После установки WordPress рекомендуем Вам сделать несколько не сложных действий которые защитят и оптимизируют Ваш сайт.
1. Запретите людям просматривать содержимое ваших папок
Наверное, вам попадались сайты, зайдя на которые вместо стандартной html-страницы, вы видели некое подобие проводника со списком файлов и папок. Эти странички генерятся самим сервером, если он не находит индексный файл (index.php/index.html и т.п.). Чтобы такого не было (а ведь это тоже подсказка хакерам, если узнать, например, набор ваших плагинов, то можно спокойно попытаться провести XSS или SQL-инъекцию), достаточно в корне блога, в файле .htaccess добавить строку
Options All -Indexes
2. Отключаем контроль версий в WordPress 2.6+
В новой версии WordPress появился wiki-style контроль версий, позволяющий отслеживать все изменения поста/страницы за всём времени его существования. Так вот, полезность подобной "фичи" для сайтов с одним автором довольно сомнительна, зато появляются дополнительные строки в таблице wp_posts при каждой попытке изменить/добавить текст, что существенно увиличивает базу данных и отражается на скорости работы Вашего сайта.
Лечится это либо плагином No Revisions, либо одной строкой в wp-config.php:
define('WP_POST_REVISIONS', false);
Также Вы можете отключить или увеличить время автосохранения (по умолчанию оно происходит каждые 60 секунд при добовлении или редактировании новой записи). Для этого надо добавить одну строчку в wp-config.php:
define('AUTOSAVE_INTERVAL', время); - вместо слова "время" впишите нужное значение в секундах, например 600, запись будет сохранятся раз в 10 минут.
3. Удалите лишний код из шапки темы
WordPress в шапке (header.php) сайта указывает номер своей версии, что является буквально вызовом хакерам - вот я такой весь не обновлённый и дырявый, ломайте меня сколько влезет.
Чтобы удалить строку: <meta name="generator" content="WordPress 2.х" />, добавьте в файл functions.php, своей темы, следующее:
<?php remove_action('wp_head', 'wp_generator'); ?>
4. Удаление readme.html
Удалите readme.html из корня Вашего сайта, в нем также содержится о версии WordPress. Также жедательно удалять readme.html и readme.txt из все плагинов, это не позволит злоумышлинникам узнать версию установленного у Вас плагина.
Лично мне кажется, что если хакер надумает бомбануть какой либо блог, то ему будет все равно какой версии тот или иной блог, он все равно найдет лазейку. И это факт!
С .htaccess не разобрался -- при попытке что-то поменять сайт просто становится недоступен...
А что нельзя просто убрать из хедера
По пункту №3 , почему нужно добавлять в function.php что то , если можно просто убрать строчку meta name="generator" content="WordPress 2.х"
Спасибо, возможно это в последних версиях WP, а в 2.3.3 ничего не выводится
Привет Дима, вопрос по поводу:
define('WP_POST_REVISIONS', false);
у тебя в сборке 2.9.1 вместо 'false' стоит '0' - разницы нет?
Удалил все readme с сайта.
Не знаю на сколько это полезно, но так же послушал автора и удалил реадми.
Артур Вы не правы, например взломать WordPress 2.3 гораздо легче чем WordPress 2.7, разработчики в каждой новой версии исправляют большое количество уязвимостей.
Да и вообще если сломает, дак хоть пусть потрудится...