WordPress este cea mai utilizata platforma de Blog, in ultimul timp lumea a inceput sa il foloseasca si pentru alte genuri de site-uri gen Magazin Online, Site de prezentare, etc.
WordPress a devenit cea mai populara platforma pentru blogging, fiind preferat in locul altor platforme ca Blogger, Drupal, Joomla, etc.
Fiind o platforma open-source, WordPress este departe de a fi imun la Hackerii, vulnerabilitati sau cod malitios.
Va oferim 10 pasi pentru securitatea platformei WordPress:
1. Back-up-ul regulat la bazei de date SQL
Un Backup pe zii este suficient cat sa te asiguri ca munca ta este protejata si nu ai riscul de a pierde tot.
2. Securizarea folderului “wp-admin”
Folderul /wp-admin contine toate fisierele si resursele necesare pentru administrarea website-ului dvs., pe platforma WordPress.
Daca aceste fisiere sunt compromise, un Haker poate obtine control complet asupra platformei WordPress.
O metoda extrem de sigura pentru a securiza accesul la aceste fisiere, inclusiv la Dashboard-ul de administrare WordPress este limitarea IP-urilor de la care sunt acceptate conexiunile catre interfata de administrare.
In situatia in care dumneavoastra sunteti unicul administrator al platformei WordPress instalata si nu exista alti utilizatori ce publica pe site-ul dvs., puteti modifica fisierul .htaccess pentru a permite doar anumite conexiuni, de la adrese IP specificate.
Daca fisierul .htaccess nu exista in folderul /wp-admin, puteti creea unul utilizand orice editor de text:
order deny, allow
allow from xxx.xxx.xxx.xxx #introduceti adresele IP acceptate
deny from all #Orice alta adresa IP ce nu se afla in lista de mai sus nu se va putea conecta in consola de administrare.
Salvati fisierul in folderul /wp-admin
3. Restrictionati afisarea numarului de versiune al platformei WordPress instalate
In WordPress nu este bine sa lasati vizibil versiunea de WordPress folosita, pentru a nu mai fii publica trebuie sa va duceti in template-ul folosit si editati fisierul header.php si stergeti urmatoarea linie:
<meta name="generator" content="WordPress <?php bloginfo('version'); ?>" />
4. Stergeti contul “admin”
Dupa ce terminati de instalat WordPress va conectati la admin va duceti la user si mai adaugati un user nou cu permisiune de administrator, dupa care stergeti contul de admin.
5. Criptati cookie-urile generate de WordPress
6. Actualizati platforma WordPress cu noile versiuni disponibile
7. Utilizati o parola complexa pentru contul de administrator
8. Folositi permisiunile corecte pentru fisierele de configurare WordPress
9. Limitati accesul spider-ilor de indexare ale motoarelor de cautare
10. Restrictionati accesul la fisierul wp-config.php
cat se poate de util acest articol andrei, Felicitari.
Cum putem restrictiona accestul la fisierul wp-config.php ?
Kkey76 cel mai bine ii pui permisiunea de 644 la wp-config.php daca firma de la care ai hosting are facute setarile de open_basedir si functiile php disable sa nu poata pune lumea php shell pe server este ok.
Pe serverele noastre noi avem dezactivate acelefunctii si open_basedir setat ca fiecare client sa nu poata umbla in alte directoare inafara de /home/username /tmp /usr/lib/php /usr/local/lib/php.
Cel mai bine seteaza permisiunea de 644 si intreaba firma de hosting daca foloseste open_basedir dar din cate stiu Host Vision nu foloseste aceasta functie si poate rula php shell pe serverele lor cea ce nu este ok.