WordPress – заботимся о безопасности сайта

WordPress – заботимся о безопасности сайта

От автора: система управления контентом WordPress была, остается и, полагаю, будет одной из наиболее популярных CMS. По различным статистическим данным WordPress является наиболее популярной CMS в рунете. Полагаю, буржунет также любит эту CMS.

Этот факт вкупе с тем, что WordPress имеет открытый исходный код, безусловно, привлекает к ней внимание хакеров. Именно поэтому совсем не лишним будет дополнительно позаботится о безопасности Вашей любимой CMS.

автор

Автор: Андрей Кудлай

Зовут меня Андрей Кудлай. Родом я из Украины, живу в Днепропетровске. Веб-программированию учился сам. Неплохо знаю HTML, CSS, PHP, JavaScript.

Наиболее распространенной или, точнее, одной из наиболее распространенных CMS на просторах рунете уже довольно давно остается WordPress (далее WP). Тому есть несколько причин:

Это бесплатный продукт.

Довольно прост в освоении и имеет интуитивно понятный интерфейс.

Сравнительно несложно создать тему под WP для любой категории сайта.

Наличие большого количества расширений и тем.

Поддержка и регулярные обновления.

По различным данным WP удерживает 1 или 2 место по популярности в рунете. Так, по данным (за сентябрь 2011 года) блога команды Безопасного Поиска Яндекса доля WP на рынке рунета составила 64%. Второе место заняла Joomla с долей 23%

По данным (за декабрь 2012 года) Российского рынка доменов WP досталось 2-е место, и его доля составила 35,4%. Первое место по этим данным взяла Joomla с долей 40,9%

Как видим, WP чрезвычайно популярен, на нем работает множество сайтов. Это обстоятельство, очевидно, делает WP наиболее вероятной целью хакеров. Ну а если к этому добавить и тот факт, что WP имеет открытый исходный код, то становится понятным, что у хакеров, что называется, — все козыри на руках.

Именно поэтому отнюдь не лишними будут любые советы, помогающие обезопасить Ваш сайт под управлением WP. Сразу стоит сказать, что применение этих и любых других советов на практике отнюдь не даст Вам гарантию 100% защиты Вашего сайта от взлома. Но все же сделает Ваш сайт гораздо более устойчивым ко взлому и не даст совершить возможных простейших ошибок.

В сети можно встретить множество статей по типу «10 советов…», «10 приемов…», «N-ое количество уловок», «Какое-то количество правил…» и т.д. и т.п. «… для защиты/безопасности WP». Статей очень много и порой кажется, что они просто перепечатываются с незначительными дополнениями и изменениями. Также порой кажется, что некоторые советы их авторы попросту не проверяют или не обращают внимания не некоторые нестыковки. Отдельные советы могут быть попросту бессмысленны, некоторые — противоречивы и неоднозначны.

В данной статье я хотел бы озвучить наиболее дельные из таких советов. При этом пока что я просто укажу на половинчатость решения некоторых из них. В дальнейших обучающих материалах я, конечно же, покажу, как доработать тот или иной совет, избавившись от его половинчатости.

1. Безопасность системы

Практически все советы начинаются с обновления CMS и ее компонентов. Но ведь на самом деле безопасность должна начинаться с рабочего места. Большая доля заражения сайтов случается именно по вине пользователя, управляющего сайтом.

Именно поэтому важно соблюдать следующие простые правила:

На Вашем компьютере должен быть установлен антивирус с регулярно обновляемыми антивирусными базами. При этом совсем нелишним будет периодическое сканирование Вашей системы на наличие вирусов.

Не стоит хранить пароли в текстовых файлах или документах на жестком диске. Для хранения паролей используйте специально предназначенный для этого софт — менеджеры паролей. Их множество и Вы можете выбрать любой понравившийся.

Используйте сложные пароли, состоящие не менее чем из 6 символов. При этом данный пароль не должен быть из словаря, т.е. это не должно быть значимое слово, это должен быть набор символов. В идеале пароль должен содержать буквы верхнего и нижнего регистров, цифры и прочие символы.

