Безопасность Вордпресс

Наконец-то я добрался до внедрения известных мне мер безопасности сайта на Вордпресс. Именно в этой статье я попытаюсь систематизировать существующую информацию в данном направлении.

О появлении новых приемов вы можете узнать из моих комментариев, где я буду сообщать, что именно добавилось в эту статью. Поэтому рекомендую подписываться в комментариях, чтобы быть в курсе обновлений и пошагово внедрять все о чем будет здесь написано.

Безопасность WordPress

Georgejmclittle / Shutterstock.com

Благодаря легкому освоению и достаточной гибкости, Вордпресс стал настолько популярен, что привлекает особое внимание не только хакеров, но и тех, кто просто ради интереса хочет на чьем-то сайте испробовать популярные методы взлома. Поэтому, крайне важно применять все возможные средства для обеспечения надлежащей защиты сайта, так как стандартная сборка WordPress находится в опасности перед имеющимся в сети арсеналом средств.

Итак, поехали!

1. Защита WordPress от XSS-инъекций

В языке программирования PHP, на котором написан WordPress, используются функции GET и POST, которые обращаются к переменным GLOBALS и _REQUEST. Именно они являются уязвимостью, воспользовавшись которой хакеры могут произвести XSS-инъекцию (это почти тоже самое, что и SQL-инъекции), чтобы модифицировать эти переменные.

Представленный ниже код позволяет проверять все запросы. Если запрос содержит тег или попытку модифицировать значение переменных GLOBALS и _REQUEST, код просто блокирует его и выдаёт 403-ю ошибку. Чтобы обезопасить свой блог, вставьте этот код в файл .htaccess.

<code>Options +FollowSymLinks</code>
<code>RewriteEngine On</code>
<code>RewriteCond %{QUERY_STRING} (\&lt;|%3C).*script.*(\&gt;|%3E) [NC,OR]</code>
<code>RewriteCond %{QUERY_STRING} GLOBALS(=|\[|\%[0-9A-Z]{0,2}) [OR]</code>
<code>RewriteCond %{QUERY_STRING} _REQUEST(=|\[|\%[0-9A-Z]{0,2})</code>
<code>RewriteRule ^(.*)$ index.php [F,L]</code>

Совет: перед внесением каких-либо изменений рекомендуется создавать резервную копию файла .htaccess.

Продолжение следует…

А пока можете прочесть о том как инженер Google защищает свой WordPress-блог.

Для более серьезной защиты, где крайне необходимо обеспечить конфиденциальность данных, необходимо принимать радикальные меры. Вы можете обратиться в специальные SSL-центры, которые помогают выбрать подходящий SSL-сертификат.

SSL сертификат — это технология, обеспечивающая безопасное соединение между веб-сервером и программным обеспечением клиента. Это гарантирует целостность и сохранность данных, передающихся через защищенное соединение.

Для создания защищенного соединения по протоколу SSL необходим SSL сертификат, который однозначно идентифицирует отдельных пользователей и серверы. Сертификаты Secure SSL ведущих производителей Thawte и GlobalSign можно заказать на сайте ssl.ua сроком от одного до пяти лет.