Как защитить свой блог на wordpress. Защита блога WordPress: продолжение
Несмотря на то, что WordPress очень хорошо защищен, всегда остаются уязвимости. Разработчики WordPress весьма оперативно закрывают найденные дыры, но не стоит расслабляться! В этой статье Вы узнаете как можно и нужно увеличить защиту своего блога. Перед тем как начать обязательно сделайте бэкап базы и всех файлов.
1. Во время установки обязательно генерируйте сложные пароли к MySQL состоящие из букв, цифр и различных знаков. После установки не изменяйте пароль для входа в админку сгенерированный WordPress"ом на свой - более легкий. Также генерируйте значения для строк AUTH_KEY, SECURE_AUTH_KEY, LOGGED_IN_KEY, NONCE_KEY. Генератор можно найти .
2. Обязательно меняйте префикс таблиц WordPress в базе данных (вместо wp_ ставьте например первые две буквы Вашего домена). Менять его нужно во время установки!
3. У каждой версии WordPress есть свои уязвимости и знание установленной версии сильно облегчит жизнь злоумышленнику. Чтобы версия движка не отображалась в коде, необходимо зайти в редактор шаблона, открыть header.php и удалить следующую строчку: " />. Также добавьте строку в файл functions.php в Вашей теме.
4. Версию WordPress можно также узнать из файлов readme.html и license.txt - просто удалите их.
5. Чтобы никто не рыскал по серверу откройте редактором файл search.php и строчку замените на . Если ее нет - все нормально.
6. Не используйте TotalComander для соединения по FTP - через него очень просто украсть пароли. Также можно использовать соединение по SSH. Для этого понадобится .
7. Запретите индексацию системных папок через robots.txt. Об этом можно почитать в моей статье " ."
8. По умолчанию WordPress создает акк admin. Изменить имя уже нельзя, но если очень хочется... Дело в том, что если не менять имя, то злоумышленнику нужно подобрать только пароль. Чтобы изменить имя нужен опыт работы с phpMyadmin и внесении изменений в MySQL. Если не уверены - не беритесь. Ну или попросите кого-нибудь. Также напоминаю про бэкап БД. Зайдите в phpMyadmin и перейдите к БД Вашего сайта. Затем найдите таблицу users и строку user_login. Замените имя admin на любое другое.
9. Используйте сложные пароли для вашего аккаунта. Для генерации и хранения можно использовать . Также рекомендую менять пароль каждый месяц.
10. Закройте директорию /wp-admin паролем. В этом поможет плагин . После установки зайдите в Настройки -> AAPassPro и введите имя пользователя и пароль. Опция «Protect Admin Folder Immediately?» должна быть при этом включена.
11. Если у вас статический ip, то можно ограничить доступ по ip-адресу. Для этого также понадобится плагин . Как альтернативу можно использовать плагин , который блокирует доступ по ip после заданного вами числа неудачных попыток.
12. Если на вашем блоге есть картинки, то не позволяйте ими пользоваться другим. Часто вместо того, чтобы скопировать картинку и разместить ее у себя просто ставят ссылку на источник картинки. Это нагружает сервер и расходует ваш трафик. Защитить себя можно установкой плагина .
13. Закройте список плагинов. Для этого нужно создать пустой index.php и закинуть его в http://*ваш домен*/wp-content/plugins/ или вписать в начало файла.htaccess следующую строку: Options All -Indexes
14. Защитите файл wp-config.php. Все что нужно это добавить строчку deny from all в корневой файл.htaccess
15. Регулярно обновляйте WordPress и плагины. Возможно в новой версии пофиксили какой-нибудь баг или уязвимость.
16. Деактивируйте плагины, которые вы не используете. Они могу содержать уязвимости.
17. Запретите регистрацию пользователей. В WordPress одна админ панель для всех, только с разным набором функций (взависимости от уровня прав), чем и пользуются злоумышленники.
18. Установите плагины: - предупреждение и защита от XSS-атак блога и - показывает в админке измененные файлы.
19. Регулярно делайте бэкап базы данных. Для этого установите плагин и настройте автоматическую отправку на почту.
Здравствуйте, друзья! Сегодня я продолжу и описание того, как защитить сайт от взлома . Как вы, наверное, уже поняли из предыдущего поста, этому надо уделить значительное внимание, чтобы не потерять нажитое непосильным трудом.
