/wordpress/wordpress-security-part-1.html
http://shakin.ru/wordpress/wordpress-security-part-2.html
http://shakin.ru/wordpress/wordpress-security-part-3.html[/spoiler]
Рекомендую прочитать 1 и 2 часть :)


dbaikTopic starter

mixa33rus, спасибо, ознакомлюсь...

STRIJ

Заинтересовало, добавил в закладки, спасибо.

Игорь Светлый

строчку
remove_action('wp_head', 'wp_generator');
лучше всего добавить в файле wp-config.php
а то, смените шаблон, а про файл функции точно забудете )

будет не лишним дополнительно запаролить папку wp-admin
идем на сайт http://www.htaccesstools.com/htpasswd-generator/
генератор выдаст вам код, который вы должны вставить в файл .htpasswds.
и сохранить его по адресу
/www/вашсайт/wp-admin/passwd/
в файл .htaccess необходимо добавить такой код
AuthName "Admins Only"
AuthUserFile /home/wp-admin/.htpasswds/www/вашсайт/wp-admin/passwd/
AuthGroupFile /dev/null
AuthType basic
require user secret-user

<Files admin-ajax.php>
    Order allow,deny
    Allow from all
    Satisfy any
</Files>

secret-user - имя пользователя, имеющего доступ в папку wp-admin
/home/wp-admin/ - полный путь к паке wp-admin с точки зрения доступа извне
/www/вашсайт/wp-admin/passwd/ - полный путь к папке, содержащей файл .htpasswds


Оптимизация Worpress и защита - ЛС
  •  


hereticms

Цитата: dbaik от 07-12-2010, 09:14:241. Защита файла  wp-config.php, который содержит информацию о доступе к MySQL.
Wp-config можно еще перенести на каталог выше. Движок его будет видеть, а вот "плохие дяди" нет. Я на своем сайте сделал так.

Из молодости в старость бери мудрость, ибо нет дос
  •  

ACKET

Рассмотрите два плагина - BulletProof Security для работы с файлом .htaccess и Swift Security Bundle - для сканирования кода, фаерволла и скрытия использования Wordpress. Обычно мне этого хватает.

ss2o

Еще можно сменить префикс базы данных.
Вот еще неплохой плагин WordPress Sentinel только в настройках  лучше отключить ведение логов (а то в базе данных много записей получается). 
  •  


anykey13

1.Смена префикса базы
2.Смена отображения логина входа на сайте
3. Добавить строки в .htaccess
</IfModule>
<LimitExcept GET>
deny from all
</LimitExcept>
<files wp-config.php>
order allow,deny
deny from all
</files>
4. Есть хорошие плагины для этих целей:
login-lockdown
wp-last-login
wp-security-scan
wp-sentinel

Если кто может-дополните плз.