Что можно и желательно сделать после установки WordPress
После установки WordPress рекомендуем Вам сделать несколько не сложных действий которые защитят и оптимизируют Ваш сайт.
1. Запретите людям просматривать содержимое ваших папок
Наверное, вам попадались сайты, зайдя на которые вместо стандартной html-страницы, вы видели некое подобие проводника со списком файлов и папок. Эти странички генерятся самим сервером, если он не находит индексный файл (index.php/index.html и т.п.). Чтобы такого не было (а ведь это тоже подсказка хакерам, если узнать, например, набор ваших плагинов, то можно спокойно попытаться провести XSS или SQL-инъекцию), достаточно в корне блога, в файле .htaccess добавить строку
Options All -Indexes
2. Отключаем контроль версий в WordPress 2.6+
В новой версии WordPress появился wiki-style контроль версий, позволяющий отслеживать все изменения поста/страницы за всём времени его существования. Так вот, полезность подобной "фичи" для сайтов с одним автором довольно сомнительна, зато появляются дополнительные строки в таблице wp_posts при каждой попытке изменить/добавить текст, что существенно увиличивает базу данных и отражается на скорости работы Вашего сайта.
Лечится это либо плагином No Revisions, либо одной строкой в wp-config.php:
define('WP_POST_REVISIONS', false);
Также Вы можете отключить или увеличить время автосохранения (по умолчанию оно происходит каждые 60 секунд при добовлении или редактировании новой записи). Для этого надо добавить одну строчку в wp-config.php:
define('AUTOSAVE_INTERVAL', время); - вместо слова "время" впишите нужное значение в секундах, например 600, запись будет сохранятся раз в 10 минут.
3. Удалите лишний код из шапки темы
WordPress в шапке (header.php) сайта указывает номер своей версии, что является буквально вызовом хакерам - вот я такой весь не обновлённый и дырявый, ломайте меня сколько влезет.
Чтобы удалить строку: <meta name="generator" content="WordPress 2.х" />, добавьте в файл functions.php, своей темы, следующее:
<?php remove_action('wp_head', 'wp_generator'); ?>
4. Удаление readme.html
Удалите readme.html из корня Вашего сайта, в нем также содержится о версии WordPress. Также жедательно удалять readme.html и readme.txt из все плагинов, это не позволит злоумышлинникам узнать версию установленного у Вас плагина.
Предыдущие записи из рубрики `Настройка WordPress`
14 комментариев
Артур, 18.05.2009 в 09:21 Лично мне кажется, что если хакер надумает бомбануть какой либо блог, то ему будет все равно какой версии тот или иной блог, он все равно найдет лазейку. И это факт!
Ответить
Alex, 18.09.2009 в 10:08 С .htaccess не разобрался -- при попытке что-то поменять сайт просто становится недоступен...
Ответить
Deimos, 18.09.2009 в 21:52 Alex, может у Вас стоит запрет на использование htaccess? Что за хостинг?
Ответить
Виктор, 04.01.2010 в 12:04 А что нельзя просто убрать из хедера
ОтветитьВиктор, 08.01.2010 в 11:11 По пункту №3 , почему нужно добавлять в function.php что то , если можно просто убрать строчку meta name="generator" content="WordPress 2.х"
ОтветитьDeimos, 08.01.2010 в 11:52 Виктор, по тому что удаление этой строки в шаблоне не избавит Вас от вывода строчки:
Можете проверить сами... даже на дефолтном шаблоне WordPress 2.9.1 где вообще нет такой строки в header.php все равно выводится:
ОтветитьВиктор, 08.01.2010 в 14:46 Спасибо, возможно это в последних версиях WP, а в 2.3.3 ничего не выводится
ОтветитьDeimos, 08.01.2010 в 18:16 Виктор, да, по моему это было сделано после появления WordPress 2.5, я если честно точно не помню 😉
Ответить
Damir, 13.01.2010 в 15:37 Привет Дима, вопрос по поводу:
define('WP_POST_REVISIONS', false);
у тебя в сборке 2.9.1 вместо 'false' стоит '0' - разницы нет?
Ответить
Квай-Гон, 22.03.2015 в 11:40 Не знаю на сколько это полезно, но так же послушал автора и удалил реадми.
Ответить
Артур Вы не правы, например взломать WordPress 2.3 гораздо легче чем WordPress 2.7, разработчики в каждой новой версии исправляют большое количество уязвимостей.
Да и вообще если сломает, дак хоть пусть потрудится...