Плагины безопасности для WordPress. Установка WordPress капчи

Безопасность WordPress — это вопрос, который нужно решить еще на этапе установки сайта на хостинг. Если не защитить Вордпресс, не предпринять какие-либо меры для этого, тогда ваш сайт быстро захватят вирусы, боты и спамеры. Вы должны уметь бороться со всякой угрозой, которая потенциально может навредить ресурсу. Иначе, еще не успев стать успешным, ваш сайт будет уничтожен недоброжетелями.

Безопасность сайта — это не только отлаженная работа движка в замкнутой непролазной системе, но и безопасность вашего компьютера.

Вирусы не должны быть у вас на диске. Также и хостинг не должен содержать вирусы. Иначе вы сами станете причиной разрушения сайта — вирусы, наподобие троянов, съедят его. Либо сайт может не повредиться, но он станет разносчиком «инфекции» — скачивая файл, пользователь скачает и вирус. Ниже приведены советы по защите сайта, а также плагины Вордпресс, которые помогут вам в этом деле.

Некоторые из приведенных советов могут показаться вам очевидными, но не каждый об этом знает. И даже те, кто знает, осознанно игнорируют правила защиты . Итак, вот советы, которые помогут защитить ваш сайт:

• У вас должен быть сложный пароль для доступа в . Взлом административной панели — это, пожалуй, самое худшее, что могут сделать злоумышленники. После взлома они смогут украсть все статьи, которые вы еще не опубликовали, а также удалить содержимое сайта.
• Пароль лучше обновлять раз в полугодие. Взломщики используют специальные программы для подбора комбинаций. Если пароль будет обновляться, их шансы взломать сайт сводятся к нулю.
• В качестве пароля нельзя использовать общеизвестное слово — взломать такой код проще простого. Это могут сделать даже те, у кого нет специальной программы для взлома аккаунтов.
• Когда вы заходите на сайт в админку, браузер предлагает вам сохранить пароль. С одной стороны, это удобно — ведь не придется каждый раз потом вводить сложный пароль. С другой — это может стать причиной взлома админпанели.
• Самая большая ошибка, которую совершают большинство вебмастеров — это использование одинакового пароля для входа на разные площадки. Если у вас для админки, хостинга и почта будет одинаковый пароль, то взломав аккаунт сайта, злоумышленник автоматически получит пароль и на все другие ваши профили.
• Не рекомендуется хранить ваши пин-коды и пароли где-либо в Интернете и даже на жестком диске. Компьютер могут украсть, а аккаунт социальной сети — взломать.
• Если сидите с чужого компьютера, не заходите на сайт в админку со стандартного браузера — он может сохранить пароли. Лучше используйте режим инкогнито.

Все эти советы касались правильного подхода к использованию паролей. Но кроме этого, есть и другие нюансы, которые вы должны учитывать — это вирусы на вашем компьютере. Если у вас где-либо есть вирус, он может стать причиной испорченного доверия к вашему сайту, и принести много вреда посетителям. Потому следуйте описанным советам:

• раз в неделю проверяйте компьютер на вирусы;
• установите качественный антивирус (один), а также приложения для блокировки вредоносных сайтов;
• не открывайте на почте все, что вам приходит — порой злоумышленники присылают письма со спамом, в которых содержатся вирусы;
• обновляйте проги на компьютере и скачивайте новые программы с официальных источников — через них вирус навряд ли проникнет на жесткий диск.

Если вы не будете следовать указанным советам, то вскоре и ваш сайт будет считаться сомнительным! А вот, что вы можете сделать в настройках Вордпресс для повышения безопасности ресурса:

Как только появляется новое обновление, устанавливайте его — возможно в новом обновлении применены инновационные технологии повышения безопасности.

На случай, если взломщик все же проникнет в админку и удалит все содержимое сайта, сделайте резервную копию базы данных и всего содержимого. Тогда сайт будет несложно восстановить.

Иногда в теме имеются какие-то посторонние ссылки. На всякий случай удалите их.

