Безопасность WordPress
Чтобы проверить и защитить установки WordPress:
- Откройте Сайты и домены > WordPress.
- Выполните один из вариантов:
- Для проверки безопасности всех установок WordPress нажмите Проверить безопасность.
- Для защиты одной установки WordPress нажмите значок в колонке S, напротив имени нужной установки WordPress.
- Для защиты двух и более установок WordPress поставьте галочки у нужных установок и нажмите Проверить безопасность.
- Выберите галочками улучшения безопасности, которые вы хотите применить, и нажмите Защитить.
Предупреждение. Имейте в виду, что не все улучшения безопасности можно будет отменить. Рекомендуется создать резервную копию подписки, прежде чем улучшать безопасность установок WordPress.
Полный список улучшений безопасности WordPress
-
Папка wp-content. Папка
wp-content
может содержать незащищенные файлы PHP, которые могут быть использованы для нанесения вреда вашему сайту. После установки WordPress файлы PHP могут запускаться из папкиwp-content
. Проверка безопасности позволяет убедиться, что запуск файлов PHP в папкеwp-content
запрещен. Однако это действие может быть отменено на уровне файлов.htaccess
илиweb.config
. Также учтите, что после защиты папки wp-content могут перестать работать некоторые из ваших плагинов. -
Папка wp-includes. Папка
wp-includes
может содержать незащищенные файлы PHP, которые могут быть использованы для нанесения вреда вашему сайту. После установки WordPress файлы PHP могут запускаться из папкиwp-includes
. Проверка безопасности позволяет убедиться, что запуск файлов PHP в папкеwp-includes
запрещен. Однако это действие может быть отменено на уровне файлов.htaccess
илиweb.config
. Также учтите, что после защиты папки wp-includes могут перестать работать некоторые из ваших плагинов. -
Конфигурационный файл. Файл
wp-config.php
содержит параметры доступа к базе данных и другую конфиденциальную информацию. После установки WordPress файлwp-config.php
может быть запущен. Если по какой-то причине отключена обработка файлов PHP веб-сервером, хакеры могут получить доступ к содержимому файлаwp-config.php
. Проверка безопасности позволяет убедиться, что несанкционированный доступ к файлуwp-config.php
заблокирован. Однако это действие может быть отменено на уровне файлов.htaccess
илиweb.config
. - Права на просмотр папок. Когда включен просмотр папок, хакеры могут получить информацию о вашем сайте (используемые плагины и т.д.). По умолчанию просмотр папок в Plesk отключен. Проверка безопасности позволяет убедиться, что просмотр папок на установке WordPress отключен.
-
Префикс баз данных
. Таблицы баз данных WordPress имеют одинаковые имена во всех установках WordPress. Если в именах таблиц баз данных используется стандартный префиксwp_
, то становится известна вся структура баз данных WordPress, и кто угодно может получить из них любые данные. Проверка безопасности изменяет префикс в именах таблиц баз данных на отличающийся отwp_
. Будет включен режим техобслуживания, деактивированы все плагины, изменен префикс в конфигурационном файле и в базе данных, заново активированы все плагины, обновлена структура постоянных ссылок и затем отключен режим техобслуживания. -
Ключи безопасности
. Ключи безопасности WordPress (AUTH_KEY
,SECURE_AUTH_KEY
,LOGGED_IN_KEY
иNONCE_KEY
) обеспечивают шифрование информации, хранящейся в cookie-файлах пользователя. Хороший ключ безопасности должен быть длинным (от 60 символов), случайным и сложным. Проверка безопасности позволяет убедиться, что ключи безопасности созданы и содержат как минимум буквы и числа. -
Права доступа к файлам и папкам
. Если права доступа к файлам и папкам не соответствуют политике безопасности, эти файлы могут быть использованы для взлома вашего сайта. После установки WordPress папки и файлы могут иметь разные права. Проверка безопасности позволяет убедиться, что файлwp-config.php
имеет права600
, остальные файлы -644
, а папки -755
. -
Имя пользователя администратора
. При установке WordPress по умолчанию создается пользователь с правами администратора и именем пользователяadmin
. Так как в WordPress нельзя изменить имя пользователя, для доступа к системе в качестве администратора злоумышленнику достаточно угадать только пароль. Проверка безопасности позволяет убедиться, что в системе нет пользователя с правами администратора и логиномadmin
. -
Информация о версии
. Каждая версия WordPress имеет общеизвестные уязвимости. Поэтому доступность информации о версии вашей установки WordPress делает ее более легкой добычей для хакеров. Версия незащищенной установки WordPress показывается в метаданных страниц и в файлахreadme.html
. Проверка безопасности позволяет убедиться, что все файлыreadme.html
пусты и во всех темах есть файлfunctions.php
, содержащий следующую строку:remove_action(\'wp_head\', \'wp_generator\');
.