Вордпресс безопасность. Ломаем и защищаем WordPress своими руками. Перебор или «брутфорс» пароля

Б ольшинство людей думают, что их веб-сайт WordPress был безопасен только потому, что он не имеет какого-либо контента который стоит взломать. К сожалению, это не так. Сайты часто взламывают, например для распространения спама. Или ядро и файлы темы заполнены вредоносным кодом, чтобы заразить и взломать компьютеры вашего посетителя сайта. Вполне возможно, что вы только заметили повреждение, когда Google или Yandex уже пометили ваш сайт или удалили его из индекса. Не позволяйте этому случиться, и рассмотрите мои советы для идеального wp-config.php.

Есть много способов защитить свой веб – сайт на основе WordPress от взлома. Оптимизация можно считать важной частью правильной стратегии безопасности. Конечно, сайт не превратится в Банк, но вы сделали это немного сложнее для хакеров.

Для оптимизации wp-config.php, используются так называемые константы. WordPress имеет много констант, которые могут быть использованы. Но что такое константа? PHP.net описывает константы следующим образом:

Константа является идентификатором (именем) для простого значения. Как следует из названия, это значение не может изменяться в ходе выполнения скрипта (для магических констант, которые не являются на самом деле, кроме как константы). Константа чувствительна к регистру по умолчанию. По соглашению, постоянные идентификаторы всегда в верхнем регистре.PHP.net

Константы встроены в функции define(), и выглядят следующим образом: define("NAME_OF_THE_CONSTANT", value);

wp-config.php является файл управления для WordPress. Он загружается раньше всех других файлов, так как WordPress должен настроить подключение к базе данных. Необходимая информация находится в конфигурационном файле. При изменении значения константы, или добавления константы, вы можете также изменить поведение WordPress.

До работы: пожалуйста, создайте резервную копию wp-config.php

Перед тем, как браться за редактирование файла wp-config.php, создайте резервную копию этого файла. Ваш сайт не будет работать с неправильными или отсутствующими записями.

Важно: Всегда делайте обновление WordPress и плагинов

Вы, наверное, слышали это несколько раз уже. Но этот аспект настолько важен, что я не могу повторять это достаточно часто. Тонны сайтов взломали, потому что WordPress или подключаемые модули не были обновлены. Обновления лучшая страховка от взлома!

Ситуация в сфере безопасности:

Специалистов в области безопасности Sucuri в настоящее время предупреждают о недостатка безопасности в популярном плагине Jetpack для WordPress. Вредоносный код может быть реализован с помощью шорткод-встраиваемой-функции. Automattic будут действительно реагировать скоро и выпустят новую версию.

Как закрыть брешь в безопасности на данный момент:

Если вы будете использовать , вы не в опасности. Там, большой брандмауэр 6G, который может парировать этот тип атак.

Подготовка:

Для всех последующих работ, вам понадобится программа , а также редактор HTML. wp-config.php загружается на рабочий стол, и редактируется в HTML-редакторе, и загружается обратно на сервер.

1 – Используйте ключи безопасности

Ключи безопасности в WordPress имеют решающее значение, как шифровать такие вещи, как информацию для входа в куки. Даже если в вашем wp-config.php уже есть , замена их через некоторое время не может повредить. Когда ключи изменяются, вто все пользователи выходят из своих сайтов. После этого вы сможете заново войти в систему, используя имя пользователя и пароль.

Тем не менее, если сайт уже взломали, вы должны сначала удалить вредоносный код с вашего сайта. Руководство по этому можно найти в дополнительной информации по этому аспекту. После этого посетите генератор для ключей защиты WordPress, и скопируйте новый набор. Заменить старую часть замените новыми – снимок экрана просмотра:

Если вы еще не реализовали ключи безопасности, то это подходящее время, чтобы сделать это.

Дополнительная информация:2 – принудительное использование HTTPS

Сертификат SSL шифрует соединение между вашим сайтом и браузерами посетителя. HTTPS делает невозможным для хакеров ловушку и кражи персональных данных. Если у вас уже есть сертификат SSL для вашего сайта, вы можете принудительно использовать HTTPS вместо HTTP. Это увеличивает безопасность вашего сайта значительно. Если у вас нет сертификата SSL, тем не менее, вы должны серьезно рассмотреть возможность использования одного.

Вы не должны бояться крупных затрат, так как .

Следующие записи должны быть использованы, когда ваш сайт уже использует SSL. Верхний вход предназначен для защищенного входа в систему, в то время как самый низкий заставляет браузер, заставляет использовать только SSL.

В каждой установке WordPress, можно отредактировать тему и файлы плагина непосредственно в зоне администратора. В пунктах меню “Внешний вид” и “Плагины” вы найдете соответствующий редактор для каждого файла. Этот редактор очень опасен, если попадет в руки хакеров. Данные могут быть уничтожены, и вирусы, трояны, спам и другие вредоносные программы могут быть добавлены. Но редактор также имеет важное значение для администратора веб-сайта. Единственная ошибка, одна точка с запятой отсутствует все, что нужно для пресловутых белых страниц, чтобы показать, и ничего не будет работать больше.