Взломщикам и хакерам куда проще «надругаться» над вашим ресурсом, если в нем указана версия движка. Лучше скрыть ее от посторонних глаз. Чтобы версия не отображалась, вам необходимо будет настроить файл header.php — удалить строчку с указанием WordPress version. Также удалите на хостинге файлы readme.htm и license.txt — без них сайт будет работать точно также.

Если вы работаете на одном и том же компьютере, или их у вас несколько, тогда вы можете указать в настройках IP, с какого вы обычно заходите. Указывается эта информация в файле.htaccess. Со строки Allow from. Если вдруг вы поменяете компьютер и нужно будет зайти с другого места, вы всегда сможете отредактировать файл для активации доступа с другого IP. Чтобы узнать свой IP, воспользуйтесь специальными сервисами в Интернете.

Лучше не используйте стандартную учетную запись сайта admin, а создайте собственную с придуманными вами логином. Так взломать сайт будет куда сложнее.

Наверняка вы слышали о всяческих атаках на сайты. Установите плагины для защиты сайта от них.

Максимально защитите ваши базы данных на сервере, ограничив доступ всеми возможными средствами.

Защита WordPress плагинами

Проверка паролей, обновлений, компьютера на вирусы — это хорошо, но недостаточно, чтобы наверняка оградить вашу площадку от злоумышленников и вредоносных программ. Ниже приведены лучше плагины для защиты движка Вордпресс от различных угроз:

Anti-XSS attack — модуль, который защитит ваш ресурс от XSS-атак. Звучит странно — «атака». Но с современными темпами роста вполне не исключено, что на ваш ресурс могут напасть. Есть белые и черные методы борьбы с конкурентами. Те, у кого есть деньги и нет совести, часто выбирают второе — грязные способы удаления сайтов-конкурентов. XSS-атака — это внедрение вредного кода в структуру сайта.

Login LockDown защитит вашу админку от многочисленных попыток взлома. Боты подбирают пароль путем угадывания комбинаций. Если не ограничить количество попыток и не добавить какой-то дополнительный фактор для совершения авторизации, задача для роботов значительно облегчится — они легко смогут взломать ваш «пассворд». Плагин Login LockDown ограничивает число вводов по количеству и времени.

WP Security Scan — мощный плагин для обеспечения безопасности. После установки и активации произойдет проверка вашего ресурса. Вы узнаете какие пункты безопасности нарушены, и что нужно предпринять для их исправления. Плагин сканирует наличие новых версий движка, тип используемого префикса таблиц, скрытность версии WordPress, базу данных на наличие ошибок, пользовательский аккаунт, с которого вы занимаетесь администрированием сайта, а также настройки файла.htaccess.

Simple Backup позволит вам быстро сделать и скачать резервную копию всего сайта. Делайте это хотя бы раз в месяц — никогда не знаешь, когда случится беда.

Login Dongle — модуль, который абсолютно исключит возможность взлома вашего аккаунта админа. Он добавляет к привычным формам для заполнения вопрос, на который вам нужно будет ответить. Таким образом, робот не сможет быстро подобрать и пароль, и ответ.

Exploit Scanner — плагин, который удостоверит отсутствие вредоносных программ и файлов у вас на сайте и в списке базы данных. Не думайте, что у вас все идеально — вирусы работают незаметно. Лучше лишний раз проверить их отсутствие.

Если вы постоянно забываете о надобности регулярных проверок сайта, тогда воспользуйтесь плагином WordPress AntiVirus — он делает это автоматически.

Сегодня взлом WordPress представляет собой довольно опасную распространенную проблему. Мне кажется, что из 10 блогеров примерно 6 подвергаются либо взлому их сайта, либо заражаются вредоносным ПО.

Все больше просмотров набирают записи на тему того, как избежать взлома WordPress, и каждый день появляется все новый материал. Многие читатели спрашивают о том, как им защитить себя. Итак, сегодня я хочу предложить вам детальный рассказ обо всем, что я знаю о том, как предотвратить взлом сайта на WordPress и избежать заражения вредоносным ПО.

