Чтобы процесс установки Вордпресс стал как можно более безопасным, надо придерживаться простых правил. Прежде всего, необходимо всегда проверять версию инсталлятора, потому как с новой версией Вордпресс закрываются лазейки для хакеров. Далее, на этапе инсталляции требуется использовать ключи аутентификации.Начнем по порядку. Первое, что надо сделать, это просто проверить header. php на присутствие в нем строчки, которая позволяет определить версию движка.
Удалите такую строку. Она дает возможность легко узнать, какую версию Вордпресс вы применяете. Эта строка как оказалось полезна как для разных ботов, собирающих статистику, и для хакеров, что с легкостью смогут выбрать необходимый эксплойт, так как дыры, имеющиеся в той или другой версии, довольно быстро оказываются известными.
Удостоверитесь, что в wp-config.php есть все секретные ключи. Потому что они сделают установку как можно более безопасной.
Аккаунты и пароли
Первое, что непременно надо сделать после установки Вордпресс - войти в панель и поменять логин администратора. Ведь по умолчанию администратору дается стандартное имя admin. Вот почему взломать пароль просто – делается это способом стандартного перебора. Когда злоумышленник сможет получить пароль от администраторской записи, он сумеет сделать с ресурсом все, что угодно. В результате, сменив имя администратора, есть возможность получить уверенность в том, что, по меньшей мере, один путь к возможному взлому хакеров будет отрезан.
Но, это не дает гарантии, что хакеры не могут найти других аккаунтов с правами администратора. Когда на блоге есть архивы, они смогут вас выдать. Вероятное решение - нигде и никогда не оставлять ссылок на профиль (помимо ведущих за границы Вордпресса), но что делать, когда без них не обойтись?
Этот простой вопрос можно решить так - назначить с помощью администраторской записи отдельно взятого аккаунта, от лица которого вы станете добавлять записи, потом редактировать их, проверять все комментарии и так далее. И запись администратора будет оставаться неизвестной для возможных взломщиков. Но, они смогут взломать учетку с правами редактора, что может привести к удалению всей стоящей информации на веб-сайте, которая имеется. Когда вы создавали постоянные резервные копии стоящей информации, то ее можно будет восстановить.
Существенно увеличивает безопасность ресурса правильно выбранный пароль - чем больше разных знаков он может содержать, тем проблематичнее его взломать.
Любой пользователь, назначенный для постоянно работы с MySQL, получит все привилегии записи, что, честно говоря, абсолютно ему не нужны и только снижают совместную безопасность веб-сайта. Когда вы немножко ограничите возможности посетителя MySQL (блокировку таблиц, обновление временных таблиц, процедур), это не повлияет на вашу работу, однако существенно снизит риск потерь стоящей информации при взломе.
Отдельные эксперты Вордпресс рекомендуют создавать дополнительные логины с помощью Apache и htaccess. Но более продвинутые решения обычно предлагают разные модули, описанные далее.
Первое, что надо сделать, это просто проверить, есть ли index. php в каждой папке веб-сервера. В большинстве случаев файл создается в Вордпресс по умолчанию. Он блокирует непосредственный осмотр содержимого папок, что допускается кое-какими веб-хостингами. Когда он в какe.-нибудь из папок он отсутствует, нужно его создать.
Уделяем внимание безопасности WordPress при установке или обновлении движка
