Как инженер Google защищает свой WordPress-блог

В последнее время WordPress обновляется довольно часто, но главная причина не появление новых возможностей, а обнаруженные ошибки безопасности.

Многие популярные авторы становились жертвами взлома. Мэтт Каттс (Matt Cutts), инженер Google, дал три простых совета, как сделать блог на основе WordPress более безопасным:

  1. Запрет посторонним даже пытаться вводить логин/пароль. Для этого создается файл. htaccess в директории /wp-admin/ следующего содержания:
  2. AuthUserFile /dev/null
    AuthGroupFile /dev/null
    AuthName “Access Control”
    AuthType Basic
    order deny, allow
    deny from all
    allow from 64.233.169.99 # в белый список добавлен IP-адрес дома
    allow from 69.147.114.210 # в белый список добавлен IP-адрес работы

    allow from — это правило разрешает доступ к админке только пользователям с разрешенным IP. Правда, нужно иметь в виду пару моментов. Не у всех может быть постоянный IP, он может быть и динамических. Кроме того, блог зачастую ведут несколько авторов.

  3. Создать пустой файл index.html в папке wp-content/plugins/. Это позволяет скрыть данные об установленных у вас плагинах, ведь зачастую они сами могут содержать уязвимости.
  4. Устанавливайте каждую новую версию, каждый патч. В противном случае, блог будет открыт к атакам.

Бонус: Удалите строку:

<meta name=”generator” content=”WordPress <?php bloginfo(’version’); ?>” /> 
<!-– leave this for stats please -->

чтобы злоумышленник не мог узнать текущую версию WordPress (на случай, если вы все-таки не своевременно обновляетесь).

Понравилась статья? Поделиться с друзьями:
Перейти к верхней панели