Turbūt daugelis, kas naudojate WordPress, pastebėjote, kad pastaruoju metu atnaujinimų sulaukiame gana dažnai, bet tai daugiau saugumo lopai, nei funkcionalumo atnaujinimai. Nemažai populiarių tinklaraščių buvo nulaužti dėl WordPress saugumo bėdų. Ponas Matt Cutts, kuris, kaip žinia, yra vienas žinomiausių Google darbuotojų, parašė tris paprastus būdus, kaip apsaugoti savo tinklaraštį, paremtą WordPress (WP) sistema.
- Pirma, ką siūlo Metas, tai blokuoti bet kokį priėjimą prie WP administravimo, įskaitant pirmą slaptažodžio įvedimo langą. Tam reikia WP kataloge /wp-admin/ į .htaccess failą įrašyti kodą, leidžianti tik prisijungimus iš tam tikrų IP adresų (jūsų).
AuthUserFile /dev/nullAuthGroupFile /dev/nullAuthName "Access Control"AuthType Basicorder deny,allowdeny from all# leidžiami IP adresai
allow from111.111.111.111allow from111.111.111.111
Toks būdas veiks jei turite nekintančius IP adresus.
- Dar siūlo sukurti tuščia index.html failą kataloge wp-content/plugins/. Tai padės paslėpti naudojamus įskiepius, kurie patys gali turėti saugumo skylių. Keistas būdas, paprastai priėjimas prie šių direktorijų yra ir taip draudžiamas.
- Užsiprenumeruoti WP kūrėjo tinklaraščio naujienas (http://wordpress.org/development/feed) ir diegti visus pasirodančius atnaujinimus nedelsiant ir neatidėliojant.
Ekstra patarimas, ištrinkite šią eilutę:
<meta name="generator" content="WordPress <?php bloginfo('version'); ?>" /> <!-– leave this for stats please -->.
Ji piktavaliams padeda nustatyti naudojamą WP versiją ir pasinaudoti žinomomis saugumo skylėmis, jei netyčia užmiršote įsidiegti vieną ar kitą saugumo atnaujinimą.
2 Comments
Nelabai suprantu, kodėl pastaroji žyma apskritai pagal nutylėjimą įtraukta į WP. Juk tai tiesiai šviesiai pasako „Hack me!“
Faina. Tik patarkit – is kur ta eilute istrinti. Atleiskit uz durna klausima.