Защита WordPressДумаю, никто не будет спорить о том, что безопасность сайта (блога) играет очень важную роль. Не знаю почему так происходит, но большинство людей начинают задумываться о безопасности именно тогда, когда уже что-то произошло. Это может быть что угодно: хакнули базу данных, подобрали логин, пароль и делают что хотят или просто спамят комментарии, после чего Ваш блог превращается в помойку для ссылок и рекламных предложений. Одним словом, с этим необходимо бороться или предохраняться во избежание сюрпризов. Именно об этом мы более детально и поговорим...

Для начала просмотрим несколько хороших плагинов, а затем поковыряемся немного в коде и настроем все как положено. Итак, за дело!

1. TAC (Theme Authenticity Checker) — проверяет любую скачанную тему на наличие вредоносных ссылок (не требует настроек). Устанавливаете как обычный плагин, активируете и после этого в блоке «Внешний вид» должна появится вкладка TAC, где и можно просмотреть шаблон на наличие ненужных и вредоносных ссылок.

Вот небольшое фото, которое взято с сайта разработчика:

TAC

После того, как мы проверили WordPress тему, можно приступить к одному из эффективных методов защиты, а именно — к блокировке подбора логина и пароля. Для этого нам пригодится следующий плагин, который сделает практически все за нас.

2. Login LockDown — эффективный плагин, который предотвращает подборку логина и пароля к Вашему блогу. Действует он довольно просто: после установки в настройках появляется вкладка «Login LockDown», заходите туда и задаете параметры, которые ограничивают время и количество попыток ввода логина и пароля. Лично у меня настройки выглядят следующим образом:

3. Третьим шагом будет скрыть версию движка WordPress. Это делается для затруднения взлома (намного легче взломать блог, если знаешь, какая именно версия установлена). Для того, чтобы убрать версию движка WordPress можно воспользоваться одним из 2-х вариантов:

1) вставьте в файл function.php следующий код: remove_action ('wp_head','wp_generator');
2) для тех, кто не любит (или не умеет) ковыряться в коде можно установить плагин Replace WP-Version (плагин не требует настроек).

4. Еще один немаловажный момент, который позволит избавится от спама в комментариях навсегда. Благодаря известному и эффективному плагину Akismet, я больше не переживаю за спам, более того, он еще ни разу не пропустил мусор. Правда, иногда заносит в спам и нормальные комментарии, но это капля в море в сравнении с тем, что он делает на самом деле.

Итак, как же его установить? Признаюсь с установкой нужно немного помучаться, но игра стоит свеч. Инструкция по установке и настройке:
а) cкачиваем последнюю версию плагина Akismet;
б) распаковываем архив;
в) копируем папку akismet в /wp-content/plugins/;
г) после чего заходим в админку блога во вкладку «Плагины» и активируем его;
д) далее плагин выдаст сообщение о том, что для полноценной работы необходимо ввести API-ключ WordPress.com

Для получения API-ключа, необходимо зарегистрироваться по ссылке http://en.wordpress.com/signup/ и указать следующие данные:

Username: (ваш логин)
Password: (пароль, от 4 символов)
Confirm: (подтверждение пароля)
Email Address: (ваш почтовый ящик)
Legal flotsam: (ставим галочку, что мы со всем согласны)

Затем выбираем Just a username, please (только логин для получения API-ключа) и кликаем «Next». Далее Вам высылают подтверждающее письмо на указанный e-mail, которое необходимо подтвердить в течении двух суток. Заходим на почту и кликаем на предлагающую ссылку. Если Вы все сделали верно и смогли попасть мышкой по ссылке — Вам сообщают о том, что аккаунт активирован и можно зайти по ссылке «login». Авторизируемся и попадаем на главную нашего аккаунта. Кликаем вверху слева на «My Account», затем на ссылку «Edit Profile» и видим наш долгожданный API-код.

Копируем вымученный код и идем в админку «Плагины/Конфигурация Akismet», вставляем API Key и жмем «Обновить настройки». Все, теперь плагин в полной боеготовности.

5. И последнее — добавим, а точнее пропишем в файле .htaccess некоторые параметры для скрытия папки wp-content. Можете проверить, или отображается содержимое данной папки у Вас. Для этого введите в строке браузера следующее http://имя сайта/wp-content, если обзор будет недоступен — все OK, если же да, тогда проделываем маленькую хитрость:

1) открываем файл .htaccess;
2) прописываем где-то отдельно: Optionals All-Indexes;
3) сохраняем и выходим;

Вот и все, что я хотел сказать по защите. Конечно же, существует множество других способов, но это основные или базовые. А если у кого возникло желание поделиться своими наработками — милости прошу в комментариях изложить свои мысли. Успехов!!!