Для работы с хостингом, на котором расположен сайт, Вы часто используете FTP-менеджер. Каждый выбирает FTP-менеджер согласно собственным предпочтениям, но и здесь можно дать пару советов. Во-первых, старайтесь не хранить пароли в данных программах, опять же — старайтесь хранить пароли в менеджерах паролей. По собственным наблюдениям я могу сделать вывод, что в качестве FTP-клиента чаще всего используется Total Commander или FileZilla, и здесь возьму на себя смелость озвучить совет «во-вторых» — используйте клиент FileZilla. Total Commander хорош в качестве файлового менеджера, но в качестве FTP-клиента все же рекомендую использовать именно FileZilla. На одном из сайтов встречал вот такую вот таблицу сравнения

2. Обновление

Это стандартный совет, которым, тем не менее, пренебрегать не стоит. Разработчики любой поддерживаемой CMS стараются оперативно закрывать найденные уязвимости, выпуская новые версии. Поэтому с выходом обновления WP старайтесь не временить с ее обновлением у Вас. Также не стоит забывать об обновлении плагинов, которые Вы используете.

Здесь нелишним будет также сказать о том, что сам дистрибутив WP стоит брать только с официального сайта. Плагины также, по возможности, стоит качать с официального сайта. Уместным будет процитировать рекомендацию блога Безопасного Поиска Яндекса: используйте «минимум сторонних скриптов, модулей, расширений. В самих пакетах CMS уязвимостей обычно немного, в основном они приходятся на дополнения, причём как сторонней разработки, так и официальные». Если можно решить простую задачу без применения плагина, то однозначно плагин не нужен.

3. Установка WP

При установке WP стоит уделить внимание конфигурационному файлу wp-config.php. Некоторые ограничиваются лишь установкой значений констант, использующихся для соединения с базой данных. Но в этом же файле находятся еще 8 констант, в которых хранятся ключи и соли, используемые для аутентификации. Очень желательно заполнить значения этих констант. Чтобы не выдумывать эти значения, разработчики предлагают сервис для их генерации. Достаточно перейти по ссылке https://api.wordpress.org/secret-key/1.1/salt/ , скопировать уже сгенерированный ключи и заменить ими соответствующий блок кода в конфигурационном файле:

Также можно побеспокоиться о безопасности самого конфигурационного файла. Сделать это можно несколькими способами. Для начала можно попробовать самый простой — просто переместите конфигурационный файл в каталог уровнем выше. WP изначально ищет файл wp-config.php в корне Вашего сайта и, если его там нет, то пытается найти файл в каталоге уровнем выше. Если после перемещения конфигурационного файла сайт перестал работать, тогда попробуйте второй способ. В корне сайта (там, где и конфигурационный файл) уже может находиться файл .htaccess — откройте его в редакторе. Если этого файла еще нет, то создайте его. При создании файла обратите внимание на то, что в качестве типа файла должно быть выбрано «Все типы» («All types»)

В файл .htaccess добавим следующие строки:

<files wp-config.php>
order deny,allow
deny from all
</files>

Этими строками мы закрываем доступ к конфигурационному файлу и теперь при обращении к нему сервер будет отдавать 403 ошибку — доступ запрещен.

4. Ошибки авторизации

Данный совет встречается во многих статьях и это как раз тот самый совет с половинчатым решением, о которых я упоминал выше.

Авторы WP поступили несколько странно и очень неправильно в вопросе авторизации пользователей. Одним из способов взлома сайтов является банальный подбор пароля администратора. При этом нужно подобрать не только пароль, но еще и знать логин аккаунта, к которому подбирается пароль. Поэтому при неверном вводе логина и/или пароля правильно будет сообщать, что были неверно введены логин или пароль, но ни в коем разе не информировать что именно было введено неверно.

Если при попытке авторизации в WP вы ошибетесь с логином или паролем, то WP Вам подскажет, с чем же конкретно Вы ошиблись… это, конечно же, вежливо, но очень неправильно

Текущий совет как раз и призван «научить» WP правильно поступать при ошибках авторизации. Откройте файл функций активной темы — functions.php — и добавьте в него следующие строки кода:

add_filter("login_errors", create_function("$my_login_errors", "return 'Неверный логин или пароль';"));

Теперь при неверно введенных данных мы получим один и тот же ответ — «Неверный логин или пароль»

Вроде бы все замечательно и злоумышленник теперь не знает, что же именно было им введено неверно… но на самом деле это и есть несколько половинчатое решение. Дело в том, что сейчас, когда мы вводим логин и пароль, то в случае если логин введен неверно — форма очищается. Если же логин будет введен верно, то он останется в форме

Этот факт для злоумышленника является четким знаком того, что логин он подобрал. Именно поэтому стоит позаботиться об очистке полей формы в том случае, если логин был введен верно. Как это сделать Вы узнаете в следующих материалах, как я и говорил выше.

