хуйу нас не матерятся
Продолжаем разбирать тему безопасности сайтов. В этот раз коснёмся безопасности самой популярной ЦМС в мире.
Самый основной путь взлома любого сайта- это брутфорс админки. В первую очередь пытаются подобрать пароль к самым распространённым логинам: admin, Admin, administrator итд. Значит, первое что нужно сделать - избавиться от подобного логина.
Открываем админку сайта и заходим в меню пользователей. Открываем пользователя admin и создаём ему ник. Ниже, в выпадающей менюшке "Отображать как" выбираем созданный ник. Теперь во всех созданных страницах будет указываться не реальный логин, а псевдоним.
Далее, если Вы уже оставляли комментарии под администратором, нам придётся изменить имя во всех комментариях. Если комментариев не много, то можно в каждом вручную изменить имя через админку wordpress. Если же комментариев большое количество, это займёт очень много времени. Процесс можно ускорить. С помощью phpmyadmin, откройте свою базу данных, сделайте резервную копию. Далее откройте редактор sql запросов и выполните следующий запрос:
UPDATE wp_comments set comment_author = 'new_name' WHERE comment_author = 'old_name';
Где new_name - новый ник администратора, а old_name старое имя пользователя в комментариях.
Далее, нам нужно сменить логин администратора wordpress, с помощью которого происходит авторизация на сайте. Тут же в phpmyadmin, откройте таблицу wp_users и посмотрите id Вашего пользователя, затем выполните следующий запрос:
UPDATE wp_users SET user_login = 'new_login' WHERE ID = user_id;
new_login - Новый логин для администратора сайта, придумайте что-нибудь неожиданное, чтобы злоумышленникам было сложнее угадать, например: IlovePonny.
user_id - id пользователя. Для администратора, который создаётся при установке wordpress id всегда = 1
Следующий шаг в большинстве ЦМС - изменение адреса админки. Например в Opencart можно сменить адрес с mySite.ru/admin на mySite.ru/myMegoAdmin, после чего ботам в принципе не будет известен адрес админки. К сожалению, в wordpress его изменить нельзя. Адреc /wp-admin/ захардкоден во множестве функций и его изменение поломает wordpress.
Ещё существует замечательный модуль- "iThemes Security". Ставим его, заходим в его настройки и активируем следующие опции:
Также iThemes Security предлагает скрыть backend в разделе "Hide Login Area". Эта опция полностью бесполезна и скрывает точку авторизации только от живого пользователя, который пытается зайти на страницу /wp-login.php. Роботам эта страница не нужна, они могут отсылать post запросы минуя её.
После этого нам остаётся только своевременно устанавливать обновления и наш вордпресс будет жить долго и счастливо!
iThemes Security скурвился и вырезал кучу функционала из бесплатной версии. Более того, фича с переименованием путя до админки перестала быть доступна, и теперь вернуть всё в зад можно только при помощи молотка, зубила и какой-то матери.