В сегодняшней статье я уделю внимание нескольким пунктам, которые, на мой взгляд, являются наиболее важными в защите вашего проекта и которыми пренебрегать никак нельзя. Еще раз повторюсь, не откладывайте в долгий ящик то, что может гарантированно защитить ваш проект! В прошлой статье я рассказал, каким образом можно поменять логин и пароль входа в админ панель блога Вордпресс. То же самое необходимо проделать с .
Это можно сделать в самой админ панели, например на Спринтхост , которым я пользуюсь (кстати, его рекомендую и вам, поскольку за все время работы с ним не имел вообще никаких проблем), есть специальная ссылка «Смена пароля» , кликнув по которой, можно попасть непосредственно на страницу редактирования:
Я думаю, на каждом хосте должна быть подобная функция, поищите в админке. Пароль необходимо поменять на очень сложный, с использованием цифр и букв со сменой регистра (маленькие и заглавные буквы), ставьте сразу знаков 20-25, чтобы быть спокойным.
Способы защиты блога WordPress от взлома
Описанный выше шаг очень важен и существенен в деле защиты ресурса и обеспечения общей безопасности, поскольку позволяет в комплексе решить проблему (надежные пароли входа в админ панели wordpress+хост). Теперь по пунктам, что еще необходимо соблюдать и что необходимо предпринять, чтобы защитить сайт.
Как видите из скриншота, эта строчка должна исчезнуть, и я уверен, что так оно и будет. Таким нехитрым способом мы еще немного приблизились к тому, чтобы максимально защитить сайт от взлома.
3. Следующий шаг - отключение сообщения об ошибке авторизации. Дело в том, что Вордпресс по умолчанию выдает предупреждение о неправильно введенном пароле , тем самым давая дополнительный шаг нечистым на руку людям и ослабляя защиту сайта:
Add_filter("login_errors",create_function("$a", "return null;"));
Теперь надпись, предупреждающая о некорректно введенном пароле, не будет выводиться, следовательно, это еще один плюсик в дело укрепления безопасности.
4. При необходимости нужно изменить права доступа для папок. Подробно о том, какие права и как их установить, я подробно описывал .
Order allow,deny deny from all
Такая запись закроет доступ к очень важному файлу wp-config.php. Еще один шаг к тому, чтобы качественно защитить свой блог WordPress.
6. Обязательно вовремя обновляйте WordPress и все необходимые плагины, поскольку старые версии содержат много дыр, через которые вполне можно получить доступ к ресурсу. Особенно желательно следить за теми плагинами, которые давно не обновлялись и заменить их аналогичными по функционалу, но более надежными в плане безопасности.
7. И наконец, если у вашего хостера есть такая услуга, можете приобрести сертификат SSL, который обеспечит соединение сайта по безопасному протоколу https. А вообще, я планирую уделить безопасному соединению внимание в дальнейшем, потому как эта тема чрезвычайно важна.
Здравствуйте читатели и посетители блога сайт!
В этой статье отведу особое место очень важной теме. Сегодня буду рассказывать о том, как защитить свой блог под управлением популярной от взлома недоброжелателей.
Как защитить wordpress от взлома? В чём заключается ?
Нужна ли Вам защита wordpress?
Согласно статистике, основная масса начинающих вебмастеров даже не думают об этом. , сайты, нашпиговывают их плагинами, пишут кучу статей.
Озарение наступает позже, когда их драгоценный раскрученный ресурс с хорошей посещаемостью просто взламывают злоумышленники.
Цель у взломщиков может быть разная: от размещения на Вашем блоге различной рекламы до полного присвоения блога себе или полного удаления.
И если Вы читали внимательно мою предыдущую статью о том, и уже применяете эти знания на практике, то Вы будите в выигрыше. Вы всегда сможете его восстановить.
Однако, зачем тратить свое драгоценное время на восстановление своего ресурса, когда его можно просто заранее обезопасить. Сэкономленное время и нервы Вы сможете направить на , оптимизации блога или изучения новой и полезной информации. Это будет намного эффективнее.
Так что советую Вам изучить данную статью и сразу же применить полученные знания по защите WordPress на практике.
