Як захистити і покращити свій Wordpress
Не буду загадувати наперед, однак думаю, що кілька з тих, хто прочитає цю статтю до кінця, обовязково потім кинеться перевіряти налаштування свого блогу і змінювати те, що можливо ще змінити. Адже навіть така суперпотужна система як Wordpress має невеличкі недоліки, про які одразу і не взнаєш. Хіба тут прочитаєш
Як захистити та покращити свій Wordpress двигунець, читайте у статті.

1. Незахищені директорії. Я з радістю переглянув плагіни, котрі встановлені на українських блогах. Як? - спитаєте ви. - Це ж треба лізти в адмінку, звідки ти взнав паролі до українських блогів?
Паролі не треба. Дізнатись, які плагіни використовує сайт-жертва, щоб атакувати його з цим, можна, набравши всього-навсього таку адресу у себе: назваблогу.com/wp-content/plugins/ . І все. Списочок файлів плагінів видно як на долоні. Те саме стосується і тем оформлення. Навіть якщо ви ніде не напишете, яку тему використовуєте, це можна хоча б приблизно дізнатись, глянувши у вашу директорію з темами назваблогу.com/wp-content/themes/ . Це може зробити будь-хто, як для пізнавальних цілей, так і для цілей зовсім інших, можливо навіть поганих.
Що робити? - Ідіть і одразу закрийте доступ до цих директорій. Для цього досить створити там пустий файл з іменем index.html - після цього при запиті таких директорій буде показуватись саме він. До речі, там можна створити невелике послання для допитливих. Таке я вже зробив у себе.
Список ненадійних директорій, доступних для чужих очей:
- /wp-content/plugins/
- /wp-content/themes/
- /wp-includes/
- /wp-includes/images/
- … їх похідні
2. Не показуйте недоліків. У файлі header.php ви можете знайти ось такий рядок коду:
<meta name="generator" content="WordPress <?php bloginfo('version'); ?>" /> <!-- leave this for stats please -->
Ця опція показує всім встановлену на вашому блозі версію Wordpress. Але далеко не всі такі пунктуальні, і часто забувають чи лінуються зробити оновлення двигунця. Тому стоїть стара версія, відкрита до хаків та атак, якщо такі можуть трапитись. А цей рядок коду лише допоможе зловмисникам, бо вони будуть точно знати версію вашого Wordpress, а з нею і список неполадок, через які можна добратися до блогу.
Рекомендується стерти цей код, щоб не викликати зайвих проблем. Кому крім вас потрібно знати версію WP?
3. Залишайтесь на хвилі оновлень. Обов”язково слідкуйте за оновленнями - як самого двигунця так і плагінів, можливо навіть підпишіться на блог розробників. Старі версії постійно перевіряються, допрацьовуються, знаходяться нові баги або незручності. Бути на одній хвилі з оновленнями - це значить мати останню стабільну версію системи.
Час від часу перевіряйте, чи не потрібні оновлення до плагінів. Адже конфліктні плагіни або їх старі версії можуть наробити чимало проблем і змусити вас понервуватися, шукаючи рішення цих проблем.
Старі версії Wordpress відкривають маленькі шляхи для вразливості вашого блогу.
4. Зменшіть кількість запитів до бази даних. Це суттєво пришвидшить роботу сайту і “полегшить” Wordpress. Відвідувачам не доведеться чекати, поки обробляться непотрібні запити. Як це зробити? Пошукайте у своєму коді ось такі рядки або подібні до них:
<title><?php bloginfo(’name’); ?> <?php bloginfo(’description’); ?></title>
<link rel="alternate" type="application/rss+xml" title="RSS 2.0" href="<?php bloginfo(’rss2_url’); ?>” />
<meta http-equiv="Content-Type" content="<?php bloginfo(’html_type’); ?>; charset=<?php bloginfo(’charset’); ?>” />
Проте не перестарайтесь у таких пошуках, щоб не видалити чогось дійсно потрібного. Якщо не впевнені у своїх знаннях, краще попросіть друзів або знайомих відшукати у коді непотрібні речі. У першому випадку виділене жирним можна замінити на
<title>Назва вашого блогу</title>
А в другому і третьому випадках php код замінюється на URL адресу вашого RSS-потоку та типом контенту.