После того, как разберетесь с паролями в cpanel, пришло время изменить пароль на вход в WordPress. Опять же, я рекомендую вам использовать уже что-то новое, уникальное. Кстати, чтобы не забыть пароли и хранить их в надежном месте, я рекомендую использовать менеджер паролей Касперского — Kaspersky Password Manager , он мне сильно упростил жизнь т.к. сам автозаполняет формы авторизации на сайта и в программах и шифрует всю базу паролей. Считаю, что не зря потратил на него 900 рублей 😉

Создаем резервную копию всего блога на WordPress

Это самый важный этап, и его нельзя игнорировать. Я помню, как общался со специалистом по безопасности в интернете, и он сказал мне, что можно даже не бояться ничего, если в запасе есть резервная копия сайта. Я тогда замер на мгновение, и эта фраза отложилась у меня в памяти, потому что резервной копии у меня не было… Благо на тот момент мой блог был совсем маленьким, но я попытался представить, какой плачевной была бы ситуация, если бы это был блог с тоннами информации и контента.

Хотя на большинстве хостингов делают резервные копии информации с серверов, все же лучше подстраховаться. Здесь я приведу ссылку на статью Сергея, автора блога max1net.com . Там, подробная инструкция по регулярному бэкапу сайта.

Устанавливаем плагины безопасности

Теперь, когда у вас есть полная резервная копия вашего блога на WordPress, вам можно не беспокоиться о чем-либо, так как вы всегда сможете восстановить нормальную версию. Теперь пришло время разобраться с плагинами для безопасности сайта.

1. WP Security Scanner

Это облегченный сканер от Website Defender. Установите его и просто пройдите по этапам. Здесь есть опция, позволяющая вам переименовать приставку таблиц в базе данных. Измените ее на что-то, что будет сложно угадать. Обычно WordPress устанавливается с приставкой wp_. Это облегчает хакерам задачу по выявлению слабых баз данных, посредством которых можно реализовать проникновение.

Better WP Security включает в себя лучшие функции безопасности WordPress. Этот плагин способен предложить вам практически все необходимое, и он должен быть плагином №1 у каждого блогера. Спросите «почему?». Да потому что посредством всего одного клика вы сможете активировать многие необходимые функции безопасности системы для продвинутых пользователей, плагин сам создаст и модернизирует.htaccess таким образом, чтобы повысить безопасность вашего блога. Вам не придется вручную создавать.htaccess и заботиться о кодах. Позвольте плагину сделать все за вас.

После установки и активации плагина, нам нужно будет сделать еще кое-что. Прежде всего, вам нужно будет в один клик включить «secure from basic attack», и посмотреть, сколько зеленых и синих пунктов вам будет отображено. Оба цвета сообщают, что все ок! Зеленый цвет отвечает за отличную защиту, а синий как бы говорит вам, что вы можете сделать этот пункт зеленым, но тогда не будут работать некоторые плагины и поэтому можно оставить все на своем месте. Красный же цвет говорит об опасности.

Теперь кликните по вкладке «hide backend» и включите эту опцию. Функция «hide backend» изменяет URL, по которой вы можете осуществить доступ к внутреннему интерфейсу WordPress.

Если вы только что установили свежую версию WordPress, то я рекомендую вам кликнуть по вкладке «Content Directory», и изменить название директории. Это прибавит еще один уровень безопасности. Но делать это стоит только если ваш блог абсолютно новый! Помните, что если вы измените директорию на уже работающем блоге, то большинство ссылок перестанет работать.

Основная задача здесь заключается в том, чтобы изменить коды для повышения безопасности. Поиграйте с опциями, и посмотрите, какой вариант вам подходит больше всего. Например, я могу изменить все синие пункты на зеленые, так как это не повлияет на работу моего блога или установленных плагинов. Тем не менее, те же настройки могут существенно сказаться на работе вашего блога или установленного шаблона. Как я уже и сказал, здесь отлично работает метод проб и ошибок. Я сегодня рассказал вам о важных шагах, и только от вас зависит – сделаете вы их или нет.

