Настройки wp-config.php для безопасности Вордпресс

Параметра wp-config для безопасности WordPress
Согласно статистике, хакеры атакуют веб-сайты на WordPress примерно 90.000 раз в минуту, не имеет в себя значения, большой веб-сайт или маленький, старый или новый, в большинстве случаев это не зависит от владельца веб-сайта.

Хакеры взламывают веб-сайты для того, чтобы приобрести контроль над узлом сети и использовать ресурсы этого узла в целях.

Хорошая новость в том, что атакам хакеров можно успешно противодействовать. В данной статье вы узнаете, как усилить безопасность веб-сайта при помощи параметров в файле wp-config.php.

Перед тем, как вы начнете применять данные параметра, сделайте бэкап файла wp-config. Этот файл загружается до загрузки ядра WordPress, и ошибка в одном знаке может положить весь веб-сайт.

В данной статье мы рассмотрим:

  1. Переместите wp-config.php
  2. Cмените ключи безопасности
  3. Используйте SSL
  4. Измените префикс базы данных
  5. Права доступа к файлам и папкам
  6. Отключите редактирование тем и плагинов в админке
  7. Используйте FTPS
  8. Используйте SSH
  9. Отключите режим debug
  10. Отключите вывод ошибок режима отладки во фронт-энде
  11. Включите автоматическое обновление

1. Переместите wp-config.php

В файле wp-config хранятся пароли для подключения к базе данных, ключи безопасности и другая важная информация, так что лучше переместить этот файл в безопасное место, и дать ему права доступа 400 или 440. Если вы переместите файл в новое место, хакерам сначала придется его найти, после этого попытаться взломать.

Вы можете легко безопасно перенести wp-config на один уровень выше корневой папки веб-сайта:Папка на уровень выше корневой папки недоступна из Интернета.

Корневая папка WordPress
Корневая папка WordPress

Не переносите файл, если на одном уровне выше есть файл wp-config, или веб-сайт установлен в подпапке или на субдомене.

Если вы хотели бы перенести wp-config в иное место(не на уровень выше), то перенесети файл в новое место, а на старом месте(корневая папка) создайте ещё один wp-config и добавьте в него этот программный код:

Замените /путь/к/wp-config.php на новый адрес к файлу wp-config.

2. Смените ключи безопасности

В файле wp-config хранятся ключи безопасности, которые усложняют задачу хакерам по взлому веб-сайта. Данные ключи помогают шифровать информацию, хранящуюся в кукис браузеров пользователей.

Меняйте ключи время от времени, особенно если веб-сайт был взломан. Замена ключей закроет все открытые сессии залогиненных посетителей, в том числе хакеров.

Вы можете сгенерировать новые ключи в официальном генераторе ключей WordPress.

  • Ключи и соли WordPress

3. Используйте SSL

SSL сертификат шифрует соединение между веб-сайтом и браузером пользователя, так что злоумышленник не может перехватить информацию, например, логин и пароль.

Если у вас установлен сертификат, вы можете без проблем включить его принудительное использование на странице авторизации и в админке веб-сайта:

4. Измените префикс базы данных

У каждой таблицы в базе данных есть префикс. Стандартный префикс — wp_, но вы можете его настроить на что-нибудь уникальное, чтобы добавить хакерам работы. Чем больше препятствий вы создадите хакерам, тем меньше вероятность, что у них получится взломать веб-сайт.

Найдите эту строку и замените префикс на, к примеру, v6jt34_.

После этого необходимо переименовать таблицы и некоторые записи в таблицах базы данных.

  • Как настроить префикс базы данных.

5. Права доступа к файлам и папкам

При помощи этого скрипта вы можете установить права доступа всем файлам и папкам:

После этого вручную установите права доступа нескольким важным файлам и папкам.

  • Права доступа к файлам и папкам

6. Отключите редактирование плагинов и тем в админке

В админке WordPress вы можете без труда редактировать файлы плагинов и тем. Если хакеру удастся попасть в админку веб-сайта, он получит полный доступ к файлам плагинов и тем, и сможет делать с ними что захочет. Добавит код, вирусы или спам.

Редактирование файлов из админки веб-сайта можно отключить:

7. Используйте FTPS

Если на веб-хостинге включен режим FTPS, вы можете без проблем подключаться к серверу по безопасному соединению. Передача файлов будет проходить по зашифрованному каналу, так что хакеры не смогут перехватить данные или файлы.

Чтобы включить принудительное использование FTPS, добавьте эту строку:

И включите использование FTPS в ftp-клиенте( Filezilla).

8. Используйте SSH

Аналогично с предыдущим пунктом, если на веб-хостинге включен протокол SSH, вы можете включить его принудительное использование:

9. Отключите режим debug

По умолчанию режим отладки отключен, но вы могли забыть его выключить, если использовали его раньше. Если эта функцию осталась включенной, то некоторая информация о веб-сайте, к примеру, расположение файлов, становится доступна.

Найдите эту строку и замените true на false:

  • Режим отладки WordPress

10. Отключите вывод ошибок режима отладки во фронт-энде

Если вы пользуетесь режимом debug, но планируете только отключить вывод ошибок на веб-сайте со стороны пользователей, добавьте эту строку в wp-config:

11. Включите автоматическое обновление

Обновленная версия WordPress, тем и плагинов — первый совет от разработчиков всех плагинов / сервисов безопасности, так как в обновлениях разработчики исправляют проблемы с безопасностью и оптимизируют код. Если вы не обновляете софт, то известные уязвимости устаревшего ПО, которые находятся в открытом доступе, могут быть использованы хакерами для взлома веб-сайта.

  • Почему у вас должна быть последняя версия WordPress

Начиная с версии 3.7, минорные обновления WordPress устанавливаются автоматически, но можно легко включить автоматические крупные(мажорные) обновления. Добавьте эту строку в wp-config:

  • Обновление WordPress: Ручное и Автоматическое

Читайте также:

  1. Руководство по wp-config.php
  2. Безопасность WordPress. Подробное описание
  3. Редактирование.htaccess для безопасности WordPress
  4. Бэкап WordPress. Подробное описание

Надеюсь, статья была полезна. Оставляйте комментарии.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *