Больше результатов...

Generic selectors
Только точные совпадения
Искать в заголовках
Искать в контенте
Post Type Selectors
Filter by Categories
FAQ
Hostenko
Вдохновение
Видеоуроки
Новости
Плагины
Темы
Уроки
Хаки

Если у вас сайт на WordPress, уделять внимание безопасности очень важно. Безопасности блогов и сайтов на WordPress постоянно что-то угрожает. Часто вы узнаете о прорехе в безопасности тогда, когда уже поздно.

Лучше позаботиться о том, чтобы угрозы не материализовались, чем реагировать позже. Забота о безопасности WordPress может быть лучшим, что вы делали.

inet.ws - Powerful VPS Hosting in the USA, Canada, UK and DE!

Вот 5 угроз безопасности WordPress, на которые вы должны обратить внимание, а также способы их предотвращения.

1. Логин при использовании разных комбинаций

Неавторизованные пользователи могут совершать попытку логина, используя комбинации имен и паролей. С помощью доступных им программ и инструментов они, в конце концов, смогут получить логин и пароль. Этот метод называется брутфорс.

Но у нас есть хорошая новость: вы можете предотвратить это, установив плагин. Плагин Limit Login Attempts устанавливает ограничение на количество попыток логина, которые может сделать пользователь. При превышении этого количества пользователь блокируется.

Читайте также: Как ограничить число попыток входа в консоль WordPress

2. Подтверждение информации для входа

Основной недостаток текущей формы авторизации WordPress в том, что он информирует о том, какая часть информации введена неверно. Например, если имя пользователя правильное, а пароль неверен, WordPress сообщит об этом пользователю. Это упрощает использование брутфорса, поскольку взломщик точно знает, что нужно изменить — логин или пароль.

Это можно исправить, вставив следующий код в файл functions.php вашей WordPress темы:

function failed_login () {
    return 'the login information you have entered is incorrect.';
}
add_filter ( 'login_errors', 'failed_login' );

3. Открытая глобальная регистрация

Каждый человек из любой точки мира может зарегистрироваться на вашем сайте. Эта возможность есть у всех WordPress сайтов, но по умолчанию она отключена. Если вы не нацелены на всемирную аудиторию, вам стоит оставить эту опцию выключенной.

Чтобы убедиться, что она выключена, перейдите в консоли во вкладку Параметры → Общие настройки. Убедитесь, что напротив пункта Членство не стоит галка "Любой может зарегистрироваться". Также на всякий случай установите роль "подписчик" как роль по умолчанию для нового пользователя.

Угрозы безопасности WordPress, на которые стоит обратить внимание

Читайте также: Роли пользователей WordPress: разбираемся, кто есть кто

4. Доступ для редакторов

То, что владельцы WordPress сайтов предоставляют доступ редакторам — обычная ситуация. Хотя это помогает в разработке и верстке сайта, это также приводит к риску того, что кто-то получит доступ к вашей консоли. Через нее он сможет изменять тему, разметку, фон вашего сайта и так далее. Добавьте в ваш файл functions.php следующую строку, чтобы предотвратить несанкционированный доступ:

define ( 'DISALLOW_FILE_EDIT', true );

5. Версия WordPress

Любой человек с базовыми знаниями WordPress сможет узнать, какую версию платформы использует ваш сайт. Затем он сможет использовать конкретные слабые места этой версии платформы, чтобы получить доступ к вашему сайту. Вы можете предотвратить это, изменив информацию в метаданных шапки и в файле readme.html.

Чтобы изменить метаданные, используйте следующий код:

function remove_wp_version () {
    return '';
}
add_filter ( 'the_generator', 'remove_wp_version' );

Что касается файла readme.html, просто измените заголовок на что угодно, что придет вам в голову. Только убедитесь, что это не будет расшифровано взломщиком. Вы можете вообще удалить его, если захотите, или просто удалить версию из файла.

Заключение

Мы рассказали о пяти угрозах безопасности WordPress, на которые вы должны обратить внимание, а также о способах их предотвращения. Конечно, это не единственные риски, с которыми вы столкнетесь при работе с сайтом на WordPress. Есть много способов и трюков, которые вы можете использовать, чтобы сделать ваш сайте надежным и защищенным от попыток вмешательства или взлома. Начните с этих пяти угроз, чтобы встать на правильный путь.

Источник: WP.tutsplus.com
inet.ws - Powerful VPS Hosting in the USA, Canada, UK and DE!
Алексей Шевченко
редактор wpcafe
Изучает сайтостроение с 2008 года. Практикующий вебмастер, специализирующийся на создании сайтов на WordPress. Задать вопрос Алексею можно на https://profiles.wordpress.org/wpthemeus/

Комментарии к записи: 6

KeePass:

Спасибо за полезный материал.

ixley:

3.5.1
Пункт 2 не работает
Пункт 4 запрещает редактировать тему всем, даже администраторам
За Пункт 1 спасибо

SDXMX:

Пункт 2 не работает из-за ошибки, после текста должен быть прямой апостроф а не письменный, и точка с запятой, так — ..is incorrect.’;

WordPresso:

Спасибо, исправили!

Юрий:

А вы не в курсе, я создал новую роль в WP, с правами редактора добавлять мультимеди файлы, но с модерацией постов. В консоли у этого пользователя есть доступ к Category & Page I c o n s, как ограничить?

WordPresso:

Поищите плагин, который умеет добавлять новые роли пользователей с определенным набором прав.

Добавить комментарий