https://help.superhosting.bg/wordpress-security.html
  • bg

Хостинг, Домейни, Cloud, Виртуални сървъри (VPS), Managed VPS, SSL сертификати

Повишаване на сигурността на WordPress

WordPress
WordPress сигурност, повишаване на сигурността, WordPress security

Системата WordPress е безплатна, с отворен код и е една от най-използваните в Интернет пространството и долу-описаните методи не могат да гарантират 100% сигурност и неприкосновеност за вашия сайт. Това е така, тъй като пробив в сигурността може да се осъществи чрез новооткрита и неизвестна досега слабост в кода на системата - или най-често използвания метод за злонамерен достъп - слабост в сигурността на инсталиран към WordPress плъгин или тема.

В тази статия са описани основните и най-често използвани методи за защита и повишаване на сигурността на системата WordPress.

1. Защита на административния панел на WordPress

Защитата на администрацията на сайта може да се извърши по два начина, но те се ползват единствено ако опцията за регистрация на нови потребители не е активна (тъй като новите потребители няма да могат да достъпват акаунта си).

Първи вариант: Ограничаване на достъпа до Администрацията само за определени IP адреси

Ако желаете Администрацията да се достъпва само от вашият IP адрес е необходимо във файл с име .htaccess, разположен в директорията wp-admin, да се поставят редовете:

Deny from All
Allow from xxx.xxx.xxx.xxx

Забележка:  Необходимо е да заместите xxx.xxx.xxx.xxx с вашия IP адрес.

Ако достъпвате Администрацията от още един IP адрес, можете да активирате достъпа и до него, като добавите още един ред:

Allow from xxx.xxx.xxx.xxx

Втори вариант: Защита на достъпа с допълнително потребителско име и парола

За този вариант може да използвате опцията от контролния панел cPanel -> "Директории защитени с парола / Password Protect Directories"

Помощна информация за това как да извършите настройката, може да намерите в статията: Защита на дадена директория с потребителско име и парола

След като ползвате опцията в cPanel и защитите директория /wp-admin, при достъп до административния панел на WordPress може да получите съобщение за грешка. Съобщението може да съдържа текста: "Redirect Loop". За да възстановите достъпа до администрацията добавете следния ред, най-долу, във файла /wp-admin/.htaccess:

ErrorDocument 401 default

2. Променете паролата и потребителското име за достъп до системата

Добре е да смените паролата по подразбиране, която се задава от системата при първоначалната инсталация, и да изберете сигурна, силна и сложна парола.

Редовно променяйте паролата за достъп до администрацията. Ползвайте силни пароли, които съдържат малки и големи букви, цифри и специални символи.

  1. Не използвайте поредни цифри или букви.
    Пример: 123456, abcdef и др.
  2. Не използвайте личното си име, фамилия, телефонен номер, ЕГН, прякор, както и всяка друга информация, която е или би могла да стане публично достъпна, вследствие на което паролата да бъде налучкана от недоброжелатели.
  3. Не използвайте често срещани комбинации.
    Пример: 13579, asdasd, 1q2w3e4r, qwertyuiop, admin, password, administrator и т.н.
  4. При избора на парола, можете в избраната дума да заместите някои от символите в паролата по схемата букви = цифри.
    Пример:
    I=1, L=1, A=4, T=7, E=3, g=9, о=0, и т.н. По тази схема, примерно думата ‘hosting’ може да се изпише като ‘Hos71n9′.
  5. Използвайте комбинации от цифри, малки и главни букви. Дългите пароли (над 7 или 8 символа) дават по-голяма сигурност.

Няколко съвета при избора на подходяща парола

Потребителското име admin, което също е по подразбиране и е едно и също за всички инсталации на системата, може да бъде променено. Промяната можете да извършите, чрез достъп до phpMyAdmin, през контролния панел.

След като достъпите phpMyAdmin може да изпълните sql заявка за подмяна на потребителя admin с потребител siteadmin, в таблицата wp_users, в базата данни:

update wp_users set user_login='siteadmin' where user_login='admin';

Ако сте задали друг префикс (различен от wp_) за таблиците в базата данни, трябва да зададете коректното име за таблицата wp_users, в sql заявката.

info-icon Важно: Преди да правите промени препоръчително е да направите архив на базата данни. Можете да направите експорт на базата данни от phpMyAdmin и да запазите локално копие при вас.

3. Скриване на версията на WordPress

Във файл header.php на темата, която сте активирали, може да потърсите реда:

<meta name="generator" content="WordPress <?php bloginfo(’version’); ?>" />
<!-– leave this for stats please -->

Може да изтриете този ред, или само частта показваща версията на системата:
<?php bloginfo(’version’); ?>" />

Ако използвате по-стара версия на системата WordPress всеки може да види изходният код и да използва информация за опит за злоупотреба.

4. Забрана за показване/листване на съдържанието на директориите

При по-старите версии на системата WordPress, чрез достъпване на уеб адресите:

http://my-domain.com/wp-content и  http://my-domain.com/wp-includes

има възможност да се види съдържанието на тези директории и да се достъпват/разглеждат файловете.