5. Скрываем версию WP

Еще один совет из разряда половинчатых — это сокрытие версии WP. По умолчанию WP показывает в исходном коде установленную версию. В метатегах Вы можете найти строку вроде такой:

<meta name="generator" content="WordPress 3.5.1" />

При этом данная строка может встречаться даже дважды, в зависимости от используемой темы. Конечно же, хотелось бы скрыть версию WP, тем самым несколько затруднив задачу злоумышленника, ведь, как Вы помните, каждой версии присущи определенные уязвимости, которые устранены в следующей версии.

Классический совет по удалению строки с версией из метаданных сайта состоит в написании специального хука. Открываем файл functions.php и добавляем в него следующий код:

remove_action('wp_head', 'wp_generator');

Также в шаблоне header.php Вашей темы может быть следующая строка кода:

<meta name="generator" content="WordPress <?php bloginfo('version'); ?>" /> <!-- leave this for stats please -->

Если такая есть, то также удалите ее. Теперь если мы посмотрим исходный код, то действительно в коде больше не будет метатега с версией WP. Вроде бы отлично… но все не так просто. На самом деле если мы присмотримся внимательнее к исходному коду, например, будучи авторизованными, то среди прочего увидим там вот такую вот строку кода

<link rel='stylesheet' id='admin-bar-css'  href='http://wp.loc/wp-includes/css/admin-bar.min.css?ver=3.5.1' type='text/css' media='all' />

Как видно, к подключаемому файлу стилей добавляется GET-параметр с версией установленного движка. Аналогичный GET-параметр может добавляться к подключаемым файлам скриптов и стилей различных плагинов. Получается, что все наши старания по сокрытию версии WP были фактически впустую? На самом деле нет. Есть способы убрать ненужный GET-параметр, о которых мы узнаем позже.

Ну и, коль Вы решили скрыть версию установленной CMS, то не забудьте также удалить из корня сайта файл readme.html, в котором указана версия WP… ну или можете изменить ее на другую, тем самым несколько сбив с толку потенциального хакера.

Этим советом мы будем заканчивать текущий урок. Конечно же, здесь можно было дать еще много советов, помогающих значительно обезопасить Ваш сайт под управлением WP, но я старался указать именно на советы, которые недостаточно раскрыты в аналогичных статьях или попросту не упоминаются.

На основе Ваших комментариев и вопросов я хочу подготовить следующий видеоурок.

Буду Вам крайне признателен, если Вы напишите свои проблемы и трудности в комментариях к статье, связанные с защитой сайтов на движке WordPress.

Какие у Вас есть трудности?

Курс WordPress-Ученик

12 фишек без которых Вы гарантированно не создадите полноценный сайт на WordPress!

Смотреть курс

Метки: , ,

Комментарии Вконтакте:

Комментарии Facebook:

Комментарии (42)

  1. Артём

    Ещё как вариант дополнительной защиты можно использовать мой плагин, при помощи которого можно изменить привычный вход в админку WP с /wp-admin на любой другой, придуманый админом сайта, а на странице /wp-admin можно вывести любой текст. Более подробно на моём блоге artanik.ru

  2. Леонид

    А у меня не работает фильтр «login_errors»

    Форма авторизации открывается, но вверху страницы высвечивается ошибка на эту строчку…

    • Андрей Кудлай

      Напишите какая именно ошибка и в дополнительном видео попробую показать, как ее устранить.

      • Леонид

        Notice: Undefined variable: my_login_errors in путь/wp-content/themes/название темы/functions.php on line 14

        В 14 строке вставлена именно эта строчка add_filter..

        • Андрей Кудлай

          Ок, проблема понятна и буквально через несколько дней я покажу в видео, как ее решить :)

  3. Александр

    Спасибо за полезный совет, думаю это нужно для всех, и новичков в сайтостроении и тем кто уже имеет опыт.
    Помощи Божией, ангела Хранителя, всех благ.

