Если у вас сайт на WordPress, уделять внимание безопасности очень важно. Безопасности блогов и сайтов на WordPress постоянно что-то угрожает. Часто вы узнаете о прорехе в безопасности тогда, когда уже поздно.

Лучше позаботиться о том, чтобы угрозы не материализовались, чем реагировать позже. Забота о безопасности WordPress может быть лучшим, что вы делали.

Вот 5 угроз безопасности WordPress, на которые вы должны обратить внимание, а также способы их предотвращения.

1. Логин при использовании разных комбинаций

Неавторизованные пользователи могут совершать попытку логина, используя комбинации имен и паролей. С помощью доступных им программ и инструментов они, в конце концов, смогут получить логин и пароль. Этот метод называется брутфорс.

Но у нас есть хорошая новость: вы можете предотвратить это, установив плагин. Плагин Limit Login Attempts устанавливает ограничение на количество попыток логина, которые может сделать пользователь. При превышении этого количества пользователь блокируется.

Читайте также: Как ограничить число попыток входа в консоль WordPress

2. Подтверждение информации для входа

Основной недостаток текущей формы авторизации WordPress в том, что он информирует о том, какая часть информации введена неверно. Например, если имя пользователя правильное, а пароль неверен, WordPress сообщит об этом пользователю. Это упрощает использование брутфорса, поскольку взломщик точно знает, что нужно изменить — логин или пароль.

Это можно исправить, вставив следующий код в файл functions.php вашей WordPress темы:

function failed_login () {
    return 'the login information you have entered is incorrect.';
}
add_filter ( 'login_errors', 'failed_login' );

3. Открытая глобальная регистрация

Каждый человек из любой точки мира может зарегистрироваться на вашем сайте. Эта возможность есть у всех WordPress сайтов, но по умолчанию она отключена. Если вы не нацелены на всемирную аудиторию, вам стоит оставить эту опцию выключенной.

Чтобы убедиться, что она выключена, перейдите в консоли во вкладку Параметры → Общие настройки. Убедитесь, что напротив пункта Членство не стоит галка "Любой может зарегистрироваться". Также на всякий случай установите роль "подписчик" как роль по умолчанию для нового пользователя.

Читайте также: Роли пользователей WordPress: разбираемся, кто есть кто

4. Доступ для редакторов

То, что владельцы WordPress сайтов предоставляют доступ редакторам — обычная ситуация. Хотя это помогает в разработке и верстке сайта, это также приводит к риску того, что кто-то получит доступ к вашей консоли. Через нее он сможет изменять тему, разметку, фон вашего сайта и так далее. Добавьте в ваш файл functions.php следующую строку, чтобы предотвратить несанкционированный доступ:

define ( 'DISALLOW_FILE_EDIT', true );

5. Версия WordPress

Любой человек с базовыми знаниями WordPress сможет узнать, какую версию платформы использует ваш сайт. Затем он сможет использовать конкретные слабые места этой версии платформы, чтобы получить доступ к вашему сайту. Вы можете предотвратить это, изменив информацию в метаданных шапки и в файле readme.html.

Чтобы изменить метаданные, используйте следующий код:

function remove_wp_version () {
    return '';
}
add_filter ( 'the_generator', 'remove_wp_version' );

Что касается файла readme.html, просто измените заголовок на что угодно, что придет вам в голову. Только убедитесь, что это не будет расшифровано взломщиком. Вы можете вообще удалить его, если захотите, или просто удалить версию из файла.

Заключение

Мы рассказали о пяти угрозах безопасности WordPress, на которые вы должны обратить внимание, а также о способах их предотвращения. Конечно, это не единственные риски, с которыми вы столкнетесь при работе с сайтом на WordPress. Есть много способов и трюков, которые вы можете использовать, чтобы сделать ваш сайте надежным и защищенным от попыток вмешательства или взлома. Начните с этих пяти угроз, чтобы встать на правильный путь.

Источник: WP.tutsplus.com

Вам понравился материал?

Добавить комментарий

Такой e-mail уже зарегистрирован. Воспользуйтесь формой входа или введите другой.

Вы ввели некорректные логин или пароль

Извините, для комментирования необходимо войти.

6 комментариев

сначала новые
по рейтингу сначала новые по хронологии

А вы не в курсе, я создал новую роль в WP, с правами редактора добавлять мультимеди файлы, но с модерацией постов. В консоли у этого пользователя есть доступ к Category & Page I c o n s, как ограничить?

Поищите плагин, который умеет добавлять новые роли пользователей с определенным набором прав.

3.5.1
Пункт 2 не работает
Пункт 4 запрещает редактировать тему всем, даже администраторам
За Пункт 1 спасибо

Пункт 2 не работает из-за ошибки, после текста должен быть прямой апостроф а не письменный, и точка с запятой, так - ..is incorrect.';

Спасибо, исправили!

Спасибо за полезный материал.