«

»

Фев 25 2015

Защита WordPress от взлома. Дополнение

От взлома защищаем WordPress

Приветствую Вас уважаемые читатели и посетители блога boqdanov.ru. Сегодня еще раз хочу затронуть тему защиты вашего сайта WordPress от взлома. Совсем недавно я писал подробную статью на эту тему, где изложил основные варианты взлома сайта и способы их устранения. Можете почитать здесь.  Эта статья скорей дополнение к первой, но очень важное. Все мы прекрасно знаем, что  WordPress является одной из крупнейших платформ для создания  блогов и сайтов. Также все прекрасно знают, что по умолчанию в исходном коде прописана версия WordPress, якобы для дальнейшего отслеживания. Но этот оставленный след является отличным способом для нехороших людей (хакеров)  взломать сайт. А если вы еще и не обновляете движок WordPress до последней версии, то знайте, что скоро ваш веб-ресурс окажется в руках злодея.

Если вы работаете с последней версией WordPress, то эта статья не для Вас. Но если по каким-либо причинам Вы не обновляете движок, то прочитайте и примените все, что здесь написано.

Как защитить WordPress от взлома?

Существует много способов, как избавиться от показа версии WordPress  в вашем исходном коде. О некоторых я уже писал, но вкратце напомню.

Необходимо открыть свой файл header.php, далее найти и удалить следующий код:

 <meta name="generator" content="WordPress <?php bloginfo('version'); ?>" />

Еще один способ, открыть свой файл functions.php и добавить следующую функцию:

remove_action(</code><code class="string">'wp_head'</code><code class="plain">, </code><code class="string">'wp_generator'</code><code class="plain">);

Но оба эти варианта являются не полным решением проблемы. Эти способы удалят версию WordPress с главной страницы сайта. При просмотре исходного кода страницы, описание версии движка вы не найдете.

Но умный хакер, который знает WordPress, как свои пять пальцев, пойдет иным путем. Он откроет ваш RSS-канал (http://ваш сайт/feed или http://ваш сайт/rss)  и с легкостью найдет там актуальную версию WordPress. Я прошелся по нескольким сайтам и блогам и действительно через RSS можно узнать версию CMS. Радует, что владельцы большинства сайтов вовремя обновляются. Но есть и отдельные экземпляры. Вот сайт, которому около года, посещаемость в районе 250 человек. Открываю RSS  и наблюдаю такую картину: Защищаем сайт от взлома.

Скриншот сегодняшний, версия WordPress 3.9.3 ( актуальная 4.1.1), идеальный вариант для взлома. Надеюсь владелец сайта прочитает эту статью и предпримет меры.

Для того, чтобы полностью удалить номер WordPress версии, как со стороны главной страницы, так и RSS- канала, Вам  нужно будет добавить в файл functions.php следующую функцию:

function</code> <code class="plain">wpbeginner_remove_version() {
</code><code class="keyword">return</code> <code class="string">''</code><code class="plain">;</code>
}
add_filter(<code class="string">'the_generator'</code><code class="plain">, </code><code class="string">'wpbeginner_remove_version'</code><code class="plain">);

При добавлении этой функции, вы удалите номер версии WordPress во всех различных областях Вашего сайта. Это единственно правильный способ.

А вообще я рекомендую обновить WordPress до последней версии,  постоянно делать резервную копию всех файлов сайта, базы данных и не забывайте проверять сайт на вирусы. Будет Вам счастье!

А Вы знали о маленьком секрете WordPress?

CMS имеет дополнительную скрытую панель в админке.  Эта страница содержит сочетание всех настроек для вашего сайта.

Пропишите в адресной строке следующее:

http://ваш сайт/wp-admin/options.php

И перед вами открывается панель, которая содержит все настройки вашего веб-ресурса. Существенной пользы она не несет, но может кто-нибудь сможет найти ей применение.

Теперь вы знаете, как защитить свой сайт от взлома, прописав пару строк в файл functions.php.

На этом буду заканчивать. Удачи в делах!

С уважением, Богданов Антон!

 

Интересные материалы по теме: