Для початку, будь-який власник сайту, блогу чи магазину на WordPress, повинен розуміти 4 прості речі:
1. Не буває 100% захищеного сайту або хостингу - будь-яку систему можна зламати, нехай навіть вона пройшла сотні аудитів. А значить до злому завжди потрібно бути готовим і не втрачати пильності;
2. Безпека Вашого проекту багато в чому залежить від Ваших же дій - починаючи від паролів рівня «1234» до роздачі невідомо кому прав доступу і установки невідомих скриптів;
3. Якісний хостер повинен докладати зусиль для захисту своїх серверів від злому, але жоден хостер не займається безпосередньо безпекою Ваших проектів;
Отже, ось ті загальні поради з безпеки, які я можу дати кожному власнику сайту на WordPress.
Плагін Belavir - файли без змін
Плагін Belavir - файли були змінені
Але оновлюватися потрібно розумно - при мажорних зміни (1-2 цифра версії), відразу оновлюватися не варто - краще почекати до виходу наступної версії, в якій помилки нового функціоналу (а такі є завжди) будуть виловлені і виправлені. При мінорних змінити (3+ цифра версії) - можна оновлюватися відразу, оскільки найчастіше це не зміни, а виправлення безпеки і функціоналу.
А що порадите Ви?
@ Юрій. чесно кажучи, я щільно не маю справи з Joomla вже років зо три. Тому писати предметну статтю на тему забезпечення її захисту просто не готовий. Але, в цілому, поради вірні для будь-якого движка, просто способи реалізації залежать вже від обраної CMS. Наприклад, якщо в WordPress адміністративна частина знаходиться в папці wp-admin, то в Joomla, якщо я правильно пам'ятаю, ця папка називається administrator. І так далі. А все, що стосується хостингу - взагалі універсально.
Дуже інформативно і об'ємно, багато пунктів виконав у себе, все сайти у мене на вордпресу, спасибі вам велике.
Не думала, що комусь треба зламувати сайти. Для чого? Адже це не банківська комірка!
Одна з найчастіших причин - це використання Вашого хостингу в якості елемента бот-мережі, що розсилає спам.
Цілих 23 ради - це потужно. Не замислювався про безкоштовні темах, раніше часто використовував їх при створенні сайтів, не перевіряючи код. Тепер використовую платні теми, але їх теж треба перевіряти.
Хороші поради для захисту сайту на WP, багато для себе нового знайшов. Так плагіни потрібно оновлювати постійно, але і дивитися на нові версії перед тим як оновлювати теж потрібно! буває таке відновляєш плагін і що то перестає працювати через нової версії або ж конфліктувати починає. До речі ви точно підмітили, що не треба зберігати плагіни якщо їм не користуєшся, так як у мене були випадки через дірку в плагіні на сервер почали всяку хрень завантажувати, добре вчасно помітив не потрібні файли, схоже на спамерських врахувати, через мій сервер намагалися спамити ( ((
Ого. Нічого собі. Навіть не думала, що стільки є можливостей і все одно немає 100% гарантії. (((Дякую. Обов'язково скористаюся!
Величезне спасибі за статтю! Багато корисної інформації для себе взяла. Логін, на жаль, у мене не змінюється) Давно не оновлювала Вордпресс, боюся я якось цих оновлень. Після одного такого у мене все перекосило, довелося робити відкат. З приводу Dropbox нічого не чула, цікаво. На даний момент я два рази в місяць роблю вручну збереження баз даних і файлів через хостинг (зберігаю на комп'ютері і флешці), також періодично роблю «експорт» в вордпресс в панелі управління.
Також варто плагін Database Backup, але хочу від нього відмовитися, дабф не перевантажувати сервер. Краще робити все вручну періодично.
А ось плагін Antivirus поставлю, на всякий випадок, спасибі!
У зв'язку з останніми подіями з файлом xmlrpc.php, слід:
- або оновитися до версії 3.9.2 (де закрита уразливість)
- або заборонити до нього доступ:
Files xmlrpc.php Order Deny, Allow Deny from all / Files
і взагалі краще цей файл не використовувати