В том случае если у Вас молодой блог, и Вы считаете, что никто не будет его взламывать, то может Вы и правы.
Но ведь когда то он будет более узнаваем и посетителей станет больше. Он окажется лакомым куском для взломщиков. Это может произойти в любой день, поэтому предлагаю Вам сейчас же, без отлагательств обезопасить свой блог.
Методики, которые я буду описывать, просты в применении и эффективны. Все описанные способы опробованы мной на практике, действуют и дали положительный результат.
Какова же реальная ? Итак, начнем.
Способы защиты wordpress от злоумышленников
1. Измените стандартный логин в WordPress на свой .
По умолчанию WordPress предлагает Вам для авторизации в системе логин admin, который нельзя изменить в самой административной панеле блога. Вам нужно его изменить на любой другой.
Для этого необходимо войти в панель управления вашего хостинг-провайдера, кликнуть по вкладке Mysql и затем зайти в Php My Admin. Логин и пароль для входа предоставляет .
При входе на главной странице в левой колонке кликаем по . Нам откроется список всех таблиц нашей базы. Нажимаем на пункт под названием wp_users. Обратите внимание на верхнюю панель Php My Admin- должна быть открыта вкладка «Обзор»!
После этого в строке админ нажимаем на Изменить и в появившемся полях меняем логин admin в двух местах на свой.
Не забудьте после этого нажать кнопку Ок, которая находится в нижней части таблицы(на скриншоте не указана):
2. Придумайте и создайте надежный пароль для входа в админку сайта .
Стоит заметить, что существуют различные плагины, которые ограничивают попытки ввода пароля в админку. Например не более трех раз. После этого они блокируют доступ на определенное время.
Один из таких плагинов Login LockDown или Limit Login Attempts.
Однако, постоянные читатели моего блога знают, что я не люблю плагины из-за того, что в них много лишнего, они дополнительно и созданы незнакомыми мне людьми.
Я всеми силами стараюсь заменять кодами на своем блоге и Вам советую поступать также. Хотя выбор каждый делает сам.
Вместо этих плагинов, я предлагаю придумать надёжный пароль к админке сайта, состоящий из цифр, букв и знаков препинания.
У меня, например, пароль к админке состоит из более чем 20 знаков. Так будет надежнее. Поменять пароль проще простого. Вы можете это осуществить в админпанеле своего блога.
Зайдите в меню админки слева во вкладку Пользователи и в выпадающем списке выберите пункт Ваш профиль:
Опуститесь вниз этой страницы и найдите раздел Обо мне. Там будет два поля: Новый пароль и Повторите новый пароль. В этих полях введите свой пароль и не забудьте внизу нажать кнопку Обновить профиль. Вот и всё.
3. Удалите ненужные файлы .
В корне Вашего сайта есть два файла readme.html и license.txt. Они Вам не пригодятся, однако для взломщиков будут весьма полезны.
Они, как раз сообщат нехорошим парням версию Вашей системы WordPress и много другой нужной им информации для взлома.
Также зайдите в админпанель в меню слева во вкладку Внешний вид и в выпадающем списке выберите Редактори откройте файл header.php.
С помощью поиска найдите строчку:
и удалите ее. Она показывает версию Вашей системы WordPress.
Вызвать поиск можно нажав две клавиши Ctrl+F. Откроется окошко поиска. Вот туда и нужно ввести эту строку. Затем нажать Enter.
Если похожая комбинация есть в коде файла, она подсветится. Если такой строчки нет, будет написано: Ничего не найдено. В таком случае можете успокоиться. Ничего делать не нужно
4. Делайте резервное копирование базы данных и файлов
Хочу только уточнить, что я уже не пользуюсь плагином wordpress database backup, а копирую базу данных вручную с Php MyAdmin.
Автоматизация конечно хорошо, но безопасность важнее. Мне не составляет труда потратить 2-3 минуты на копирование базы. Себе я больше доверяю, нежели плагину.
Надеюсь Вы сможете экспортировать свою базу данных из Php на свой компьютер. Если не знаете как это сделать-задавайте вопросы, помогу!
5. Закройте обзор своих директорий.
Зайдите в файл.htaccess в корне Вашего сайта через Фтп-клиент. Подробно как это осуществить, читайте ту же статью о Резервном копировании сайта.