  4. Николай

    Здравсвуй Андрей.У меня такой вот вопрос.Я в 2011году посещал по ин-ту курсы Start AP,сделал сайт на хосте ТМ ВЭБ СМС ВОРДПРЕСС. (zveroboyTmWEB.ru),срау на гугле и в других поискоаиках мой сайт появился,посещаемость была миниум и я хост перестал оплачивать и сайт заглох.Письма СТАРТ АП постоянно приходят мне на почту.Я пенсионер времени свободного много,решил ещё раз войти в эту реку.Оплатил на ТМ ВЭБ хост,домен сразу,СМС ВОРДПРЕС не увидел,проголосовал за ДЖУМЛУ.И пошли проблемы со входом в админ панель,не прнимается пароль ,писал в поддержку ,3 дня по клаве барабанил,зашёл в хостинг,нашёл СМС ВОРДПРЕСС убрал джумлу,перешёл на ВОРДПРЕСС В админ вошёл сразу.плагины соц.скачал,о себе написал,фотки поместил на страницу,а как вылажить в ин-нет призабыл.ВОРДПРЕСС 3.5.1,у меня в ноуте, ВИН РАР,он сам всё разархивирует.Оратился Янд.Вэб мастер,что бы сайт зарегистрировать на Яндэкс,а ТМ ВЭБ не подтверждал мою собсвенность,три варианта ,которые мне поскзазал Вэб Мастер не давали результата,пока я в корневой д-ии не создал файл пустой с ТХТ.Подтверждение пришло полож.Поставили на 2х недельную индексацию.Может я должен был в адресную строку что-то скопировать,чтобы ГугЛ,и остальные поисковики определяли мой сайт,призабыл я.Если сможешь подскажи.ЗАРАНЕЕ БЛАГОДАРЕН.Волгоград

    • Андрей Кудлай

      День добрый.
      Для подтверждения прав на сайт в панели веб-мастера Гугл или Яндекса можно воспользоваться одним из нескольких вариантов, которые они предлагают. Самый простой вариант — это создать пустой файл html либо txt с предложенным названием и поместить его в корень сайта. После этого просто нажать кнопку в панели Гугла и Яндекса, что предложенный файл Вы уже залили на сервер. В случае, если все сделано правильно, Гугл и Яндекс покажут сообщение об успехе и в панели веб-мастера Вы увидите добавленный сайт.

    • Игорь

      А я с WP замучился)))а joomia как стояла стабильно так и стоит аж противно))) привык наш русский человек к трудностям и если всё работает нормально значит что то не так))) Наверно Николай у вас просто Joomia не про индексировалась в Google а на это как правило уходит от суток до месяца))) если она у вас ещё и пустая то вообще даже не появиться а WP появиться потому-то там есть первая статья (Привет мир). Гугл не сам сайт индексирует а статьи в нем. И на Тайм веб есть пункт – Конструктор сайтов а внизу – Мои уставленные сайты – кликнув по выбранному сайту отроиться вкладка где написан присвоенный домен и пароль а ниже ссылка перейти на сайт и вы сразу попадёте во вход админ панели – (даже если в гугле ещё его нет).Если вам трудно платить за хост то есть бесплатные хосты с wp. Можно так же создать (завести)))блог и в Google. А тарабанить по клавиатуре не надо у тайм веб есть круглосуточный чат в который можно обратиться и сразу получить ответ если вы не хотите написать письмо в службу поддержки на странице хостера, Да паузы тяжелы но к этому надо привыкнуть. Мгновенно ни кто не делает – увы))). Много хостеров поменял и тарифных планов и скажу так что на тайм веб все летает за 2500 в год как у других выделенный хост за 15 000 и ещё есть один главный секрет Тайв веб у них сервера UNIX f а не Windows и не требуют антивируса. Сервер на Windows проверяет ваш сайт и каждый файл антивирусом что значительно тормозит загрузку сайта. Ну и впрягся я здесь по другому вопросу))).

      • Николай

        ЗАХОЖУ в админку сразу через конструктор сайтов,через СМС там есть и пароль ,но дело в том,что я установил плагин соцсетей,у меня есть страницы на F.Tvv.MLR.C.И ПОССЫЛКЕ С САЙТА язайду на сайт,а из ГУГЛ,РАМБ,ЯНД,ОТВЕТ — НЕ СУЩЕСТВУЕТтакого сайта ,вот вчём дело.

