Дайте несколько простеньких советов о базовой защите сайта
-
Слыхал, что нужно редактировать префикс «wp-» — это правда важно? Может, есть какие-то полезные плагины еще и т.д.
-
что нужно редактировать префикс «wp-»
овчинка выделки не стоит, потратите время, создадите достаточно неудобств себе, получите несовместимости с некоторыми не очень хорошо написаными плагинами.
простенькие советы:
1. не ставить темы и плагины из непроверенных источников
2. вовремя обновлять плагины, темы и сам WP (хотя для WP на нормальных хостах работает автообновление)
3. соблюдать «гигиену» на своем компьютере (вирусы и трояны могут воровать пароли и перехватывать трафик с компьютера администратора)
4. использовать хороший хостинг.
5. регулярно делать бэкапы и хранить их в надежном местепростенькие советы
СПАСИБО!!
Слыхал, что нужно редактировать префикс «wp-» — это правда важно?
1. Не
wp-
,wp_
. Мелочь, но..
2. Редактировать на существующем сайте не нужно — это приведёт к проблемам. А вот при установке изменять стоит. Но это не ради безопасности, а для лучшего понимания какому сайту принадлежат таблицы. Ну и немного от случайных затираний данных.Не wp-, wp_. Мелочь, но..
вот тут стоит определиться префикс чего именно,
если таблиц в БД тоwp_
изменить его стоит при установке, это мелочь, но тем не менее дает какую-то защиту от SQL иньекций, если таковые вдруг обнаружатся в установленном «добре»я при своем ответе восприняла это как префикс путей
wp-
(wp-content/ в первую очередь), да, можно колдовать с путями, и вообще убирать вплоть до wp-includes (что достаточно трудозатратно и паранойяльно),но (еще раз) овчинка обычно выделки не стоитвот тут стоит определиться префикс чего именно,
Ну обычно речь про префикс базы «советуют». Я так и подумал.
Чтобы файлы/каталоги переименовывать — это уже за гранью 🙂 (ну разве что встречается ересь про изменение адреса авторизации)есть любители пытаться скрыть факт использования WordPress в исходном коде страницы, не ограничивающие себя удалением тега meta generator
ну разве что встречается ересь про изменение адреса авторизации
А почему это ересь — изменение wp-login.php на произвольный?
@fierevere, а в чем смысл менять префиксы? это защита только от дефолтных атак или что-то действительно серьезное произойдет?
@raikoho, поставь плагин который после 3 неправильных вводов л\п — забанит на ~15 минут.
@perdyllo, потому что любой адекватный человек все равно найдет страницу входа.getandgel , если для sql иньекции требуется знать таблицу, например wp_users, wp_usermeta чтобы создать аккаунт админа, то если был сменен префикс,то параметры по умолчанию не пройдут, т.к.таблицы будут иметь другие имена
В принципе в паре плагинов такие дыры обнаруживали, боты, которые уязвимости ищут обходом сайтов измененный префикс таблицы точно не найдут.
Как кстати и страницу входа, если ее изменили.WPS Hide Login Простой плагин для смены wp-login и wp-admin на произвольный.
Отслеживал попытки входа в админку, оказалось боты брутфорс систематически пробуют зайти в админку. Поставил этот плагин и естественно больше никто не пыталя зайти 🙂 Плюс мне на главную трафик 🙂 Плагин переадресует с wp-login.php на главную.
Есть решения смены адреса входа вручную, но решил плагином всеже пользоваться.Плюс мне на главную трафик
Трафик от тупых ботов, несомненно, ценное приобретение 🙂
Поделитесь, что, кроме нагрузки на сервер, Вы от этого получили?
p.s. Прошу прощения за «тупых». Ошибся спросоння. Тупым ботам редиректы до фени.
- Ответ изменён 6 лет, 10 месяцев назад пользователем Юрій. Причина: p.s
А почему это ересь — изменение wp-login.php на произвольный?
К перечисленному коллегами я добавлю другую сторону — это ещё и тоже, что и локалхосты и запреты ПКМ/выделения контента при обращении за помощью.
@fierevere, спасибо за ответ, но если мы говорим об этом серьезно — то это малоэффективные методы. Нормальные сканеры проверяют уязвимости не только на дефолтах.
- Тема «Дайте несколько простеньких советов о базовой защите сайта» закрыта для новых ответов.