Чтобы проверить и защитить установки WordPress:
Предупреждение. Имейте в виду, что не все улучшения безопасности можно будет отменить. Рекомендуется создать резервную копию подписки, прежде чем улучшать безопасность установок WordPress.
Предыдущая страница
Следующая страница
Найти страницу
wp-content может содержать незащищенные файлы PHP, которые могут быть использованы для нанесения вреда вашему сайту. После установки WordPress файлы PHP могут запускаться из папки wp-content. Проверка безопасности позволяет убедиться, что запуск файлов PHP в папке wp-content запрещен. Однако это действие может быть отменено на уровне файлов .htaccess или web.config. Также учтите, что после защиты папки wp-content могут перестать работать некоторые из ваших плагинов.wp-includes может содержать незащищенные файлы PHP, которые могут быть использованы для нанесения вреда вашему сайту. После установки WordPress файлы PHP могут запускаться из папки wp-includes. Проверка безопасности позволяет убедиться, что запуск файлов PHP в папке wp-includes запрещен. Однако это действие может быть отменено на уровне файлов .htaccess или web.config. Также учтите, что после защиты папки wp-includes могут перестать работать некоторые из ваших плагинов.wp-config.php содержит параметры доступа к базе данных и другую конфиденциальную информацию. После установки WordPress файл wp-config.php может быть запущен. Если по какой-то причине отключена обработка файлов PHP веб-сервером, хакеры могут получить доступ к содержимому файла wp-config.php. Проверка безопасности позволяет убедиться, что несанкционированный доступ к файлу wp-config.php заблокирован. Однако это действие может быть отменено на уровне файлов .htaccess или web.config.Префикс баз данных. Таблицы баз данных WordPress имеют одинаковые имена во всех установках WordPress. Если в именах таблиц баз данных используется стандартный префикс wp_, то становится известна вся структура баз данных WordPress, и кто угодно может получить из них любые данные. Проверка безопасности изменяет префикс в именах таблиц баз данных на отличающийся от wp_. Будет включен режим техобслуживания, деактивированы все плагины, изменен префикс в конфигурационном файле и в базе данных, заново активированы все плагины, обновлена структура постоянных ссылок и затем отключен режим техобслуживания.Ключи безопасности. Ключи безопасности WordPress (AUTH_KEY, SECURE_AUTH_KEY, LOGGED_IN_KEY и NONCE_KEY) обеспечивают шифрование информации, хранящейся в cookie-файлах пользователя. Хороший ключ безопасности должен быть длинным (от 60 символов), случайным и сложным. Проверка безопасности позволяет убедиться, что ключи безопасности созданы и содержат как минимум буквы и числа. Права доступа к файлам и папкам. Если права доступа к файлам и папкам не соответствуют политике безопасности, эти файлы могут быть использованы для взлома вашего сайта. После установки WordPress папки и файлы могут иметь разные права. Проверка безопасности позволяет убедиться, что файл wp-config.php имеет права 600, остальные файлы - 644, а папки - 755. Имя пользователя администратора. При установке WordPress по умолчанию создается пользователь с правами администратора и именем пользователя admin. Так как в WordPress нельзя изменить имя пользователя, для доступа к системе в качестве администратора злоумышленнику достаточно угадать только пароль. Проверка безопасности позволяет убедиться, что в системе нет пользователя с правами администратора и логином admin. Информация о версии. Каждая версия WordPress имеет общеизвестные уязвимости. Поэтому доступность информации о версии вашей установки WordPress делает ее более легкой добычей для хакеров. Версия незащищенной установки WordPress показывается в метаданных страниц и в файлах readme.html. Проверка безопасности позволяет убедиться, что все файлы readme.html пусты и во всех темах есть файл functions.php, содержащий следующую строку: remove_action(\'wp_head\', \'wp_generator\');.