Пока настраивал вордпресс, наткнулся на статью алтайского блоггера, про 3 новых совета от Мэта Катса.
Чтоб не отвлекаться на первоисточник, процитируем автора
1. Версия WordPress в header.php
Тег в вашем header.php, который показывает вашу текущую версию WordPress.
<meta name=”generator” content=”WordPress <?php bloginfo(’version’); ?>” />
Так как любой может посмотреть версию вашего WordPress, взломщикам не составит большого труда найти список уязвимостей в вашей версии WordPress.
Спрячьте информацию о версии вашего WordPress - удалив или изменив код на <meta name=”generator” content=”WordPress” />
2. Файл index.html в папке /plugins/.
В стандартной настройке WordPress - любой может посмотреть список плагинов, которые вы используете. Убедитесь, что ваш список плагинов не доступен: http://www.ваш_домен.ru/wp-content/plugins/
Создайте пустой файл “index.html”, и скопируйте его в вашу папку “plugins”.
3. Файл .htaccess в папке /wp-admin/
Мэт Катс указывает на - это ограничит доступ к этой папке.
Мэт Катс предупреждает, что вы должны поместить этот файл папку /wp-admin.htaccess файл в корневом катологе вашего блога. Хотя он говорит, что эта проблема была исправлена в последней версии WordPress, желательно все равно сделать это. и заменять или удалять
Совет: Можно легко запретить индексировать поисковикам вашу папку wp-admin, с помощью файла robots.txt: “Disallow:/wp-admin/”.
Чтобы я хотел добавить к выше изложенному. Во-первых закроем доступ к админке через .htaccess, разрешим доступ только с того айпи который у вас.
Для .htaccess который лежит в корне, добавляем следующий код, обращаю внимание, что заместо 193.0.0.193 должен быть написан ваш IP адрес.
<Files wp-login.php>
Order Allow,Deny
Allow from 193.0.0.193
</Files>
Для .htaccess который лежит в папке wp-admin
Order Allow,Deny
Allow from 193.0.0.193
Если айпи у вас динамический и постоянно меняется, то пишем вот так
193.0.0
Обратите внимание что точку ставить не надо после последней цифры!!!
Проверить работает или нет, достаточно просто. Поменяйте одну из цифр в айпи адресе .htaccess и попробуйте зайти в админку, должна появиться 403 ошибка. ))
Также запретим индексацию роботами следующие папки и файлы
файл robots.txt
User-agent: *
Disallow: /wp-content/
Disallow: /wp-includes/
Disallow: /wp-admin/
Disallow: /images/
Disallow: /wp-login.php
Disallow: /wp-register.php
Disallow: /xmlrpc.php
Проверить правильность вашего robots.txt можно .
Ну и напоследок, если вы до сих пор пользуетесь FTP клиентами, то предлагаю установить для соединения по SSH, что наиболее безопасно, чем простое фтп, где могут слямзить пароли и как следствие в коде вашего сайта появляются вирусные фреймы.
25.09.2021 в 14:39
25.09.2021 в 15:18
есть плагин для вордпресса c помощью базовой HTTP аутентификации
11.10.2021 в 03:53
11.10.2021 в 10:12
14.10.2021 в 11:41
К примеру - google-sitemap-generator
14.10.2021 в 20:01
01.11.2021 в 17:25
Или это так и задумано?
01.11.2021 в 22:32
Или это так и задумано?
03.11.2021 в 03:33
03.11.2021 в 09:18
20.01.2022 в 13:37
22.04.2022 в 22:05
15.05.2022 в 04:38
host/?feed=rss2&p=1
В исходнике также увидим версию. Защититься можно с помощью плагина Replace WP-Version:
wordpress.org/extend/plugins/replace-wp-version/#post-2859
15.05.2022 в 11:55
16.05.2022 в 01:45
Я как раз недавно освещал вопросы безопасности wordpress:
raz0r.name/articles/wordpress-security/
20.05.2022 в 21:27
11.12.2022 в 09:02
Делается это прописыванием в файле темы functions.php
06.06.2023 в 07:17
06.06.2023 в 12:23
В посте же указано
Allow from 193.0.0.193
Allow from 192.0.0.193
Allow from 191.0.0.193
Allow from 190.0.0.193