Скачиваем.htaccess и robots.txt

Вердикт

Я даже не знаю, радоваться мне или горевать по поводу того, что мои блоги взламывают и подвергают заражению. Иногда я думаю, что если бы мой блог не был взломан, то я бы и не задался идеей написать подобную статью, и тогда мои читатели бы не узнали о моем опыте, ведь все, что я пишу – это мой личный опыт и пройденные этапы в жизни и нашем общем деле. Как я уже говорил ранее, не существует полноценного гарантированного способа защитить ваш блог, но если предпринимать хоть какие-нибудь шаги для его защиты – у вас все получится. У вас уйдет не больше пары часов на то, чтобы поделать все, что описано в этой статье, и в дальнейшем это принесет вам огромную выгоду! Теперь идите, и защищайте свой блог от злодеев!

WordPress — это удобная блог-платформа для публикации статей и управления ими, на которой базируется огромное число различных сайтов. Из-за своей распространенности эта CMS уже давно является лакомым куском для злоумышленников. К сожалению, базовые настройки не обеспечивают достаточного уровня защиты, оставляя многие дефолтные дырки незакрытыми. В этой статье мы пройдем типичным путем «типового» взлома сайта на WordPress, а также покажем как устранить выявленные уязвимости.

Введение

На сегодняшний день WordPress среди систем управления контентом популярнее всего. Его доля составляет 60,4% от общего числа сайтов, использующих CMS-движки. Из них, согласно статистике, 67,3% сайтов базируется на последней версии данного программного обеспечения. Между тем за двенадцать лет существования веб-движка в нем было обнаружено 242 уязвимости различного рода (без учета уязвимостей, найденных в сторонних плагинах и темах). А статистика сторонних дополнений выглядит еще печальней. Так, компания Revisium провела анализ 2350 русифицированных шаблонов для WordPress, взятых из различных источников. В результате они выяснили, что более половины (54%) оказались зараженными веб-шеллами, бэкдорами, blackhat seo («спам») ссылками, а также содержали скрипты с критическими уязвимостями. Поэтому устраивайся поудобней, сейчас мы будем разбираться, как провести аудит сайта на WordPress и устранить найденные недостатки. Использовать будем версию 4.1 (русифицированную).

Индексирование сайта

Первым этапом любого теста обычно бывает сбор информации о цели. И тут очень часто помогает неправильная настройка индексирования сайта, которая позволяет неавторизованным пользователям просматривать содержимое отдельных разделов сайта и, например, получить информацию об установленных плагинах и темах, а также доступ к конфиденциальным данным или резервным копиям баз данных. Чтобы проверить, какие директории видны снаружи, проще всего воспользоваться Гуглом. Достаточно выполнить запрос Google Dorks типа site:example.com intitle:"index of" inurl:/wp-content/ . В операторе inurl: можно указать следующие директории:

/wp-content/ /wp-content/languages/plugins /wp-content/languages/themes /wp-content/plugins/ /wp-content/themes/ /wp-content/uploads/

Если сможешь просмотреть /wp-content/plugins/ , следующий шаг по сбору информации об установленных плагинах и их версиях значительно упрощается. Естественно, запретить индексирование можно с помощью файла robots.txt . Так как по умолчанию он не включен в установочный пакет WordPress, его необходимо создать самому и закинуть в корневую директорию сайта. Мануалов по созданию и работе с файлом robots.txt довольно много, поэтому оставлю эту тему для самоподготовки. Приведу лишь один из возможных вариантов:

User-Agent: * Disallow: /cgi-bin Disallow: /wp-login.php Disallow: /wp-admin/ Disallow: /wp-includes/ Disallow: /wp-content/ Disallow: /wp-content/plugins/ Disallow: /wp-content/themes/ Disallow: /?author=* Allow: /

Если в файлах, хранящихся в папке uploads , имеются сведения конфиденциального характера, добавляем к этому списку строчку: Disallow: /wp-content/uploads/ .
С другой стороны, в файле robots.txt не рекомендуется размещать ссылки на директории, которые были созданы специально для хранения чувствительной информации. Иначе этим самым ты облегчишь злоумышленнику задачу, так как это первое место, куда обычно все заглядывают в поисках «интересненького».

