Как защитить свой сайт WordPress с помощью WP-Config?

Распечатать · Время на чтение: 6мин · Автор: · Опубликовано · Обновлено

воспроизвестиПрослушать статью

Защита сайта WordPress с помощью WP-Config.php?Каждый сайт WordPress содержит файл с именем «wp-config.php». Этот конкретный файл конфигурации WordPress является одним из наиболее важных файлов WordPress. Файл содержит множество параметров конфигурации, которые можно изменить для повышения безопасности сайта. В этом посте я покажу вам, как защитить ваш сайт WordPress с помощью файла конфигурации WordPress.

Как защитить сайт WordPress с помощью файла wp-config?

1. Изменить префикс базы данных

Вы когда-нибудь видели свои таблицы базы данных WordPress? (Вы можете получить к ним доступ через свою учетную запись веб-хостинга) По умолчанию база данных имеет одиннадцать таблиц. Каждый стол имеет определенную функцию. Например, wp_posts хранит информацию из сообщений, страниц и меню навигации. Поскольку функции каждой таблицы заранее определены, хакер знает, где хранятся данные вашего сайта. Например, если они хотят использовать пользователей вашего сайта, они могут нацелиться на таблицу «wp_users».

WordPress по умолчанию использует префикс «wp_» для всех таблиц. Изменение этого префикса на уникальный может помочь скрыть имена таблиц и защитить ваш сайт WordPress. Для этого откройте файл «wp-config».
Шаг 1: Чтобы получить доступ к wp-config.php, откройте свою учетную запись веб-хостинга и перейдите в панель управления хостингом. Выберите «Диспетчер файлов», и вы попадете на страницу, которая выглядит примерно так:

Защитите свой сайт WordPress

Шаг 2. С левой стороны есть папка public_html. В этой папке вы найдете файл wp-config.

Защитите свой сайт WordPress с wp-config.php

В файле wp-config измените следующую строку:

$table_prefix = ‘wp_’;

Вам нужно изменить ее на что-то случайное, например:

$table_prefix = ‘gibrid_’;

Это изменит имя таблиц в базе данных с «wp_users» на «gibrid_users», «wp_posts» на «gibrid_posts» и т. д.

2. Отключить редактирование файлов тем/плагинов

В панели управления WordPress есть возможность редактировать файл плагина/темы. Это означает, что с доступом к панели инструментов и достаточными разрешениями любой может редактировать ваши темы или плагины.

Возможность редактировать файл плагина/темыХотя это удобный инструмент, если вы хотите перенастроить какой-либо плагин, он становится опасным в руках хакера. Например, предположим, что хакеру удалось проникнуть на ваш сайт с помощью эксплойта. Им легко добавить вредоносное ПО в существующий плагин или тему. Они могут скрывать бэкдор, которым они позже воспользуются, чтобы получить доступ к вашему сайту, когда захотят. Вы можете предотвратить это и защитить свой сайт WordPress, отключив возможность редактирования этих файлов. Просто поместите следующий код в конфигурационный файл WordPress:

define(‘DISALLOW_FILE_EDIT’,true);

3. Запретить пользователям устанавливать или обновлять плагины и темы

Запрет пользователям редактировать эти файлы предлагает только один уровень безопасности. Это не мешает хакерам установить вредоносный плагин, который они могут использовать для взлома вашего сайта. Получив доступ к панели администратора вместе с правами пользователя, они могут установить мошенническую тему или плагин. Если вы не часто устанавливаете плагины, вы можете отключить эту опцию, добавив следующий код в файл конфигурации WordPress:

define(‘DISALLOW_FILE_MODS’,true);

4. Принудительное использование «FTP»

Запрет пользователям устанавливать и обновлять плагины и темы может быть ограничительным и даже нецелесообразным для сайтов, которые довольно часто устанавливают плагины. Более того, обновление тем и плагинов очень важно для безопасности сайта. Альтернативный метод убедиться, что плагины устанавливаются действительным пользователем, — заставить пользователей предоставить данные «FTP». Даже если ваша панель администратора скомпрометирована, хакеры не смогут установить мошеннический плагин, если у них нет ваших учетных данных FTP.

Просто добавьте следующие строки в ваш «wp-config.php»:

define(‘FS_METHOD’, ‘ftpext’);

Если ваш веб-хост или сервер поддерживает FTPS, добавьте следующие строки в файл конфигурации:

define(‘FTP_SSL’, true);

Если ваш веб-хост или сервер поддерживает «SFTP», добавьте следующие строки:

define(‘FS_METHOD’, ‘ssh2’);

5. Изменить ключи безопасности

Вам не нужно вводить свои учетные данные каждый раз, когда вам нужно войти на свой сайт. Вы когда-нибудь задумывались, как ваш браузер хранит эти учетные данные? После входа в свою учетную запись ваша информация для входа сохраняется в зашифрованном виде в файле cookie браузера. Ключи безопасности — это случайные переменные, которые помогают улучшить это шифрование. Если ваш сайт взломан, изменение секретных ключей приведет к аннулированию файлов cookie и заставит каждого активного пользователя автоматически выйти из системы. После сброса хакер теряет доступ к вашему администратору WordPress. Вы можете сгенерировать новый набор ключей безопасности и поместить их в файл «wp-config». Это поможет защитить ваш сайт WordPress.

6. Скройте «wp-config.php»

На любом сайте WordPress файл wp-config имеет расположение по умолчанию. Следовательно, изменение местоположения файла может предотвратить его попадание в руки хакеров. К счастью, WordPress позволяет папке «wp-config» находиться вне вашей установки WordPress. Например, если ваш WordPress установлен в папке public_html, то файл конфигурации будет присутствовать в папке public_html по умолчанию. Но вы можете переместить wp-config за пределы папки public_html, и он все равно будет работать.

7. Защитите файл wp-config.php

Конфигурация уязвима для атак, что делает обязательным ее обеспечение. Один из способов сделать это — изменить его местоположение, чтобы хакеры не могли найти его в местоположении по умолчанию. Хотя некоторые разработчики могут возражать против этого, многие считают, что это хорошая идея.

Еще одна мера безопасности, которую вы можете предпринять, — ограничить права доступа к файлам. Установите права доступа к файлу на 600, чтобы только настоящие владельцы могли редактировать файл wp-config. Чтобы изменить разрешение файла wp-config, выберите файл, а затем выберите параметр «Разрешение».

Защитите файл wp-config.php

Затем вам нужно включить следующие строки в файл .htaccess, чтобы хакеры не могли загрузить файл wp-config непосредственно из браузера.
# protect wpconfig.php

<files wp-config.php>

 order allow,deny

 deny from all

</files>

В заключение

На этом я рассмотрел, как защитить ваш сайт WordPress с помощью файла wp-config, но это лишь один из многих способов повысить безопасность вашего сайта. Некоторые другие меры безопасности, которые вы можете предпринять, включают использование подключаемого модуля безопасности, использование SSL-сертификата, использование уникального и надежного имени пользователя и пароля, внедрение HTTP-аутентификации и двухфакторной аутентификации, среди прочего. Но прежде чем применять любой из этих методов, вы должны сделать резервную копию своего сайта. Если что-то пойдет не так, вы можете просто восстановить резервную копию и быстро запустить наш сайт.

Спасибо, что читаешь Nicola Top

Насколько публикация полезна?

Нажмите на смайлик, чтобы оценить!

Средняя оценка 5 / 5. Количество оценок: 172

Оценок пока нет. Поставьте оценку первым.

Читайте также:

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *

4 × 3 =