WordPress, BuddyPress, MediaWiki

В этой записи расскажу общие рекомендации для безопасного ведения блога на WordPress.

1. Пароли
Пароль администратора появляется при установке WordPress.
Настоятельно рекомендуется его сменить на другой, труднозапоминаемый, не связанный с владельцем блога по какому-либо признаку.
В качестве длины пароля следует использовать не менее 10 (лучше 15) символов и не более 20 (можно и больше, но особого преимущества уже не будет).
Также рекомендуется менять пароль, как минимум 1 раз в 3 месяца, и хранить его в недоступном месте.
Разумеется, использовать одинаковые или похожие пароли на нескольких сайтах не следует.

2. Обновления
Обновления ПО появляются по нескольким причинам, одна из которых - решение проблем безопасности, обнаруженных с момента выхода предыдущей версии.
Обновления можно разделить на 3 группы:

• обновление ядра WordPress
• обновление плагинов WordPress
• обновление тем (шаблонов) WordPress

Сейчас вопрос обновлений решается просто - в админ-панели блога появляется сообщение о новой версии ядра WordPress, появлении новых версий плагинов, или о доступности новых версий используемых тем.
Все что остается - сделать бекап базы данных и файлов блога, и нажать на кнопку “Обновить” в админ панели блога.

3. Регистрация пользователей
Запрещать или разрещать регистрацию новых пользователей, владелец блога решает самостоятельно.
Если на блоге будет ТОЛЬКО 1 автор - владелец блога, то лучше отключить регистрацию новых пользователей.
Это позволит заблокировать доступ любому пользователю в админ панель блога (у WordPress она она для всех).

Для возможности комментирования записей на блоге, достаточно включить опцию комментирования без регистрации в настройках блога.

Если же осталось желание сделать регистрацию, то рекомендую для новых пользователей блога явно указывать их роли (и права) с минимально необходимым уровнем.

4. Плагины
При использовании плагинов важно помнить следующие моменты (о своевременном обновлении говорил выше)

• Активировать и использовать только необходимые плагины, остальные отключить и если они не требуются удалить.
• Использовать только проверенные плагины, с историей и известным автором.

5. Backup
Под backup’ом подразумевается резервное копирование базы данных блога и файлов блога.
Хостинг-провайдеры предоставляют различные инструменты для создания резервных копий, в том числе и автоматических по расписанию.
Также можно использовать плагины WordPress для целей backup’a (подробнее в другой раз).
В крайнем случае, можно вручную делать копии архивные копии файлов блога (например через SFTP) и базы данных блога (например из phpMyAdmin).

6. SFTP или SSH
Рекомендуется для работы с файлами на хостинге использовать протокол SFTP или SSH вместо FTP протокола.
Разумеется, использование SFTP или SSH зависит от возможностей хостинга.
SFTP и SSH - более надежны, т.к. защищены шифрованием. При желании можно отключить FTP протокол (если настроен SFTP или SSH), чтобы более никто не смог им воспользоваться.

7. Не участвуйте в подозрительных эстафетах.

В последнее время я вижу, как на некоторых блогах проходит так называемая эстафета – какая-то идея кочует с блога на блог и передается дальше. Одна из последних эстафет – публикация списка используемых плагинов. Я не советую Вам участвовать в такой эстафете, потому что тем самым Вы сами раскрываете пингвинам список своих плагинов, и ему остается только подобрать эксплойт. Конечно, информацию о Ваших плагинах можно увидеть даже в исходном коде страницы, однако, не о далеко не всех. Поэтому лучше не светить эти вещи.

Источник http://www.wpbot.ru/?p=1161

По материалам статей
http://maxsite.org/bezopasnost-wordpress-kratkoe-rukovodstvo
http://adengin.ru/2008/04/15/bezopasnost-wordpress/
http://igorosa.com/8-tweeks-wordpress-security/
http://blogbook.ru/2008/02/07/bezopasnyiy-blog-na-wordpress/
http://wordpress.by/2009/08/27/10-shagov-k-bezopasnosti-wordpress/

Нет похожих записей

written by rxs