И пропишите дополнительную строку:
Options All -IndexesЭта команда позволит закрыть обзор директорий.
Затем проверьте директории:
1. http://ваш блог/wp-content/ 2. http://ваш блог/wp-content/plugins/Пропишите их поочерёдно в адресную строку браузера. После их открытия в браузере не должно быть видно файлов и папок этих директорий.
Если что-то есть, то необходимо исправить ситуацию. Откройте их через Фтп клиент и отредактируйте.
Для этого создайте в каждом из директорий пустой файл index.php. Это простой текстовый файл с расширением.php. Создайте его с помощью Блокнота или Notepad++ и закачайте в директории на сервер.
После нововведений, при открытии каждой из директорий через браузер, должна появляться пустая страница!
6. Смените стандартную страницу входа в админпанель.
В настоящее время участились атаки мошенников по подбору логина и пароля к панели администрирования системы wordpress. Нехорошие парни используют десятки тысяч IP- адресов!
Эта стратегия дает им огромное преимущество. Мы уже ранее поменяли стандартный логин и придумали надежный пароль к своей админпанеле.
Ну а теперь зададим еще одну задачу для хакеров — отыскать наш адрес входа в панель администрирования.
Стандартный адрес страницы входа в панель WordPress: ваш блог/wp-login.php или ваш блог/wp-admin . Мы создадим сейчас свой адрес входа.
Опять же можно это сделать проще- с помощью плагинов, но это не для меня. Тяга к программированию и различным экспериментам не даст мне воспользоваться ими.
Итак, как же изменить адрес входа в админку WordPress вручную? Найдите файл wp-login.php в корневой папке блога.
Осуществляйте все действия по порядку:
- Измените название самого файла wp-login.php на любое другое(например, open.php)
- Скопируйте это название в буфер проводника и откройте переименованный файл open.php и с помощью текстового редактора Notepad ++ замените все слова wp-login.php на open.php.
- Затем откройте другой файл wp-includes/general-template.php и замените все wp-login.php на open.php.
После таких операций адресная строка входа в админпанель сменится с http://ваш блог/wp-login.php на http://ваш блог/open.php
И ещё хочу напомнить, что если Вы до сих пор пользуетесь стандартным виджетом «Мета» - то удалите его, потому как при наведении на эту ссылочку «Войти» виден адрес страницы входа, а значит все усилия по изменению адреса входа напрасны.
Но это ещё не всё. Вы поменяете адрес входа в админку, но нсли мошенник введёт в адресную строку http://ваш блог/wp-admin, то его перенаправит (осуществится редирект) на тот адрес входа в админ-панель, который Вы создали.
Поэтому нам нужно сделать редирект с http://ваш блог/wp-admin на гланую страницу Вашего блога. Читайте далее.
7.Сделайте редирект с wp-admin на Ваш блог.
Сделать это не сложно. Откройте в панели администрирования слева в меню Внешний вид, затем выберите Редактор. Выберите файл для редактирования. В данном случае нас интересует файл Функции темы (functions.php)
Между и ?> Вам нужно вставить следующий код:
add_action("init", "blockusers_init"); function blockusers_init() { if (is_admin() && ! current_user_can("administrator") && ! (defined("DOING_AJAX") && DOING_AJAX)) { wp_redirect(home_url()); exit; } }Потом просто нажмите внизу кнопку «Обновить файл». Вот и всё. Редирект мы сделали.
- проверьте все установленные плагины и удалите неиспользуемые;
- сразу же и плагинов как только приходит информация об обновлении;
- создайте сложный пароль на панель управления хостингом и базу данных;
- закачивайте файлы на сервер только через панель управления и Php My Admin, а не через Фтп-клиенты;
И ещё одна полезная рекомендация. Если Вы считаете, что не справитесь с этим и Вам нужна помощь в защите своего ресурса, то пишите на почту суперпрограммисту, моему партнёру и просто отличному специалисту — Дмитрию Горунину: [email protected]
Ну вот в принципе и всё! Надеюсь был полезен. До встречи в новых статьях!
Не забудьте подисаться на обновления сайта внизу этой статьи, чтобы не пропустить полезную информацию.