Определение версии WordPress

Еще один важный шаг - идентификация версии CMS. Иначе как подобрать подходящий сплоит? Существует три быстрых способа для определения используемой на сайте версии WordPress:

Найти в исходном коде страницы. Она указана в метатеге generator:

или же в тегах :

Найти в файле readme.html (рис. 1), который входит в состав установочного пакета и находится в корне сайта. Файл может иметь и другие названия типа readme-ja.html .

Найти в файле ru_RU.po (рис. 2), который входит в состав установочного пакета и расположен по адресу /wp-content/languages/ : "Project-Id-Version: WordPress 4.1.1\n"

Один из вариантов защиты в данном случае - ограничить доступ к файлам readme.html и ru_RU.po с помощью.htaccess .

Автоматизация процесса тестирования

Исследованием безопасности WordPress занялись не вчера, поэтому существует достаточное количество инструментов, позволяющих автоматизировать рутинные задачи.

• определение версии и темы с помощью скрипта http-wordpress-info nmap -sV --script http-wordpress-info
• подбор пароля по словарям nmap -p80 --script http-wordpress-brute --script-args "userdb=users.txt,passdb=passwords.txt" example.com

• модуль для определения версии: auxiliary/scanner/http/wordpress_scanner ;
• модуль для определения имени пользователя auxiliary/scanner/http/wordpress_login_enum .

• перечисление установленных плагинов: wpscan --url www.exmple.com --enumerate p ;
• перечисление установленных тем: wpscan --url www.exmple.com --enumerate t ;
• перечисление установленного timthumbs: wpscan --url www.example.com --enumerate tt ;
• определение имени пользователя: wpscan --url www.example.com --enumerate u ;
• подбор пароля по словарю для пользователя admin: wpscan --url www.example.com --wordlist wordlist.txt --username admin ;
• подбор пароля с использованием связки имя пользователя / пароль с числом потоков, равным 50: wpscan --url www.example.com --wordlist wordlist.txt --threads 50 .

Определение установленных компонентов

Теперь давай соберем информацию об установленных плагинах и темах независимо от того, активированы они или нет. Прежде всего такую информацию можно выудить из исходного кода HTML-страницы, например по JavaScript-ссылкам, из комментариев и ресурсов типа CSS, которые подгружаются на страницу. Это самый простой способ получения информации об установленных компонентах. Например, строчки ниже указывают на используемую тему twentyeleven:

Так как информация о плагинах не всегда отображается в исходном коде HTML-страницы, то обнаружить установленные компоненты можно с помощью утилиты WPScan (см. врезку). Только не забывай, что перебор путей плагинов зафиксируется в логах веб-сервера.
Получив данные об установленных компонентах, уже можно приступать к поиску уязвимостей своими силами либо найти общедоступные эксплойты на ресурсах типа rapid7 или exploit-db .

Определение имени пользователей

По умолчанию в WordPress каждому пользователю присваивается уникальный идентификатор, представленный в виде числа: example.com/?author=1 . Перебирая числа, ты и определишь имена пользователей сайта. Учетная запись администратора admin, которая создается в процессе установки WordPress, идет под номером 1, поэтому в качестве защитной меры рекомендуется ее удалить.

Брутфорс wp-login

Зная имя пользователя, можно попробовать подобрать пароль к панели администрирования. Форма авторизации WordPress на странице wp-login.php весьма информативна (рис. 3), особенно для злоумышленника: при вводе неправильных данных появляются подсказки о неверном имени пользователя или пароле для конкретного пользователя. Разработчикам известно о данной особенности, но ее решили оставить, так как подобные сообщения удобны для пользователей, которые могли забыть свой логин и/или пароль. Проблему подбора пароля можно решить, используя стойкий пароль, состоящий из двенадцати и более символов и включающий буквы верхнего и нижнего регистра, числа и спецсимволы. Или же, например, при помощи плагина Login LockDown.

