Что можно и желательно сделать после установки WordPress

После установки WordPress рекомендуем Вам сделать несколько не сложных действий которые защитят и оптимизируют Ваш сайт.

1. Запретите людям просматривать содержимое ваших папок
Наверное, вам попадались сайты, зайдя на которые вместо стандартной html-страницы, вы видели некое подобие проводника со списком файлов и папок. Эти странички генерятся самим сервером, если он не находит индексный файл (index.php/index.html и т.п.). Чтобы такого не было (а ведь это тоже подсказка хакерам, если узнать, например, набор ваших плагинов, то можно спокойно попытаться провести XSS или SQL-инъекцию), достаточно в корне блога, в файле .htaccess добавить строку
Options All -Indexes

2. Отключаем контроль версий в WordPress 2.6+
В новой версии WordPress появился wiki-style контроль версий, позволяющий отслеживать все изменения поста/страницы за всём времени его существования. Так вот, полезность подобной "фичи" для сайтов с одним автором довольно сомнительна, зато появляются дополнительные строки в таблице wp_posts при каждой попытке изменить/добавить текст, что существенно увиличивает базу данных и отражается на скорости работы Вашего сайта.
Лечится это либо плагином No Revisions, либо одной строкой в wp-config.php:
define('WP_POST_REVISIONS', false);
Также Вы можете отключить или увеличить время автосохранения (по умолчанию оно происходит каждые 60 секунд при добовлении или редактировании новой записи). Для этого надо добавить одну строчку в wp-config.php:
define('AUTOSAVE_INTERVAL', время); - вместо слова "время" впишите нужное значение в секундах, например 600, запись будет сохранятся раз в 10 минут.

3. Удалите лишний код из шапки темы
WordPress в шапке (header.php) сайта указывает номер своей версии, что является буквально вызовом хакерам - вот я такой весь не обновлённый и дырявый, ломайте меня сколько влезет.
Чтобы удалить строку: <meta name="generator" content="WordPress 2.х" />, добавьте в файл functions.php, своей темы, следующее:
<?php remove_action('wp_head', 'wp_generator'); ?>

4. Удаление readme.html
Удалите readme.html из корня Вашего сайта, в нем также содержится о версии WordPress. Также жедательно удалять readme.html и readme.txt из все плагинов, это не позволит злоумышлинникам узнать версию установленного у Вас плагина.

Рубрика: Настройка WordPress | 10 марта 2009

Предыдущие записи из рубрики `Настройка WordPress`

14 комментариев

Артур, 18.05.2009 в 09:21

Лично мне кажется, что если хакер надумает бомбануть какой либо блог, то ему будет все равно какой версии тот или иной блог, он все равно найдет лазейку. И это факт!

ОтветитьОтветить
Deimos, 18.05.2009 в 09:27

Артур Вы не правы, например взломать WordPress 2.3 гораздо легче чем WordPress 2.7, разработчики в каждой новой версии исправляют большое количество уязвимостей.
Да и вообще если сломает, дак хоть пусть потрудится...

ОтветитьОтветить
Alex, 18.09.2009 в 10:08

С .htaccess не разобрался -- при попытке что-то поменять сайт просто становится недоступен...

ОтветитьОтветить
Deimos, 18.09.2009 в 21:52

Alex, может у Вас стоит запрет на использование htaccess? Что за хостинг?

ОтветитьОтветить
Виктор, 04.01.2010 в 12:04

А что нельзя просто убрать из хедера

ОтветитьОтветить
Deimos, 04.01.2010 в 16:39

Виктор, не понял вопроса, кого убрать?

ОтветитьОтветить
Виктор, 08.01.2010 в 11:11

По пункту №3 , почему нужно добавлять в function.php что то , если можно просто убрать строчку meta name="generator" content="WordPress 2.х"

ОтветитьОтветить
Deimos, 08.01.2010 в 11:52

Виктор, по тому что удаление этой строки в шаблоне не избавит Вас от вывода строчки:

Можете проверить сами... даже на дефолтном шаблоне WordPress 2.9.1 где вообще нет такой строки в header.php все равно выводится:

ОтветитьОтветить
Виктор, 08.01.2010 в 14:46

Спасибо, возможно это в последних версиях WP, а в 2.3.3 ничего не выводится

ОтветитьОтветить
Deimos, 08.01.2010 в 18:16

Виктор, да, по моему это было сделано после появления WordPress 2.5, я если честно точно не помню 😉

ОтветитьОтветить
Damir, 13.01.2010 в 15:37

Привет Дима, вопрос по поводу:
define('WP_POST_REVISIONS', false);
у тебя в сборке 2.9.1 вместо 'false' стоит '0' - разницы нет?

ОтветитьОтветить
Deimos, 13.01.2010 в 22:47

Damir, да это одно и тоже, можно писать и так и так 😉

ОтветитьОтветить
Николай, 09.08.2013 в 18:14

Удалил все readme с сайта.

ОтветитьОтветить
Квай-Гон, 22.03.2015 в 11:40

Не знаю на сколько это полезно, но так же послушал автора и удалил реадми.

ОтветитьОтветить

Комментировать