Настройка безопасности Wordpress. Закрываем папки через .htaccess

Настройка безопасности Wordpress.

19.09.2021

Пока настраивал вордпресс, наткнулся на статью алтайского блоггера, про 3 новых совета от Мэта Катса.
Чтоб не отвлекаться на первоисточник, процитируем автора

1. Версия WordPress в header.php
Тег в вашем header.php, который показывает вашу текущую версию WordPress.
<meta name=”generator” content=”WordPress <?php bloginfo(’version’); ?>” />

Так как любой может посмотреть версию вашего WordPress, взломщикам не составит большого труда найти список уязвимостей в вашей версии WordPress.

Спрячьте информацию о версии вашего WordPress - удалив или изменив код на <meta name=”generator” content=”WordPress” />

2. Файл index.html в папке /plugins/.
В стандартной настройке WordPress - любой может посмотреть список плагинов, которые вы используете. Убедитесь, что ваш список плагинов не доступен: http://www.ваш_домен.ru/wp-content/plugins/

Создайте пустой файл “index.html”, и скопируйте его в вашу папку “plugins”.

3. Файл .htaccess в папке /wp-admin/
Мэт Катс указывает на - это ограничит доступ к этой папке.

Мэт Катс предупреждает, что вы должны поместить этот файл папку /wp-admin.htaccess файл в корневом катологе вашего блога. Хотя он говорит, что эта проблема была исправлена в последней версии WordPress, желательно все равно сделать это. и заменять или удалять

Совет: Можно легко запретить индексировать поисковикам вашу папку wp-admin, с помощью файла robots.txt: “Disallow:/wp-admin/”.

Чтобы я хотел добавить к выше изложенному. Во-первых закроем доступ к админке через .htaccess, разрешим доступ только с того айпи который у вас.

Для .htaccess который лежит в корне, добавляем следующий код, обращаю внимание, что заместо 193.0.0.193 должен быть написан ваш IP адрес.

<Files wp-login.php>
Order Allow,Deny
Allow from 193.0.0.193
</Files>

Для .htaccess который лежит в папке wp-admin

Order Allow,Deny
Allow from 193.0.0.193

Если айпи у вас динамический и постоянно меняется, то пишем вот так
193.0.0
Обратите внимание что точку ставить не надо после последней цифры!!!

Проверить работает или нет, достаточно просто. Поменяйте одну из цифр в айпи адресе .htaccess и попробуйте зайти в админку, должна появиться 403 ошибка. ))

Также запретим индексацию роботами следующие папки и файлы
файл robots.txt

User-agent: *
Disallow: /wp-content/
Disallow: /wp-includes/
Disallow: /wp-admin/
Disallow: /images/
Disallow: /wp-login.php
Disallow: /wp-register.php
Disallow: /xmlrpc.php

Проверить правильность вашего robots.txt можно .

Ну и напоследок, если вы до сих пор пользуетесь FTP клиентами, то предлагаю установить для соединения по SSH, что наиболее безопасно, чем простое фтп, где могут слямзить пароли и как следствие в коде вашего сайта появляются вирусные фреймы.

Комментарии (19) на запись “Настройка безопасности Wordpress.”

25.09.2021 в 14:39
Сегодня займусь исправлением этого. Полезные советы.
25.09.2021 в 15:18
посмотри на блоге blog.kmint21.com/2007/09/20/wordpress-password-protection/
есть плагин для вордпресса c помощью базовой HTTP аутентификации
11.10.2021 в 03:53
Давно гложет мысль о возможном взломе… хорошие советы, спасибо! :)
11.10.2021 в 10:12
Feelov, конечно от всего не защититься, но лишним не будет сделать пару движений.
14.10.2021 в 11:41
Информацию о версии WP могут выдать и плагины.
К примеру - google-sitemap-generator
14.10.2021 в 20:01
oldvovk, интересно, а еще какие плагины версию засветить могут?
01.11.2021 в 17:25
Кстати, на этом блоге косяк - выбираем все посты под одним тегом. Видим страницу. У неё в тайтле первая буква каждого слова в битой кодировке.
Или это так и задумано?
01.11.2021 в 22:32
>Кстати, на этом блоге косяк - выбираем все посты под одним тегом. Видим страницу. У неё в тайтле первая буква каждого слова в битой кодировке.
Или это так и задумано?

это плагин сеошный с категориями подглючивает.
03.11.2021 в 03:33
Большое спасибо за полезную информацию! Очень актуально. Кое-что уже знал, но многое стало открытием, нигде подобных советов не встречал.
03.11.2021 в 09:18
Dimox, безопасность всегда актуальна.
20.01.2022 в 13:37
Здравствуйте! Спасибо вам за ваш блог. Очень нужный!
22.04.2022 в 22:05
Спасибочки :)
15.05.2022 в 04:38
По первому пункту уже не актуально. Wordpress сам вставляет в content-generator свою вресию, независимо от темы. Кроме того, существует несколько способов раскрытия версии: обратившись к wp-login.php, в исходнике можно увидеть версию:

Еще таким образом:
host/?feed=rss2&p=1
В исходнике также увидим версию. Защититься можно с помощью плагина Replace WP-Version:
wordpress.org/extend/plugins/replace-wp-version/#post-2859
15.05.2022 в 11:55
>Кроме того, существует несколько способов раскрытия версии: обратившись к wp-login.php

если wp-login закрыт по айпишнику, то там не посмотрит человек. а вот насчет плагина спасибо. Данный пост перепишу скоро внеся соответствующие коррективы.
16.05.2022 в 01:45
>Данный пост перепишу скоро внеся соответствующие коррективы.
Я как раз недавно освещал вопросы безопасности wordpress:
raz0r.name/articles/wordpress-security/
20.05.2022 в 21:27
Ломали, ломают и ломать будут. Совершенной защиты не существует, против каждого действия всегда найдется противодействие. И это грустный факт :(
11.12.2022 в 09:02
Иногда бывает важно закрыть не только версию вордпресса, но и убрать саму строку
Делается это прописыванием в файле темы functions.php

без всяких плагинов
06.06.2023 в 07:17
Подскажите в случае если требуется несколько подсетей IP для доступа (к примеру с работы, с дома и т.д.) как правильно прописать это в .htaccess ???
06.06.2023 в 12:23
Добавляем строку с нужными айпи или подсетями.
В посте же указано

Order Allow,Deny
Allow from 193.0.0.193
Allow from 192.0.0.193
Allow from 191.0.0.193
Allow from 190.0.0.193

Блог Сибиряка