Пам”ятайте, що це зменшить час завантаження сторінки, але все одно дуже важливу роль відіграє хостинг, де розміщений ваш сайт.
5. Почистіть код. Уявіть, що ви прибираєте запорошений будинок. Вам треба видалити все зайве з коду, що вже не використовується, або ж лише заважає. Не жалійте нічого, залишаючи тільки найпотрібніше. приберіть пробіли у стилях. Згрупуйте стильові комбінації, тим самим ви зменшите код і зробите його інтерпретацію браузером більш швидкою. Наприклад таке
.test {
font-family: Georgia, Times, serif;
font-size: 12px;
color: #000000;
}
.test {margin-top: 7px; margin-right: 1px; margin-bottom: 5px; margin-left: 3px;}
можна легко замінити на таке
.test {font-family: Georgia, serif; font-size: 12px; color: #000000;}
.test {margin: 7px 1px 5px 3px;}
Правда, менше і компактніше? Таких прикладів коду ви знайдете багато в своїх стилях.
6. Загляніть до плагінів. Чи й досі ви використовуєте їх усі? Погляньте кілька разів, і вирішіть - можливо деякі плагіни вже більше не потрібні, тому видаліть їх. Чи мменше плагінів - тим скоріше завантажиться блог, а відвідувачі будуть раді читати вашу інформацію. Пошукайте схожі варіанти. Можливо доцільним буде знайти лише один плагін, котрий об’єднає або замінить функціонал кількох.
Пам”ятайте - всі ці кроки не будуть варті нічого, якщо ваші матеріали будуть нудні, нецікаві і не корисні для читачів. Тому дана стаття лише частина з того, що треба зробити щоб мати хороший сайт.
Використано матеріали: WPCandy, Matt Cuts.
Посилання: Wordpress.com, остання версія двигунця Wordpress.
hellveen, спеціально для Блогорідера .
Popularity: 27%















БлоґоТиждень 16.0 - Blogoreader 2.6 – українська блоґосфера - блоґи, новини, статті, персони
am Лютий 11 2008 @ 7:08
[...] помилився, бо новий блогохостинг використовує двигун Wordpress MU - такий самий, як і на blog.net.ua. Цей двигун дозволяє [...]
masterpiecer
am Лютий 13 2008 @ 9:56
Включатиму фантазію - і складатиму послання кулхацкерам!
my.ukrweb.info УКРВЕБ ІТ веблог
am Лютий 13 2008 @ 9:57
Локалізація для української мови…
Чи задавали ви собі запитання - чому на мій сайт заходять по ключових словах, але в мене взагалі немає подібного контенту, так, просто в тек…
virua
am Лютий 13 2008 @ 11:21
Бувають випадки, коли створити файл “index.html” і помістити його в потрібну папку не можна. Для заборони доступу до папки в такому випадку (щоб її вміст не міг побачити зловмисник
) можна використати наступний спосіб. В папці, яку Ви бажаєте заховати від очей відвідувачів, створіть файл “.htaccess”. І в ньому пропишіть такий текст “Options -Indexes”.
podarok
am Лютий 13 2008 @ 11:28
якщо не можна створити файл index.html - то яким чином ти створиш там файл .htaccess
Думай перед постінгом таких слів 8)))
virua
am Лютий 13 2008 @ 11:36
Фраза “Бувають випадки, коли створити файл “index.html” і помістити його в потрібну папку не можна.” зайва. Завтикав
Ще сплю, не прокинувся. Але, як ще один спосіб заборони перегляду папки спосіб згодиться.
Tod
am Лютий 13 2008 @ 13:44
По повода защиты директорий с плагинами, то часто их названия можно найти в самом ХТМЛ коде:) в виде закомментированных строк.
