Сегодня Вашему вниманию представляю плагин WSD security, который проверяет, установлены ли необходимые параметры безопасности WordPress-блога, а также при необходимости можно изменить префикс базы данных.
Безопасность блога ни в коем случае нельзя оставлять без внимания, поскольку есть нехорошие люди, которые занимаются этим толи от скуки, толи от зависти (если блог популярен и высокопосещаем). В любом случае безопасность лишней не бывает.
Безопасность блога с WSD security
Скачайте и установите плагин WSD security.
После установки в главном меню админпанели блога появится отдельный пункт WSD security.
Переходим на страницу плагина, где будет показано, что необходимо исправить, а ниже будет системная информация:
Итак, что должно быть сделано:
- У Вас должна быть установлена последняя версия WordPress;
- Префикс базы данных должен быть не wp_;
- Версия WordPress не должна быть доступна для чужих глаз;
- Логи ошибок базы данных WordPress должны быть отключены;
- Идентификатор версии WordPress (мета-тег) не должен отображаться в коде;
- Логин администратора должен быть не admin;
- Файл .htaccess должен быть в папке wp-admin
То, что в порядке, будет выделено зеленым цветом, а то, что нужно исправить — красным.
Как решить данные проблемы?
1. Регулярно обновляйте WordPress. Сообщение о том, что пора обновить WordPress, выводится в админке сразу после выхода новой версии. Обновить можно автоматически и вручную.
2. Если Вы еще при установке своего WordPress-блога оставили стандартный префикс базы данных wp_, то это можно легко исправить с помощью данного плагина.
Для этого переходим в раздел Database, и в самом низу в поле Change the current указываем свой префикс, и указываем латинскими буквами и цифрами, не забывая про «_» после префикса:
Нажимаем на Start Renaiming.
Не забудьте также изменить префикс в файле wp-config.php
3. Версия WordPress не должна быть видна в шаблоне блога и в его коде.
Здесь поможет правка кода шаблона.
4. Честно, не знаю, что это такое.
5. В коде страниц не должен присутствовать мета-тег с версией движка WordPress.
6. Если у вас логин admin, срочно измените его на какой-нибудь другой!
Сделать это можно, отредактировав раздел в базе данных.
Заходим в phpMyAdmin, и выбираем поле вашпрефикс_users. Далее увидим страницу со списком зарегистрированных на блоге пользователей, найдите среди них свой. Если Вы ведете персональный блог, то в списке будет только Ваш логин:
Нажимаем Изменить.
В полях user_login и user_nicename прописываем новый логин админа. Помимо логина и имени пользователя Вы также можете изменить email, дату регистрации и имя пользователя на русском.
Нажимаем Ок.
7. Чтобы плагин не «ругался», также скопируйте файл .htaccess в папку wp-admin.
С главным разделом разобрались, переходим к следующему.
Раздел называется Scanner.
В этом разделе находится список папок и файлов, которым нужно поставить требуемые для безопасности права доступа:
- root directory (корень сайта)
- wp-includes/
- .htaccess
- wp-admin/index.php
- wp-admin/js/
- wp-content/themes/
- wp-content/plugins/
- wp-admin/
- wp-content/
Для файлов права должны быть 0644, а для папок — 0755.
В двух последних колонках отображаются права доступа — в третьей требуемые, в четвертой текущие.
Изменить права доступа можно с помощью FTP-клиента, например FileZilla.
Открываем нужные директории и файлы, щелкаем правой кнопкой мыши и выбираем Права доступа к файлу…
Проставляем требуемые права доступа и нажимаем Ок.
Последние разделы Options и Support нам не нужны.
После исправления всех недочетов по безопасности плагин WSD security можно удалить.
Привет, Никита! Довольно интересный плагин, очень подробно все расписал.Я кстати до твоей статьи не слышал про него.Надо будет обязательно попробовать его у себя.
Здравствуйте, Александр! Плагин действительно полезный. Сейчас вышла новая версия и появилось много новых функций. Только он на английском. Не все понятно.
Спасибо,интересный плагин. По поводу обновления вордпресс надо сейчас обновиться до новой версии, ни как не дойдут руки. Надо сделать бекап, никогда этого не делала, поэтому не знаю, стремно немного. Да и время нужно выделить, разобраться в этом.
Бэкап базы данных это несложно. А вордпресс советую обновлять вручную через ftp, только не перезапишите папку wp-content, предварительно удалив ее в новой версии WP
Не получается изменить права доступа для wp-config.php.
А также не получается изменить префикс в файле wp-config.php.
На какие только не меняла, всё равно остаются те же замечания, что и у вас на скриншоте.