Инбаунд-маркетинг работает, и мы доказываем это не первый год. Поэтому компании все чаще загораются идеей завести блог. Они находят копирайтеров и дизайнеров, пишут цепляющий контент, и… все. На этом все почему-то прекращается. У многих блог так и остается невоплощенной идеей.
Проблема в том, что не все понимают, как запустить сам блог. Возникают какие-то технические вопросы, а статьи про WordPress написаны таким языком, что не всякий специалист их разберет.
В этой статье я расскажу именно про WordPress, потому что это самая популярная и удобная система управления контентом (CMS). На нем проще всего сделать блог и работать с ним — в вашем распоряжении простая админка и множество различных плагинов.
Итак, что же нужно сделать, чтобы создать блог на WordPress?
Шаг 1. С чего начинается хороший блог
Хороший блог всегда начинается с подготовки. Для начала вам нужно понять, для кого вы пишете. Чтобы это выяснить, изучаем .
Чтобы понять, о чем писать, составляем . И только после того, как вы познаете боль клиентов, можно приступать к работе с контентом и к установке блога.
Шаг 2. Делаем прототип и дизайн
Прототип — это визуальное представление вашего блога. Обычно он выглядит как черно-белая или цветная схема блога.
Прототип нужен, чтобы визуально представить блог. На этом этапе вы только размещаете нужные элементы, смотрите, как они сочетаются (или не сочетаются). Среди самых важных элементов:
- сами статьи;
- формы подписки;
- поиск по блогу;
- рубрики;
- метки.
Дизайн у каждого блога, разумеется, свой. Дам несколько полезных советов.
- Не используйте шаблонный дизайн — станете одной из тысячи компаний с таким же блогом, как у вас.
- Пользуйтесь фирменным стилем компании.
- Шапка блога и шапка основного сайта должна быть одинаковой. У читателей не должно быть ощущения, что он перешел с сайта неизвестно куда.
- Заказывайте дизайн у профессионалов.
- Заранее проработайте стиль иллюстраций в блоге. Это тоже контент, он должен быть уникальным.
Шаг 3. Решаем технические вопросы
Даже если вы не мечтаете о карьере вебмастера, нужно понимать, как установить блог. Эти знания не только пригодятся в работе, но и помогут не стать жертвой горе-программистов, за которыми приходится убирать косяки (то есть нанимать еще одного программиста).
Перед тем, как ставить блог, нужно определиться, где его разместить. Иными словами, по какому адресу блог будет доступен. Сейчас расскажу почему это так важно.
Отдельный домен
Отдельный домен — это по сути самостоятельный сайт, который вы создаете для блога. В этом случае вы никак не связываете сайт и блог. Такой вариант подходит, если вы планируете развивать блог как отдельный бренд, независимый от сайта.
Но если вы хотите вести инбаунд-маркетинг, блог на отдельном домене — не лучший выбор. Ведь, вся суть инбаунда — продвижение сайта в поисковой выдаче через множество полезных статей. Чем больше статей, тем больше посетителей в блоге, тем больше других сайтов ссылаются на ваш блог.
Поддомен или домен третьего уровня
Сейчас будет немного сложно, но я все объясню на примере. Поддомен — это домен, который является частью домена более высокого уровня.
Например, разберем адрес блога Tilda Publishing. Его адрес - blog.tilda.cc . Это поддомен tilda.cc , а он, в свою очередь, - поддомен для .cc .
SEO-специалисты считают, что поисковики воспринимают поддомены как отдельные сайты. В этом случае мы сталкиваемся с теми же трудностями в продвижении, как и с блогом на отдельном домене.
Но есть ситуации, когда блог можно поставить только на поддомен. Например, если на вашем сайте хранится очень важная информация (вы — банк или платежная система). В таком случае лучше подстраховаться и сделать блог на поддомене. Всеми известный «Тинькофф Журнал» так сделал и не переживает.
Директория
Наилучший вариант со стороны SEO и удобства. В этом случае блог — раздел сайта и они составляют одно целое.
Блог в директории сайта наследует его авторитетность и индексируется быстрее, чем на отдельном домене. А вес множества полезных и оптимизированных статей блога будет передаваться и основному сайту. Блог будет помогать сайту подняться в поисковой выдаче.
Так сделана и наша Учебка, которая располагается по адресу . Если есть возможность, выбирайте блог в директории на сайте.