[LP]LordPro.teus
am Лютий 13 2008 @ 14:29
Нажахано поліз перевіряти свій блог… Усі подібні жахи відсутні за дефолтом)
Link Ads
am Лютий 14 2008 @ 23:38
.htaccess :
Order Deny,Allow
Deny from All
кидати у wp-content/plugins
а загалом яка рiзниця чи бачить хто плагiни чи не ?
Style)r
am Лютий 15 2008 @ 0:56
2 пункт потішив
mekal
am Лютий 15 2008 @ 18:01
Мне понравилась идея с ограничением доступа по айпи - http://lifehacker.ru/2008/01/28/wordpress-security/
podarok
am Лютий 15 2008 @ 18:05
2mekal
Ага.. і одним ІР банищ одразу цілий хостінг із 500-600 сайтів…
В результаті трекбек не пошлеш… Перевірено! 8(
Тому найрозумніше - агрорітм баєра в спамі… Плюс фільтрація по веб адресам - вони ж розраховують на посилання, що пишуть в профілі…
G3!>
am Лютий 24 2008 @ 12:05
автор цієї статті забув захистити http://blogoreader.org.ua/wp-includes/.
hellveen
am Лютий 26 2008 @ 15:20
Дякую за зауваження
Most Wanted
am Березень 2 2008 @ 3:16
Спасибо! Если надумаю делать свой собственный блог, обязательно учту ))) Думаю не кому из нас не хотелось бы быть взломанным )
Автор і читач. Аналіз стосунків - Blogoreader 2.6 – українська блоґосфера - блоґи, новини, статті, персони
am Березень 17 2008 @ 7:04
[...] Якйнайкраще для цього підходить плагін для Wordpress Top Commentators. Саме такий є на Блогорідері. Однією [...]
hristofor
am Березень 29 2008 @ 0:11
Советую также закрыть доступ к админке через .htaccess, разрешите доступ только с того айпи который у вас.
Для .htaccess который лежит в корне, добавьте следующий код, обращаю внимание, что заместо 193.0.0.193 должен быть написан ваш IP адрес.
Order Allow,Deny
Allow from 193.0.0.193
Для .htaccess который лежит в папке wp-admin
Order Allow,Deny
Allow from 193.0.0.193
Если айпи у вас динамический и постоянно меняется, то пишем вот так
193.0.0
Обратите внимание что точку ставить не надо после последней цифры!!!
Проверить работает или нет, достаточно просто. Поменяйте одну из цифр в айпи адресе .htaccess и попробуйте зайти в админку, должна появиться 403 ошибка. ))
Также запретим индексацию роботами следующие папки и файлы
файл robots.txt
User-agent: *
Disallow: /wp-content/
Disallow: /wp-includes/
Disallow: /wp-admin/
Disallow: /images/
Disallow: /wp-login.php
Disallow: /wp-register.php
Disallow: /xmlrpc.php
Wordpress 2.5 - велике оновлення - Blogoreader 2.6 – українська блоґосфера - блоґи, новини, статті, персони
am Березень 31 2008 @ 7:21
[...] Більше безпеки. Паролі та cookies зберігаютсья за новим принципом, що робить ваш блог ще безпечнішим та захищеним від чужих рук. →Читайте також статтю “Як захистити і покращити свій Wordpress” [...]
bohdaqs
am Травень 5 2008 @ 18:24
якщо урізати код то при зміні теми незручно все заново переставяти + не дуже то й багато часу вимагають саме ці запити
OOxDj
am Травень 13 2008 @ 19:34
Keep Up The Good WorkRead Your Comment, Loved It bbw pantie hose free
10 ознак хорошого HTML-коду - Blogoreader 2.6 – українська блоґосфера - блоґи, новини, статті, персони
am Травень 31 2008 @ 11:58
[...] за таким принципом працює відома CMS Wordpress - сама сторінка index.php складається з набора функцій, що [...]
OxGDp
am Червень 22 2008 @ 12:03
Great Site,Keep Up The Good WorkHey,