Защита сайта на WordPress — безопасность входа и защищенное соединение
Безопасность сайта на WordPress не ограничивается сменой логина и пароля. В статье «Безопасность сайта — 7 рекомендаций + 7 плагинов и еще несколько советов для защиты блога» было выложено достаточно много полезной информации для того, что бы можно было спать спокойно, но продолжим и добавим нашему сайту на ВордПрессе еще некоторые дополнительные свойства.
Как запретить отображение ошибок на странице авторизации
В уроке «Как сменить логин и пароль администратора в WordPress» мы узнали о возможности смены стандартного имени «admin» на другое и узнали, как создать безопасный пароль. Есть только, одно «но». Любой пароль все равно можно подобрать и для более высокой защиты мы с вами создадим запрет на вывод ошибок авторизации. Все заключается в одной строчке, но для полноты картины описание будет подробным.
При ошибочной авторизации WordPress указывает на ошибку, что вы ввели неправильно.
Избавиться от строчки можно путем добавления кода в файл functions.php
код:
add_filter(‘login_errors’,create_function(‘$a’, return null;));
| Внимательно! Перед редактированием файла functions.php обязательно сделайте резервную копию базы данных. |
|---|
После данного дополнения при ошибке входа будет выводиться пустая строка:
Защитите файл wp-config.php
Мы с вами перенесли файл wp-config (!) и теперь давайте придадим ему большую надежность путем внесения нескольких строчек в файл .htaccess в вашей корневой папке. Фактически он запрещает злоумышленникам загружать yourblog.com/wp-config.php через браузер. И еще один важный момент необходимо важно убедиться, что файл .htaccess находится в той же директории что и файл wp-config.php.
код:
# protect wpconfig.php
<files wp-config.php>
order allow,deny
deny from all
</files>
Безопасность: SSL в панели администратора
Еще одна интересная фича для WordPress — это использование безопасного соединения при авторизации и шифрованное соединение для сайта во время работы в панели администратора. Для применения данной возможности у вас на хостинге должен быть включен SSH (англ. Secure SHell — «безопасная оболочка»). Для примера на хостинге Timeweb такая возможность есть.
Теперь для шифрования при входе в систему нам нужно в файл config.php добавить следующий код:
define(‘FORCE_SSL_LOGIN’, true);
|
Внимательно! редактировать файл config.php можно только до этих строчек.
|
|---|
Второй вариант — если вы хотите сделать соединение зашифрованным при работе в административной панели сайта WordPress, то необходимо в данный файл вписать другую строку:
define(‘FORCE_SSL_ADMIN’, true);
Теперь при первом входе вас уведомят, что соединение происходит через ваш хостинг (не стоит пугаться данного предупреждения) жмем «Окей» и получаем безопасное соединение сайта.
Вот таким не сложным образом мы можем увеличить безопасность нашего сайта, необходимо добавить всего несколько строчек, но зато на сколько становится спокойней. Если вы сомневаетесь в необходимости каких либо действий, то просмотрите статью «Безопасность сайта — жесть как она есть!»
| Создать свой сайт с SeoVast |
Так же читайте:
Также вы можете просмотреть Все записи блога
Комментарии закрыты.
Желаю Вашему блогу удачи и только положительных комментариев)))
Иванов Сергей Reply:
декабря 4, 2012 at 08:28
Спасибо)))
Спасибо, не знал, что у WordPress настраивается https соединение. Жалко мой хостер отключил всем SSH. Потребовать что ли?
Иванов Сергей Reply:
декабря 7, 2012 at 16:05
Да я думаю это не столь необходимо для простого блога, статья больше для изучения возможностей WordPress. Я лично для себя не стал оставлять.
Вы используете эти методы на данном сайте?
Иванов Сергей Reply:
февраля 3, 2013 at 19:01
Я данные плагины тоже использую, а вот на этом блоге или нет, к сожалению вам не подскажу (мало ли кто прочтет). Я хоть и не особо верю, что кому то это надо, но лучше себя обезопасить))