Если у вас сайт на WordPress, уделять внимание безопасности очень важно. Безопасности блогов и сайтов на WordPress постоянно что-то угрожает. Часто вы узнаете о прорехе в безопасности тогда, когда уже поздно.
Лучше позаботиться о том, чтобы угрозы не материализовались, чем реагировать позже. Забота о безопасности WordPress может быть лучшим, что вы делали.
Вот 5 угроз безопасности WordPress, на которые вы должны обратить внимание, а также способы их предотвращения.
1. Логин при использовании разных комбинаций
Неавторизованные пользователи могут совершать попытку логина, используя комбинации имен и паролей. С помощью доступных им программ и инструментов они, в конце концов, смогут получить логин и пароль. Этот метод называется брутфорс.
Но у нас есть хорошая новость: вы можете предотвратить это, установив плагин. Плагин Limit Login Attempts устанавливает ограничение на количество попыток логина, которые может сделать пользователь. При превышении этого количества пользователь блокируется.
Читайте также: Как ограничить число попыток входа в консоль WordPress
2. Подтверждение информации для входа
Основной недостаток текущей формы авторизации WordPress в том, что он информирует о том, какая часть информации введена неверно. Например, если имя пользователя правильное, а пароль неверен, WordPress сообщит об этом пользователю. Это упрощает использование брутфорса, поскольку взломщик точно знает, что нужно изменить — логин или пароль.
Это можно исправить, вставив следующий код в файл functions.php вашей WordPress темы:
function failed_login () {
return 'the login information you have entered is incorrect.';
}
add_filter ( 'login_errors', 'failed_login' );3. Открытая глобальная регистрация
Каждый человек из любой точки мира может зарегистрироваться на вашем сайте. Эта возможность есть у всех WordPress сайтов, но по умолчанию она отключена. Если вы не нацелены на всемирную аудиторию, вам стоит оставить эту опцию выключенной.
Чтобы убедиться, что она выключена, перейдите в консоли во вкладку Параметры → Общие настройки. Убедитесь, что напротив пункта Членство не стоит галка "Любой может зарегистрироваться". Также на всякий случай установите роль "подписчик" как роль по умолчанию для нового пользователя.
Читайте также: Роли пользователей WordPress: разбираемся, кто есть кто
4. Доступ для редакторов
То, что владельцы WordPress сайтов предоставляют доступ редакторам — обычная ситуация. Хотя это помогает в разработке и верстке сайта, это также приводит к риску того, что кто-то получит доступ к вашей консоли. Через нее он сможет изменять тему, разметку, фон вашего сайта и так далее. Добавьте в ваш файл functions.php следующую строку, чтобы предотвратить несанкционированный доступ:
define ( 'DISALLOW_FILE_EDIT', true );
5. Версия WordPress
Любой человек с базовыми знаниями WordPress сможет узнать, какую версию платформы использует ваш сайт. Затем он сможет использовать конкретные слабые места этой версии платформы, чтобы получить доступ к вашему сайту. Вы можете предотвратить это, изменив информацию в метаданных шапки и в файле readme.html.
Чтобы изменить метаданные, используйте следующий код:
function remove_wp_version () {
return '';
}
add_filter ( 'the_generator', 'remove_wp_version' );Что касается файла readme.html, просто измените заголовок на что угодно, что придет вам в голову. Только убедитесь, что это не будет расшифровано взломщиком. Вы можете вообще удалить его, если захотите, или просто удалить версию из файла.
Заключение
Мы рассказали о пяти угрозах безопасности WordPress, на которые вы должны обратить внимание, а также о способах их предотвращения. Конечно, это не единственные риски, с которыми вы столкнетесь при работе с сайтом на WordPress. Есть много способов и трюков, которые вы можете использовать, чтобы сделать ваш сайте надежным и защищенным от попыток вмешательства или взлома. Начните с этих пяти угроз, чтобы встать на правильный путь.
Источник: WP.tutsplus.com
Комментарии к записи: 6
Спасибо за полезный материал.
3.5.1
Пункт 2 не работает
Пункт 4 запрещает редактировать тему всем, даже администраторам
За Пункт 1 спасибо
Пункт 2 не работает из-за ошибки, после текста должен быть прямой апостроф а не письменный, и точка с запятой, так — ..is incorrect.’;
Спасибо, исправили!
А вы не в курсе, я создал новую роль в WP, с правами редактора добавлять мультимеди файлы, но с модерацией постов. В консоли у этого пользователя есть доступ к Category & Page I c o n s, как ограничить?
Поищите плагин, который умеет добавлять новые роли пользователей с определенным набором прав.