Далее мы подготовили, по пунктам важные точки для защиты.
1) Директория она же папка wp-content.
Данная папка может содержать незащищенный скриптовы файл написаный на языке PHP, файлы эти могут быть использованы для нанесения вреда вашему сайту.
Решение: После инсталяции WordPress файлы PHP могут запускаться из папки wp-content. Проверка безопасности позволяет убедиться, что запуск файлов PHP в папке wp-content запрещен. Однако это действие может быть отменено на уровне файлов .htaccess или web.config. Также учтите, что после защиты папки wp-content могут перестать работать некоторые из ваших плагинов.
2) Директория она же папка wp-includes.
Папка wp-includes может содержать незащищенные файлы PHP, которые могут быть использованы для нанесения вреда вашему сайту. После установки WordPress файлы PHP могут запускаться из папки wp-includes. Проверка безопасности позволяет убедиться, что запуск файлов PHP в папке wp-includes запрещен. Однако это действие может быть отменено на уровне файлов .htaccess или web.config. Также учтите, что после защиты папки wp-includes могут перестать работать некоторые из ваших плагинов.
3) Конфигурационный файл wp-config.php.
Файл wp-config.php содержит параметры доступа к базе данных и другую конфиденциальную информацию. После установки WordPress файл wp-config.php может быть запущен. Если по какой-то причине отключена обработка файлов PHP веб-сервером, хакеры могут получить доступ к содержимому файла wp-config.php. Проверка безопасности позволяет убедиться, что несанкционированный доступ к файлу wp-config.php заблокирован. Однако это действие может быть отменено на уровне файлов .htaccess или web.config.
4) Права на просмотр папок..
Когда включен просмотр папок, хакеры могут получить информацию о вашем сайте (используемые плагины и т.д.). По умолчанию просмотр папок в Plesk отключен. Проверка безопасности позволяет убедиться, что просмотр папок на установке WordPress отключен.
5) Префикс баз данных. .
Таблицы баз данных WordPress имеют одинаковые имена во всех установках WordPress. Если в именах таблиц баз данных используется стандартный префикс
wp_
, то становится известна вся структура баз данных WordPress, и кто угодно может получить из них любые данные. Проверка безопасности изменяет префикс в именах таблиц баз данных на отличающийся отwp_
. Будет включен режим техобслуживания, деактивированы все плагины, изменен префикс в конфигурационном файле и в базе данных, заново активированы все плагины, обновлена структура постоянных ссылок и затем отключен режим техобслуживания.
6)
Ключи безопасности..
Ключи безопасности WordPress
(AUTH_KEY, SECURE_AUTH_KEY, LOGGED_IN_KEY и NONCE_KEY)
обеспечивают шифрование информации, хранящейся вcookie-файлах
пользователя. Хороший ключ безопасности должен быть длинным (от 60 символов
), случайным и сложным. Проверка безопасности позволяет убедиться, что ключи безопасности созданы и содержат как минимум буквы и числа.
Права доступа к файлам и папкам. Если права доступа к файлам и папкам не соответствуют политике безопасности, эти файлы могут быть использованы для взлома вашего сайта. После установки WordPress папки и файлы могут иметь разные права. Проверка безопасности позволяет убедиться, что файл wp-config.php
имеет права 600
, остальные файлы — 644
, а папки — 755
.
7)
Имя пользователя ADMIN нельзя использовать для администратора..
Пользователь с правами администратора и именем пользователя admin, это самый простой способ, так как в WordPress нельзя изменить имя пользователя, для доступа к системе в качестве администратора злоумышленнику достаточно угадать только пароль. По Этому, можно создать другого пользователя, и выдать ему уровень администратора, с профиль ADMIN удалить. Проверка безопасности позволяет убедиться, что в системе нет пользователя с правами администратора и логином admin.
8)
Информация о версии..
Каждая версия WordPress имеет общеизвестные уязвимости. Поэтому доступность информации о версии вашей установки WordPress делает ее более легкой добычей для хакеров. Версия незащищенной установки WordPress показывается в метаданных страниц и в файлах
readme.html
. Проверка безопасности позволяет убедиться, что все файлы readme.html пусты и во всех темах есть файлfunctions.php
, содержащий следующую строку:remove_action('wp_head', 'wp_generator');