Шаг 4. Устанавливаем WordPress
Вам понадобится:
- Доступ к сайту (shell или FTP) — их можно найти в панели управления хостингом;
- FTP-клиент — например, FileZilla.
Шаг 5. Дальнейшие действия
Теперь можно со спокойной совестью отдавать макет блога на верстку и программирование. Обычно эта работа занимает до 2 недель, этого времени как раз хватит, чтобы написать несколько первых статей.
Когда ваш блог доделают, не забудьте проверить, правильно ли все работает. Не потерялся ли какой-нибудь элемент в блоге (да, бывает и такое), открыт ли он для индексации.
Потом поставьте необходимые плагины, и ваш блог готов! Начинайте публиковать полезные статьи, собирайте большую базу подписчиков и превращайте их в клиентов.
Надеюсь, моя инструкция поможет вам сделать хороший блог на WordPress. А если у вас возникнут сложности — вы можете задавать мне вопрос в комментариях.
Защита сайта на WordPress – важная задача, как для новичка, который запустил свое детище несколько дней-недель назад, и для собственника seo-империи.
К сожалению, вы не в полной мере сможете противостоять взлому блога, работающего на WordPress, так как это самый популярный движок из-за чего многим, даже начинающим хакерам, известны дыры в коде, уязвимости в дополнениях.
Если Вы являетесь обладателем молодого ресурса, придется противостоять немногим недоучкам-взломщикам или людям, которые делают первые шаги в этой сфере. Если Ваш блог начинает набирать обороты, то Вами начинают интересоваться конкуренты.
Первое
Когда Вы создавали аккаунт на хостинге, придумайте и запишите логин и пароль от него в тетради, а не в блокноте, и не сохраняйте документ в моих документах под названием «Мои пароли». Логин создастся один раз при регистрации, его не возможно сменить, Вы только можете создать новый аккаунт и перенести свои блоги, заказать перевод средств.
Когда придумываете пароль и логин используйте как можно больше неповторяющихся букв и цифр, лучше всего вперемешку, не забывайте о возможности изменять регистр.
Скачивайте установочный дистрибутив на официальном сайте wordpress, обходите стороной сборки. Логин и пароль к админ-панели WordPress можете задать при установке движка на хостинг. На момент написания статьи администратор блога может сменить только пароль в своем профиле. Логин меняется путем редактирования базы данных. Об этом я написал очень подробную инструкцию, ее прочтете здесь.
В качестве логинов не используйте банальные слова: admin, administrator, собственное имя, фамилию, отчество, прозвище, игровой или сетевой ник, дату рождения, имена близких родственников, либо простых их комбинации. Обычно такую информацию можно получить, посетив Ваши страницы в социальной сети.
При формировании пароля можете использовать латинский буквы, кириллицу, цифры.
Второе
Изменить префикс таблиц БД возможно двумя способами:
- во время установки WordPress на хостинг
- на работающем блоге.
Третье
Не позволяйте регистрироваться на вашем блоге посетителям. Пока Ваш ресурс малоизвестен, интерес со стороны обычных посетителей к нему минимален. А вот злоумышленники смогут на нем потренироваться. Когда настанет время дать избранным больше прав, используйте другие методы предоставления закрытой информации, чем банальная регистраций: закрытый раздел, платный доступ.
Четвертое
Используйте самую новую версию CMS WordPress, вовремя обновляйтесь: через 2 – 3 дня после появления нового релиза. Благо движок оповестит об этом вовремя, а после появления версии 3.7, он это сделает в автоматическом режиме.
Удаляйте файлы readme.html и license.txt, они находятся, в корне Вашего сайта(рядом с каталогом wp-admin).
Обновите все установленные плагины. Они сами Вас уведомят о возможности это сделать. Не используйте много дополнений, если у Вас есть выбор между установкой плагинов и интеграцией PHP-кода в код шаблона или движка, отдайте предпочтение второму варианту. К примеру, существуют плагины, выводящие кнопки социальных сетей, формы комментирования от Facebook, VK и так далее. Найдите им альтернативу.
Постарайтесь не устанавливать плагины, которые добавляют свой код в общий код страницы, к примеру это делает общеизвестный плагин All in One SEO Pack .
