Область администрирования веб-приложения является любимой мишенью хакеров и, таким образом, особенно хорошо защищена. То же самое касается WordPress: при создании блога, система создает административного пользователя с совершенно безопасным паролем и блокирует общественный доступ к области настроек с вводом страницы входа. Это краеугольный камень его защиты. Давайте копать глубже!
Эта статья фокусируетна на защищать зону администрации WordPress, намереваясь все те страницы в скоросшивателе wp-admin (или http://www.yourblog.com/wp-admin/)которые показаны после того как потребитель проверено. Мы специально выделили фразу «после проверки пользователя»: следует четко понимать, что только простой запрос стоит на пути злого хакера и мощной области админ всего вашего блога. Последний только так же сильна, как пароли, которые генерируются.
Вы можете быть заинтересованы в следующих связанных должностей:
- Как стать лучшим разработчиком WordPress
- Руководство для начинающих по созданию WordPress веб-сайт
- Как ускорить ваш сайт WordPress
Чтобы сделать атаку более сложной, вы должны выполнить следующие действия вручную. Эти решения не гарантируют 100% безопасность, но вы можете создать эффективные камни преткновения на пути хакера в область администрирования.
1. Переименовать и загрузить wordpress Folder
Начиная с версии 2.6, удалось изменить траекторию каталога wp-контента. К сожалению, это все еще не представляется возможным для wp-админ каталога. Безопасность единомышленников блоггеры просто должны принять этот факт и надеемся, что эта защита их блог будет сделано возможным в будущих версиях. До тех пор, следующий рецепт является сопоставимой альтернативой. После извлечения молнии WordPress файлы, вы увидите папку под названием WordPress. Эта папка должна быть переименована (в идеале к чему-то загадочному), а также, после корректировки файла wp-config.php, загружена в корневой каталог домена.
Чего достигает это изменение?
- Во-первых, файлы больше не будут свободны в главном каталоге, тем самым увеличивая четкость корневого уровня. Другие файлы и папки будут найдены быстрее.
- Во-вторых, многие экземпляры WordPress теперь могут быть созданы и могут быть поставлены параллельно друг другу, не мешая другим системным файлам и настройкам, что делает его идеальным для тестирования и разработки.
- Третье преимущество на самом деле говорит безопасности: область админ (и сам блог) больше не в корневой области и должны быть сначала найдены роботами. Это не будет легко найти путь этой перемещенной страницы входа в систему, по крайней мере для человека. До тех пор, это изменение будет защищать ваш блог.
Примечание: Если системные файлы блога WordPress больше не в главном каталоге, и название основной папки установки была изменена (как рекомендуется выше), блог все еще можно получить доступ с http://example.com. Как? В поле адреса WordPress (URL) под общими настройками включите путь переименованной папки. Например, если расстегнутая папка WordPress переименована в wordpress-live-Ts6K,введите путь в виде http://example.com/wordpress_live_Ts6K.
Ваш блог адрес будет оставаться красивым и не отвлекает.
2. Расширить файл wp-config.php
Файл конфигурации WordPress wp-config.php содержит настройки и данные доступа к базе данных. Но значения, связанные с безопасностью, также можно найти в файле. Следующие определения должны быть в файле wp-config.php (но не может быть) и должны быть добавлены или изменены:
- Ключи безопасности: С WordPress 2.7, WordPress было четыре вида ключей безопасности, которые должны быть настроены должным образом. WordPress избавит вас от необходимости придумывать строки самостоятельно, генерируя линии ключей безопасности автоматически. Вы просто должны реализовать эти ключи безопасности в файле конфигурации. Эти ключи имеют важное значение для безопасности установленного блога.
- Приставка таблицы недавно созданной установки WordPress не должна быть стандартной «wp». Чем более загадочным является слово, тем меньше вероятность вторжения в таблицы баз данных MyS’L. Плохая: «Стол-префикс»/wp’; . Гораздо лучше: таблица $table’prefix ‘wp4F’52Y‘;. Это значение назначается только один раз, и вы не должны помнить его, потому что он имеет внутреннюю функцию.
- Если сервер имеет SSL-шифрование, рекомендуется шифровать область администрирования. Это можно сделать, добавив следующую команду в файл wp-config.php: «определить»FORCE»SSLADMIN’, правда);
- Кроме того, можно настроить другие настройки системы в файле конфигурации. Четкий и полный список параметров для большей безопасности и производительности можно найти в WordPress Codex.
3. Переместить файл wp-config.php
Кроме того, начиная с версии 2.6, WordPress позволяет перемещать файл wp-config.php на более высокий уровень. Поскольку этот системный файл содержит гораздо более конфиденциальную информацию, чем любая другая, и потому, что трудно получить доступ к уровню родительского файла сервера, это, безусловно, имеет смысл хранить его за пределами фактической установки. WordPress автоматически смотрит на самый высокий базовый индекс для файла настроек конфигурации. Таким образом, любая попытка пользователей настроить путь бесполезна.
