25 мая 2020 г.
Время чтения: 3 минуты

Конфиденциальность данных — ключ к безопасности в WordPress

Зная дополнительную информацию о вашем WordPress-сайте, взломщики получают больше шансов провести успешную атаку на него. Позаботьтесь о том, чтобы скрыть конфиденциальные сведения и тем самым усложнить задачу киберпреступникам.

Измените стандартное имя пользователя

По умолчанию WordPress предлагает первому администратору сайта слово «admin» в качестве имени пользователя. К слову, в нашем сервисе «Джино.Спектр» для этого используется «spectrum_admin». А имя пользователя одновременно служит логином при входе в панель.

Если при регистрации в WordPress вы не выбрали любое другое имя, то злоумышленникам будет легче получить доступ к сайту. Однако для изменения логина можно создать нового пользователя с другим именем и затем использовать для работы новый профиль, удалив более уязвимый прежний.

В главном меню в разделе «Пользователи» выберите пункт «Добавить нового». Создайте новую учётную запись с любым нестандартным именем пользователя и в меню «Роль» укажите «Администратор». Затем нажмите на «Добавить нового пользователя». В результате вы получите новый профиль с доступом ко всем функциям сайта.

После этого выйдите из профиля «admin» и зайдите в новый профиль. Теперь можно избавиться от прежней учётной записи: в пункте «Все пользователи» раздела «Пользователи» наведите курсор на профиль «admin» и нажмите «Удалить».

Задайте собственный префикс базы данных

Базы данных в WordPress используют стандартный префикс wp-. Благодаря этому взломщикам иногда не составляет труда обнаруживать их и впоследствии атаковать. Поэтому префикс wp- рекомендуется поменять на любой другой. Перед началом работ убедитесь, что у вас имеется резервная копия базы данных.

Зайдите в phpMyAdmin. Выберите требующуюся базу данных и сделайте к ней следующий запрос:

RENAME table 'wp_commentmeta' TO 'новыйпрефикс_commentmeta';
RENAME table 'wp_comments' TO 'новыйпрефикс_comments';
RENAME table 'wp_links' TO 'новыйпрефикс_links';
RENAME table 'wp_options' TO 'новыйпрефикс_options';
RENAME table 'wp_postmeta' TO 'новыйпрефикс_postmeta';
RENAME table 'wp_posts' TO 'новыйпрефикс_posts';
RENAME table 'wp_terms' TO 'новыйпрефикс_terms';
RENAME table 'wp_term_relationships' TO 'новыйпрефикс_term_relationships';
RENAME table 'wp_term_taxonomy' TO 'новыйпрефикс_term_taxonomy';
RENAME table 'wp_usermeta' TO 'новыйпрефикс_usermeta';
RENAME table 'wp_users' TO 'новыйпрефикс_users';

(используйте ` вместо ' в этом фрагменте кода)

Вместо «новыйпрефикс» укажите любое слово или сочетание букв. После этого префикс будет изменён.

Удостовериться в том, что префикс поменялся везде, где необходимо, поможет проверка таблиц _options и _usermeta с помощью этого запроса:

SELECT * FROM 'новыйпрефикс_options' WHERE 'option_name' LIKE ‘%wp_%’
SELECT * FROM 'новыйпрефикс_usermeta' WHERE 'meta_key' LIKE ‘%wp_%’

(используйте ` вместо ' в этом фрагменте кода, кроме обозначения %wp_%)

Таким образом вы сможете обнаружить места, где префикс всё ещё остался прежним. Замените его в каждом из таких случаев вручную с помощью пункта «Изменить». Только после изменения абсолютно всех префиксов сайт будет работать стабильно.

Также обязательно укажите название нового префикса в файле wp-config.php, добавив в него строку:

$table_prefix = ‘новыйпрефикс’;

Скройте свою версию WordPress

Так устроена эта CMS, что её текущая версия отображается в исходном коде файлов и страниц. Благодаря чему взломщики могут подобрать подходящий способ взлома вашего сайта, особенно если версия не самая свежая. Необходимо позаботиться о том, чтобы эта информация нигде не была видна.

Используйте файл functions.php, чтобы с его помощью поставить запрет на вывод информации о версии WordPress. Для этого откройте корневую папку выбранной темы вашего сайта (wp-content/themes/выбраннаятема) и откройте файл. Убедитесь, что у вас имеется его резервная копия.

Вставьте в конце файла следующий код и затем нажмите «Обновить» / «Сохранить»:

add_filter('the_generator', '__return_empty_string');
function rem_wp_ver_css_js( $src ) {
⠀⠀⠀⠀if ( strpos( $src, 'ver=' ) )
⠀⠀⠀⠀⠀⠀⠀⠀$src = remove_query_arg( 'ver', $src );
⠀⠀⠀⠀return $src;
}
add_filter( 'style_loader_src', 'rem_wp_ver_css_js', 9999 );
add_filter( 'script_loader_src', 'rem_wp_ver_css_js', 9999 );

Также необходимо сделать поправку в файле header.php используемой вами темы, в котором тоже отображается версия WordPress. Он находится там же, где и functions.php. Удалите из файла эту строку, если она там имеется:

<meta name=”generator” content=”WordPress <?php bloginfo (’version’); ?>” />

К тому же версия WordPress и другая конфиденциальная информация содержатся в файлах readme.html и license.txt, которые расположены в корневой папке сайта. Это же относится и к файлу install.php в папке wp-admin. Все их можно попросту удалить.

VPS или виртуальный хостинг — что лучше для сайта?

Доменные зоны с двойным смыслом — .me / .cc / .tv

Рекомендуем

30 важных инструментов для фронтенда. Часть 3

Создайте своё пространство в Сети: зоны .space / .center / .zone / .place

Нашли ошибку в тексте? Выделите ее и нажмите Ctrl + Enter
© «Джино», 2003–2020. «Джино» является зарегистрированным товарным знаком.
Лицензия на телематические услуги связи № 150549 от 09.03.2017.
Правовая информация Политика конфиденциальности Карта сайта