Чрез добавянето на един ред във файла .htaccess, който файл трябва да се намира в основната директория на сайта, се извършва забраната за показване на съдържанието. Редът е:

Options -Indexes

5. Проверете ролята на потребителите, които се регистрират

По подразбиране в WordPress не е активирана възможността за регистрация на нови потребители. Тази опция може да се променя от меню "Настройки". В случай, че активирате възможност потребители да се регистрират, можете да определите и каква роля да имат в самия сайт. Препоръчително е ролите по подразбиране да бъдат "Потребител". В случай, че някой потребител трябва да има достъп до администрацията на сайта и да може да променя и добавя съдържание, можете конкретно за потребителя да промените ролята.

С активацията на възможността за регистрация на потребители силно препоръчително е да добавите и допълнителна анти спам защита на формата за регистрация. Такива анти-спам защити са например добавянето CAPTCHA код. Captcha кодът представлява произволен код, най-често от букви и цифри, който трябва да се въведе от потребителя при регистрация, публикуване на съдържание, коментар или др. Така се прави верификация дали е автоматичен бот или реален потребител. Инсталацията и активацията на Captcha код при формите за регистрация, намалява драстично опитите за автоматични (спам) регистрации, които целят публикуването на спам съдържание във вашия сайт.

Инсталация и активация на reCaptcha код в WordPress

6. Абонирайте се за новини от блога на разработчиците на системата

Когато за системата бъде пуснато обновление/нова версия или поправка на пропуск/дупка в сигурността на системата, то тези новини ще бъдат публикувани в този блог:

http://wordpress.org/news/feed

При версиите на системата има основни версии, например 2.9, 3.0, 3.1 и т.н. и под-версии, например 2.9.1, 2.9.2, 3.0.1, 3.1.1 и т.н. В под-версиите са извършени поправки на кода и пропуските/дупките в сигурността, пропуснати в основната версия.

Силно препоръчително е възможно най-скоро, след като излезе нова под-версия (например 3.1.3) да се извърши обновяване на системата. Също така, може, когато излезе нова основна версия (например 3.1) да не извършвате веднага обновяването, а да изчакате докато бъде публикувана нейна под-версия (например 3.1.2, 3.1.3 и т.н.).

По този начин възможно най-ефективно ще се предпазвате от опити за злонамерен достъп. От голямо значение е да се извършва ъпдейт и на инсталираните към системата плъгини.

Необходимо е възможно най-скоро при наличието на обновление/ъпдейт, да извършвате обновяване и на всички допълнителни приложения, които ползвате към системата WordPress.

 

7. Резервен архив на вашия сайт

Препоръчително е редовно да извършвате бекъп на файловете и базата данни към вашия WordPress. Съществуват плъгини, които могат да ви помогнат да извършвате бекъп на базата данни - директно през администрацията на системата.
Ако не ползвате плъгин, може да направите бекъп на сайта през контролният панел на хостинг акаунта.

Бекъп на базата данни може да се направи Backups/Бекъпи -> от секцията "Частични бекъпи" , където можете да свалите избраната база данни като .sql файл.
Бекъп на файловете: Сваляне на архив на home директорията

8. Плъгини към WordPress за допълнителна защита

Налични са и много плъгини за допълнителна защита на системата, като например промяна на URL адреса на администрацията, добавяне за брой неуспешни опити за достъп, след което се блокира възможността за достъп до администрацията на сайта и др.

Едни от най-популярните са:

Limit Login Attempts

User Locker

Better WP Security

Hide Login

Част от тези плъгини имат включени и функционалности за изброените по-горе препоръки.

При ползването на подобни плъгини трябва да имате предвид, че може да възникне конфликт с някой конкретен плъгин или тема на вашия сайт. Затова преди да инсталирате и активирате плъгин, препоръчително е да направите архив на сайта.

500px270px
SuperHosting.BG
    WordPress
  • Активиране на Redis в WordPress (с Redis Object Cache)
    В WordPress може да бъде активирано кеширане с Redis, чрез ползване на допълнителен плъгин. Има различни плъгини, които дават възможност за ползване на Redis в WordPress, два от които са... »
  • Ръчна промяна на URL адреса (домейна) на WordPress сайт
    Преди да преминете към промяна на URL адреса на вашия WordPress сайт, трябва да имате предвид как и къде точно е записан той в базата данни. Така ще можете да... »
  • Активиране на Redis в WordPress (с W3 Total Cache)
    В WordPress може да бъде активирано кеширане с Redis, чрез ползване на допълнителен плъгин. Бележка: Преди да активирате Redis във вашия сайт, уверете се, че Redis е активиран в cPanel ->... »
  • Инсталация на WP-CLI
    WP-CLI е инсталиран на всички сървъри за споделен Linux хостинг, при СуперХостинг.БГ. В cPanel -> WordPress Manager by SuperHosting -> WP-CLI можете да видите дали WP-CLI е активиран за хостинг... »
  • Активиране на SSL - WordPress Manager by SuperHosting
    През WordPress мениджъра можете, с един клик на мишката, да инсталирате SSL сертификат и да го конфигурирате за работа с вашия WordPress сайт. Преди да е възможно да инсталирате SSL сертификат,... »
Всички права запазени © 2005-2017 , www.superhosting.bg