4. Защитите файл wp-config.php
Однако не все провайдеры позволяют передавать данные на более высокий уровень, чем основной каталог. Администраторы не всегда могут выполнить предыдущий шаг, если у них нет этой привилегии. В этом случае внешний доступ к файлу wp-config.php может быть исключен через файл .htaccess.
Важно убедиться, что файл .htaccess, с этой встроенной защитой, имеет тот же каталог, что и файл wp-config.php. Кстати, этот метод также будет полезен, если вы используете несколько установок WordPress, но не разрешается перемещать соответствующие файлы конфигурации.
5. Удалить учетную запись пользователя админ
При установке WordPress автоматически создается администратор, привлекаемый администратором имени пользователя без каких-либо параметров. Это благий продуманный жест WordPress, но пользователь по умолчанию с административными правами и назначенным идентификатором #1 является легкой мишенью для хакеров. При атаке, только пароль этого пользователя должны быть сломаны. Отсюда наш совет:
- Создайте другого администратора в области администратора.
- Вход из задней части.
- Войти в качестве нового пользователя.
- Удалите старого админ из списка пользователей.
Второй пользователь обеспечивает большую безопасность: это имя будет отображаться во всех будущих опубликованных статьях и комментариях, а имя фактического администратора никогда не будет отображаться на страницах блогов и, следовательно, никогда не будет доведено до сведения внешнего мира.
6. Выберите надежные пароли
Вероятность и частота атаки увеличивается пропорционально популярности блога. И когда задний конец блога WordPress умело атаковали, вы должны быть уверены, что нет слабых звеньев в цепи безопасности.
Чаще всего пароли являются самым слабым звеном в этой цепочке. Причина? Способ обработки или выбора паролей является слишком безрассудным. Многочисленные исследования показывают, что ужасно огромное количество паролей содержат слишком мало символов и слишком легко догадаться.
WordPress ответил на эту проблему с интуитивным индикатором, основанным на светофоре визуальный, который отображает силу желаемого пароля пользователя. Необъяснимо, однако, этот инструмент доступен только для существующих профилей (найдено в настройках (в настройках ( Если администратор создает новых пользователей, то сила пароля не передается визуально.
Наша рекомендация для безопасного пароля WordPress является то, что это будет по крайней мере семь символов долго и включают в себя верхний регистр и нижний регистр символов, цифр и символов, таких как ! » ? $ % и ).
7. Защитите каталог wp-admin
Придерживаясь девиза «Два лучше, чем один», администрация области оснащены дополнительной защиты паролем. Запрос (в WordPress в противном случае отвечает за Permalinks) обрабатывается .htaccess, который хранится в папке wp-админ вместе с .htpasswd. После внесения этого изменения браузер запрашивает данные, хранящиеся в .htaccess. Это может быть различным для каждого автора блога или же для всех.
Примечание: генератор Htaccess и Htpasswd помогает создавать необходимые файлы с желаемыми значениями.
8. Подавите отзыв об ошибке на странице входа в систему
Страница входа в систему установки WordPress является дверью в район администрирования. Область администрирования доступна только при проверке безошибочных ошибок. До успешного входа в систему посетители, будь то хорошие или плохие, имеют бесчисленное множество попыток ввести правильные данные в полях входа в систему. В случае неудачной попытки, WordPress сообщает пользователю, что проблема может быть.
При устранении неполадок, WordPress действительно суетливый и обеспечивает уникальное, значимое сообщение для каждой ошибки. Так что если имя пользователя набрано неправильно, это будет сообщено. Если пароль неправильный, он также будет передан. Это утешение для пользователя и благословение для вора. Непреднамеренно, WordPress обеспечивает ценную обратную связь с плохими мальчиками, которые пытаются получить доступ к вашим данным. Это всего лишь вопрос времени, пока они не получат доступ к задней части.
Простой однострочник решает эту проблему умно: выход ошибки на странице входа в систему просто блокируется грабителям. Этот код входит в файл functions.php вашей темы:
add_filter(‘login_errors’,create_function(‘$a’, “return null;”));
9. Ограничить ошибочные попытки войти в систему
WordPress не ведет учет неудачных попыток войти в систему, во многом в ущерб администратору блога, который не видит коварной атаки ближайшие и поэтому не может собрать инструменты для борьбы с угрозой. Есть ли выход из этой дилеммы?
Существуют два решения: Логин LockDown и ограничить попытки входа. После установки они записывают все попытки входа в систему. Кроме того, оба расширения могут блокировать посетителей на определенное время после определенного количества неудачных попыток. Таким образом, роботы и хакеры ограничены в масштабах своей атаки.
Расширения бесплатны и совместимы с WordPress 2.7.
10. Держите программное обеспечение до даты
Наконец, следует отметить следующее: WordPress разработчики очень быстро и немедленно реагировать на уязвимости в WordPress. Держите ваши установки в актуальном состоянии. Начиная с версии 2.7, доступные обновления находятся всего в одном клике. То же самое касается плагинов!
И помните: чем меньше, тем больше. Как администратор, вы должны убедиться, что только расширения, которые необходимы, активны в вашей установке. Каждый плагин является потенциальным риском и должен быть неактивным или, еще лучше, удален, если он не нужен.
Источник: smashingmagazine.com