Защита сайта на базе WordPress

Сайт, работающий на платформе WordPress, требует обеспечения безопасности, поскольку является одной из наиболее популярных и широко используемых систем управления контентом.

Ряд уязвимостей WordPress включает:
Наиболее распространенные причины взлома WordPress:

Обеспечение безопасности WordPress-сайта включает регулярные обновления, использование надежных плагинов и тем, сложные пароли, использование защитных плагинов и мониторинг безопасности.

Для обеспечения безопасности и защиты от уязвимостей следует принять базовые меры:
  1. Уязвимости плагинов и тем:

    • Поддерживайте все плагины и темы в актуальном состоянии, регулярно обновляя их до последних версий.
    • Устанавливайте плагины и темы только из надежных и проверенных источников, чтобы уменьшить риск внедрения вредоносного кода.

  2. Слабые пароли и учетные записи:

    • Используйте сильные и уникальные пароли для всех учетных записей, включая административные.
    • Регулярно меняйте пароли и избегайте повторного использования паролей.
    • Рассмотрите возможность использования плагинов для управления паролями и реализации двухфакторной аутентификации.

  3. Необновленный WordPress:

    • Регулярно проверяйте наличие обновлений для WordPress и его компонентов (плагины, темы).
    • Включите автоматические обновления, чтобы гарантировать, что ваш сайт будет иметь последние исправления уязвимостей.

  4. SQL-инъекции и межсайтовые сценарии (XSS):

    • Используйте фильтры данных и экранируйте пользовательский ввод для предотвращения внедрения вредоносного кода.
    • Используйте параметризованные запросы и подготавливайте данные перед внесением их в базу данных.

  5. Вредоносные программы:

    • Установите надежный антивирус и анти-вредоносное программное обеспечение на сервере.
    • Регулярно сканируйте веб-сайт на наличие вредоносного кода.
    • Ограничьте загрузку файлов на сервер и проверяйте загружаемые файлы на предмет вирусов или вредоносного кода.
Рекомендуемые настройки прав доступа для файлов и папок в WordPress:
  1. Права доступа для файлов: 644

    • Владелец (Owner): Чтение и запись
    • Группа (Group): Чтение
    • Остальные пользователи (Others): Чтение
  2. Права доступа для папок: 755

    • Владелец (Owner): Чтение, запись и выполнение
    • Группа (Group): Чтение и выполнение
    • Остальные пользователи (Others): Чтение и выполнение

Команды для массового изменения прав на папки и файлы:

find ./ -type d -exec chmod 755 {} \;
find ./ -type f -exec chmod 644 {} \;

Дополнительные рекомендации:

Отключение возможности выполнить PHP файлы в определенных каталогах:

Используя файл .htaccess:

Создайте файл .htaccess в каталоге, где вы хотите отключить выполнение PHP файлов, например в ./wp-content/uploads/.

В файл .htaccess добавьте следующий код:

RemoveHandler .php .phtml .php3
RemoveType .php .phtml .php3

или можно использовать этот код:

<Files *.php>
deny from all
</Files>

Этот код отключит обработку файлов с расширением .php, .phtml и .php3 как исполняемых PHP скриптов в выбранном каталоге.

Отключение индексирования и просмотр каталогов:

Используя файл .htaccess:

Внутри файла .htaccess добавьте следующий код:

Options -Indexes

Этот код запрещает серверу отображать список файлов и папок, если в URL указан каталог без конкретного файла.


Revision #2
Created 8 May 2023 11:40:41 by Maru
Updated 8 May 2023 20:34:47 by Maru