Некоторые веб-мастера утверждают, что WordPress — это «решето», т.е. движок плохо защищен от взлома. На мой взгляд, в решето может быстро превратиться любая бесплатная CMS при условии, что она пользуются популярностью у сайтостроителей. Элементарные недочеты в безопасности CMS WordPress можно найти при помощи различных плагинов, одним из которых является WP Security Scan.
Устанавливаем плагин WP Security Scan. Если вы забыли или не знаете как устанавливать плагины, прочитайте пост Установка плагинов WordPress.
После установки и активирования плагина, запускаем проверку безопасности WSD security — WSD security.
Результаты проверку показывают, что у нас достаточно брешей, которые могут стать причиной больших неприятностей связанных со взломом.
Разберемся по пунктам:
You have the latest version of WordPress
«У вас последняя версия WordPress».
Обновлять движок необходимо сразу после того, как появляется новая версия.
Your table prefix should not be wp_. Click here to change it. Read more on why should change the prefix here
«В таблицах базы данных не должно быть префикса wp_. Нажмите здесь, чтобы изменить его. Узнайте больше о том, почему следует изменить префикс здесь».
Префикс wp_ имеют таблицы базы данных WordPress по умолчанию. Данное обстоятельство облегчаем жизнь злоумышленникам. Желательно сменить префикс на произвольный.
Your WordPress version is successfully hidden
«Версия вашего WordPress успешно скрыта».
В исходном коде нет информации о версии WordPress.
WordPress DB Errors turned off
«Ошибок в базе данных не обнаружено».
WP ID META tag removed form WordPress core
«Идентификатор META тег удален с движка».
«admin» user exists
«Существует пользователь «admin».
По умолчанию, имя администратора WordPress «admin». Зная имя пользователя, намного проще подобрать пароль для входа в консоль управления.
The file .htaccess does not exist in the wp-admin section. Read more why you should have a .htaccess file in the WP-admin area here
«Файл .htaccess не существует в разделе wp-admin. Подробнее о том, почему у вас должен быть файл .htaccess в разделе wp-admin здесь».
При помощи упомянутого файла .htaccess, можно ограничить запретить вход в административную панель со всех неизвестных IP-адресов. В таком случае, злоумышленникам добраться до консоли управления будет весьма не просто.
Изменение префикса таблиц базы данных
Средствами плагина WP Security Scan можно изменить префикс по умолчанию wp_, на произвольный, например на table_. Переходим на страницу WP — Database Security выполнить команду WSD security — Database. Перед тем, как менять префикс таблиц, следует сделать бекап базы данных щелкнув по кнопке Backup now!
Бекап базы данных будет сохранен в папке плагина WP Security Scan.
Далее, необходимо ввести в поле Change the current префикс и нажать на кнопку Start Renaming.
После того, как мы изменили префикс таблиц базы данных, следует устранить еще два недочета из списка:
- Изменить логин администратора;
- Добавить файл .htaccess в раздел wp-admin.
Оставьте первый комментарий