Заливаем Shell

После того как мы сбрутили пароль, ничто не мешает залить шелл на скомпрометированный веб-ресурс. Для этих целей вполне сгодится фреймворк Weevely , который позволяет генерировать шелл в обфусцированном виде, что делает его обнаружение довольно сложным. Чтобы не вызывать подозрения, полученный код можно вставить в любой файл темы (например, в index.php) через редактор темы консоли WordPress. После чего с помощью того же Weevely можно подключиться к машине жертвы и вызывать различные команды:

Python weevely.py http://test/index.php Pa$$w0rd [+] weevely 3.1.0 [+] Target:test [+] Session: _weevely/sessions/test/index_0.session [+] Browse the filesystem or execute commands starts the connection [+] to the target. Type:help for more information. weevely> :help

Подключаем.htaccess

Для запрета доступа к чувствительной информации лучше воспользоваться файлом.htaccess - это файл конфигурации, используемый в Apache Web Server. Рассмотрим возможности этого файла с точки зрения безопасности. С его помощью можно: запретить доступ к директориям и файлам, заблокировать различные SQL-инъекции и вредоносные скрипты. Для этого стандартный файл.htaccess для CMS WordPress 4.1 нужно немного расширить. Чтобы закрыть список файлов и папок, добавляем:

Options +FollowSymLinks -Indexes

RewriteCond %{QUERY_STRING} base64_encode[^(]*\([^)]*\) заблокирует ссылки, содержащие кодировку Base64. Избавиться от ссылок, содержащих тег :

RewriteCond %{QUERY_STRING} (|%3E)

Противодействовать скриптам, пытающимся установить глобальные переменные или изменить переменную _REQUEST через URL:

RewriteCond %{QUERY_STRING} GLOBALS (=|\[|\%{0,2}) RewriteCond %{QUERY_STRING} _REQUEST (=|\[|\%{0,2})

Для противодействия SQL-инъекциям блокируем запросы к URL, содержащие определенные ключевые слова:

RewriteCond %{query_string} concat.*\( RewriteCond %{query_string} union.*select.*\( RewriteCond %{query_string} union.*all.*select RewriteRule ^(.*)$ index.php

Чтобы испортить жизнь распространенным хакерским утилитам, отфильтровываем определенные user-agent’ы:

SetEnvIf user-agent «Indy Library» stayout=1 SetEnvIf user-agent «libwww-perl» stayout=1 SetEnvIf user-agent «Wget» stayout=1 deny from env=stayout

Защищаем файлы

Неплохо было бы также ограничить и доступ к особо важным файлам, которые хранят конфигурацию или просто могут выдать злоумышленнику какую-то информацию. Можно выделить следующих кандидатов:

• wp-config.php , содержит имя БД, имя пользователя, пароль и префикс таблиц;
• .htaccess ;
• readme.html и ru_RU.po , которые содержат версию WordPress;
• install.php .

Делается это следующим образом:

Order Allow,Deny Deny from all

Причем файл.htaccess , содержащий эти строки, должен находиться в той же директории, что и защищаемый файл. Затем запрещаем перечисление пользователей (помнишь, чуть выше мы говорили о том, как легко получить список пользователей?):

RewriteCond %{QUERY_STRING} author=\d RewriteRule ^ /?

Так, что еще? Можно разрешить вход только с указанных IP-адресов. Для этого создай файл.htaccess в папке wp-admin со следующими правилами:

AuthUserFile /dev/null AuthGroupFile /dev/null AuthName "Access Control" AuthType Basic order deny,allow deny from all allow from 178.178.178.178 # IP домашнего компа allow from 248.248.248.248 # IP рабочего компа

Метод не слишком гибкий и применим только в случае, если ты работаешь с ограниченным числом фиксированных IP-адресов. В противном случае рекомендуется установить пароль на папку wp-admin через хостинг-панель (при наличии такого функционала).