Перед установкой тем Wordpess убедитесь, что в ней нет скрытых ссылок с помощью плагина TAC , не устанавливайте слишком «тяжелый шаблон». Он может представлять опасность для Вашего сайта.
Пятое.
Наберите в вашем браузере адреса:
- http://ваш блог/wp-content/
- http://ваш блог/wp-content/plugins/
Если отображаются названия подкаталогов, которые находятся в каталоге wp-content, значит кто-то удалил файл index.php. Их можете найти в скачанном дистрибутиве на официальном сайте WordPress. можете просто создать пустой файл index.php.
Шестое
Когда человек наберет в адресной строке браузера адрес админ-панели Вашего блога, в форму авторизации впишет неправильный пароль или логин, то вверху появляется сообщение об ошибке на красном фоне.
Откройте functions.php программой Notepad++, он размещен в каталоге Вашей установленной темы. В самом вверху или в низу впишите такую строку:
Она обязательно должна находиться между. После внесенного изменения при ошибочной авторизации на блоге WordPress мы сможем увидеть только красный фон, без уведомления, где именно была допущена ошибка.
Седьмое.
Во время установки движка или обновлении ввести сложные секретные коды в wp-config.php
Они предназначены для аутентификации посетителя, после изменения ключей происходит сброс всех cookies, и посетителю придется заново вводить пароль и логин.
Восьмое.
Поместите в файл.htaccess ниже размещенный код:
order allow,deny
deny from all
order allow,deny
deny from all
Он закроет доступ к файлу wp-config.php и.htaccess.
Девятое.
В каталоге wp-admin отредактируйте файл.htaccess, вставив в него такой код
order deny,allow
deny from all
allow from 95,133,141,149
Замените 95,133,141,149 на свой ip, его поможет определить http://2ip.ru/.
Десятое.
Если публикуете заметки с помощью программы Windows Live Writer , не позволяйте ей запоминать логин и пароль, каждый раз вводя из вручную. То же касается и файлового менеджера, к примеру FileZillla , или Microsoft Word .
Когда выполняете вход в админ панель блога, не позволяйте браузеру запоминать пароль, время от времени чистите куки, удаляйте историю. Выделите для работы с Вашим блогом один браузер, серфите по интернету с помощью любого другого браузера.
Одиннадцатые
$wp_version = "3.6";
Вместо числа 3.6, которое указывает на версию используемого движка, впишите свои. К примеру, я могу их заменить на 3,72. Тогда движок мне укажет о необходимости обновляться сражу же после того, как появиться WordPress 3.73. Потенциальные взломщики, просматривая код страницы, не получат от этого ничего.
или в файл в functions.php шаблона поместить строку:
remove_action ("wp_head", "wp_generator");
Двенадцатое
Установите плагин anti-xss-attack — защитит блог от XSS-атак. Суть его работы в следующем: когда проходят посетители по адресу админки появляется белый экран, в верху которого появляется ссылка. Чтобы перейти на страницу входа в админ панель нужно по ней кликнуть. Многие этого не смогут сделать.
Установите плагин Login LockDown — он позволяет ограничить количество неудачных ввода логина и пароля, а так же время пребывания на страницы авторизации. Если кто-то(или Вы) не успели пройти успешную авторизацию на блоге, плагин пресекает попытки дальнейшего входа в админку блога. Его альтернатива — плагин Limit Login Attempts.
Тринадцатое
Заказывайте бекап файлов и БД на хостинге хотя бы раз в 3 – 4 дня, если конечно Вы часто пишите. Если же публикуется 1 заметка в неделю, то и бекапить блог можно раз в неделю.
Четырнадцатое
- Установите плагин WordPress WP-DB-Backup, http://wordpress.org/extend/plugins/wp-db-backup/ Он позволяет настроить авто рассылку резервных копий базы данных на электронный ящик или сохранить ее на жесткий диск.
- WP-DBManager — http://wordpress.org/plugins/wp-dbmanager/ позволяет наладить получение резервной копи БД , оптимизировать блог, но он обладает более расширенными настройками.
- wp Time Machine (for Backups) — http://wordpress.org/plugins/wp-time-machine/ позволяет создавать резервную копию файлов и БД и отправлять ее на Dropbox, Amazon"s S3, указанный FTP-host.