Безопасность WordPress

Чтобы проверить и защитить установки WordPress:

1. Перейдите на страницу WordPress.
2. Выполните один из вариантов:
   • Для проверки безопасности всех установок WordPress нажмите Проверить безопасность.
   • Для защиты одной установки WordPress нажмите значок в колонке S, напротив имени нужной установки WordPress.
   • Для защиты двух и более установок WordPress поставьте галочки у нужных установок и нажмите Проверить безопасность.
3. Выберите галочками улучшения безопасности, которые вы хотите применить, и нажмите Защитить.

Предупреждение. Имейте в виду, что не все улучшения безопасности можно будет отменить. Рекомендуется создать резервную копию подписки, прежде чем улучшать безопасность установок WordPress.

Полный список улучшений безопасности WordPress

• Папка wp-content. Папка wp-content может содержать незащищенные файлы PHP, которые могут быть использованы для нанесения вреда вашему сайту. После установки WordPress файлы PHP могут запускаться из папки wp-content. Проверка безопасности позволяет убедиться, что запуск файлов PHP в папке wp-content запрещен. Однако это действие может быть отменено на уровне файлов .htaccess или web.config. Также учтите, что после защиты папки wp-content могут перестать работать некоторые из ваших плагинов.
• Папка wp-includes. Папка wp-includes может содержать незащищенные файлы PHP, которые могут быть использованы для нанесения вреда вашему сайту. После установки WordPress файлы PHP могут запускаться из папки wp-includes. Проверка безопасности позволяет убедиться, что запуск файлов PHP в папке wp-includes запрещен. Однако это действие может быть отменено на уровне файлов .htaccess или web.config. Также учтите, что после защиты папки wp-includes могут перестать работать некоторые из ваших плагинов.
• Конфигурационный файл. Файл wp-config.php содержит параметры доступа к базе данных и другую конфиденциальную информацию. После установки WordPress файл wp-config.php может быть запущен. Если по какой-то причине отключена обработка файлов PHP веб-сервером, хакеры могут получить доступ к содержимому файла wp-config.php. Проверка безопасности позволяет убедиться, что несанкционированный доступ к файлу wp-config.php заблокирован. Однако это действие может быть отменено на уровне файлов .htaccess или web.config.
• Права на просмотр папок. Когда включен просмотр папок, хакеры могут получить информацию о вашем сайте (используемые плагины и т.д.). По умолчанию просмотр папок в Plesk отключен. Проверка безопасности позволяет убедиться, что просмотр папок на установке WordPress отключен.
• Префикс баз данных. Таблицы баз данных WordPress имеют одинаковые имена во всех установках WordPress. Если в именах таблиц баз данных используется стандартный префикс wp_, то становится известна вся структура баз данных WordPress, и кто угодно может получить из них любые данные. Проверка безопасности изменяет префикс в именах таблиц баз данных на отличающийся от wp_. Будет включен режим техобслуживания, деактивированы все плагины, изменен префикс в конфигурационном файле и в базе данных, заново активированы все плагины, обновлена структура постоянных ссылок и затем отключен режим техобслуживания.
• Ключи безопасности. Ключи безопасности WordPress (AUTH_KEY, SECURE_AUTH_KEY, LOGGED_IN_KEY и NONCE_KEY) обеспечивают шифрование информации, хранящейся в cookie-файлах пользователя. Хороший ключ безопасности должен быть длинным (от 60 символов), случайным и сложным. Проверка безопасности позволяет убедиться, что ключи безопасности созданы и содержат как минимум буквы и числа.
• Права доступа к файлам и папкам. Если права доступа к файлам и папкам не соответствуют политике безопасности, эти файлы могут быть использованы для взлома вашего сайта. После установки WordPress папки и файлы могут иметь разные права. Проверка безопасности позволяет убедиться, что файл wp-config.php имеет права 600, остальные файлы - 644, а папки - 755.
• Имя пользователя администратора. При установке WordPress по умолчанию создается пользователь с правами администратора и именем пользователя admin. Так как в WordPress нельзя изменить имя пользователя, для доступа к системе в качестве администратора злоумышленнику достаточно угадать только пароль. Проверка безопасности позволяет убедиться, что в системе нет пользователя с правами администратора и логином admin.
• Информация о версии. Каждая версия WordPress имеет общеизвестные уязвимости. Поэтому доступность информации о версии вашей установки WordPress делает ее более легкой добычей для хакеров. Версия незащищенной установки WordPress показывается в метаданных страниц и в файлах readme.html. Проверка безопасности позволяет убедиться, что все файлы readme.html пусты и во всех темах есть файл functions.php, содержащий следующую строку: remove_action(\'wp_head\', \'wp_generator\');.