Дополнительные меры

К тому, что было сказано выше, можно добавить следующие рекомендации. Во-первых, использовать только актуальные версии WordPress и его компонентов - это позволит устранить известные уязвимости. Во-вторых, удалить неиспользуемые плагины и темы, которые также могут быть проэксплуатированы. В-третьих, скачивать темы и плагины WordPress из достоверных источников, например с сайтов разработчиков и официального сайта WordPress. Как и домашний ПК, нужно периодически проверять свой веб-ресурс веб-антивирусом, например AI-Bolit . Если у тебя есть доступ к веб-серверу, настрой права доступа к файлам и каталогам. Как правило, WordPress устанавливает все необходимые права на стадии установки, но в случае необходимости chmod можно выставить вручную. Для каталогов - chmod 755 , для файлов - chmod 644 . Убедись, что права 777 присвоены только тем объектам, которые в этом нуждаются (иногда это необходимо для нормальной работы некоторых плагинов). Если WordPress перестал нормально функционировать, поэкспериментируй с правами доступа: сначала попробуй 755, затем 766 и, наконец, 777. Для всех htaccess-файлов выставь chmod 444 (только чтение). Если сайт перестанет работать, попробуй поэкспериментировать со значениями 400, 440, 444, 600, 640, 644.

Перемести файл wp-config.php . Данный файл содержит информацию о настройках MySQL, префикс таблиц, секретные ключи и прочее. Поэтому его необходимо перенести для того, чтобы файл не был доступен из интернета. Если сайт не располагается в папке public_html , то перенеси файл wp-config.php в папку уровнем выше, и WordPress автоматически найдет его в этой корневой директории (применимо, если на хостинге имеется только один сайт на этой CMS).

Чтобы усложнить заливку шелла, отключи возможность редактирования темы через консоль WordPress. Для этого вставь следующую строчку в файл wp-config.php: define("DISALLOW_FILE_EDIT", true); .

Еще одно слабое место - файл install.php (что в папке wp-admin). Поэтому его лучше удалить, заблокировать или изменить. Выполни один из вариантов:

Просто удали этот файл - после установки в нем нет больше необходимости.

Запрети доступ к файлу с помощью.htaccess .

Переименуй оригинальный файл install.php (например, install.php.old) и создай новый файл install.php со следующим содержимым: Error Establishing Database Connection

We are currently experiencing database issues. Please check back shortly. Thank you.

Помимо уведомления посетителей сайта, данный скрипт выполняет следующие действия:

• отправляет клиенту и поисковым системам код состояния 503 («Сервис временно недоступен»);
• указывает промежуток времени, через который клиенты и поисковые системы могут вернуться на сайт (настраиваемый параметр);
• уведомляет по электронной почте о проблеме с БД для принятия соответствующих мер.

Дело в том, что в ранних версиях WordPress (
Она включит шифрование для админки WP.

Маскируем другие папки WordPress

В каталоге WordPress две основные папки, которые интересны взломщикам: wp-content/themes/ и wp-content/plugins/.

Попробуйте открыть в браузере эти папки, то есть введите в адресную строку:

• Ваш-домен/ wp-content/plugins/ , затем;
• Ваш-домен/wp-content/themes/.

Если вы видите белый лист или 404 ошибку, то ваши папки защищены.

Если вы видите список каталогов и файлов, то папки открыты для всех.

Чтобы их замаскировать создайте пустой файл Index.html и положите его по FTP в эти папки. Это замаскирует эти папки, но не спрячет от продвинутых взломщиков.

Защитить их можно строкой: Options -Indexes , добавленную в конец файла.htaccess . После добавления строки, сделайте контрольную проверку. Вы должны попасть на 404 страницы.

Важно! Все защиты в файле.htaccess , имеют место, если вы не используете плагины безопасности на своем WordPress, а пытаетесь защититься самостоятельно.

Другая защита безопасности WordPress

Удалите пользователя с именем admin. Если под этим именем писались статьи, то сделайте следующее:

• Входите на вкладку: Пользователи;
• Создаете нового администратора;
• Удаляете администратора: admin. При удалении admin, перенаправляете все публикации admin на нового администратора.

• Уберите с сайта виджет «Мета» с прямой регистрацией пользователей. Замените «Мета» на подписку по email;
• Для параноиков: отмените регистрацию пользователей вообще. Вкладка→Настройки→Общие→Членство (очистить чекбокс).