  5. Николай

    Я вошёл в панель управления на хосте,в менеджер файлов ,создал пустой файл ТХТ,поместил его в директории файлов,после этого яндекс получил подтверждение,что я хозяин сайта,и почему-то поставили в очередь на индексацию на 2недели,а в посдствии зарегистрирует,а Гугл так и показывает,что такого сайта не существует.Может 10 дневный тест хостинга влияет,но я 17мая сразу оплатил домен и хостинг на 2месяца.

    • Андрей Кудлай

      Нет хостинг ни на что здесь не влияет. Яндекс ставит в очередь на индексацию и 2 недели — это нормальный срок.
      Ну а для гугла это должен быть уже не TXT файл, а пустой файл HTML, который нужно также добавить в корень сайта.

  6. Инна

    Да, с безопасностью беда. Мой сайт взламывали не раз. Банеры, попандеры пихали, даже была ссылка на какой-то вирусный «форум» имени моего сайта. Проблемы решаю через форумы оптимизаторов и вебразработчиков, спрашиваю как убрать и тд. Знаю, что так работать с сайтом нельзя, надо изучать движок, HTML, но не мое это, мозгов не хватает и терпения, муторно… , но видимо придется. Буду следить за вашими новыми статьями. Спасибо за полезности.

  7. Валерий

    Здравствуйте, Андрей!
    Ваше письмо пришло как-раз во-время! У меня большие проблемы. Я создал на разных темах WordPress три сайта — для меня, жены и сына. Все шло казалось бы нормально, но вчера я получил письмо.
    Здравствуйте.

    Ваш аккаунт ххххххх систематически оказывает чрезмерную нагрузку на CPU сервера.

    Нагрузка на CPU характеризует суммарное время, затраченное процессорами сервера на обработку процессов аккаунта. Для снижения нагрузки следует оптимизировать скрипты, исключить выполнение требующих значительных вычислительных ресурсов процессов.

    По данным статистики нагрузка на сервер:
    +————+———————-+————————+—————+
    | Дата | Нагрузка CPU | Нагрузка MySQL | Сервер |
    +————+———————-+————————+—————+
    | 2013-05-21 | 67.46 | 3 | leonov |
    | 2013-05-20 | 55.31 | 5 | leonov |
    | 2013-05-16 | 119.59 | 11 | leonov |
    | 2013-05-15 | 78.05 | 8 | leonov |
    | 2013-05-06 | 87.72 | 5 | leonov |
    | 2013-05-05 | 69.8 | 5 | leonov |
    | 2013-04-29 | 98.58 | 3 | leonov |
    +————+———————-+————————+—————+
    - что превышает допустимые значения на текущем тарифном плане: нагрузка на CPU до 50 cp, MySQL до 1000.
    Информацию по нагрузке за прошедшие дни и ограничения тарифных планов Вы можете посмотреть в панели управления: https://cp.timeweb.ru/loading/

    Мы можем предложить Вам следующие варианты решения сложившейся ситуации:
    1. Устранить источник нагрузки, самостоятельно оптимизировав сайты, используя средства CMS, либо специализированное ПО (профайлеры, фреймворки) на локальном компьютере.
    2. Обратиться к соответствующим специалистам для снижения оказываемой нагрузки, в случае если Вы не готовы самостоятельно произвести оптимизацию.
    3. Рассмотреть вариант перехода на тарифный план с более высокими ограничениями (Eterno, Premium), либо на техническое решение без ограничений по нагрузке (выделенный или виртуальный сервер).

    Статистически, рост нагрузки чаще всего возникает по одной из следующих причин:
    1) рост посещаемости;
    2) использование неоптимизированных скриптов;
    3) отключение кеширования;
    4) действие вредоносного кода;
    5) нежелательная активность поисковых или иных ботов;
    6) увеличение объёма обрабатываемых данных.

    В течение 7 дней (до 29.05.2013 включительно) Вам необходимо снизить создаваемую нагрузку до ограничений тарифного плана, либо принять решение об адекватной смене условий размещения. Если по истечении этого срока будет по-прежнему наблюдаться повышенная нагрузка, дальнейшее обслуживание на прежних условиях будет невозможно.

    В случае, если нагрузка будет вызывать нестабильную работу сервера, мы будем вынуждены приостановить работу аккаунта.

    Я в этих вопросах — чайник и написал на хостинг: «У меня 3 сайта. Как можно узнать какой из них «оказывает чрезмерную нагрузку на CPU сервера»?»
    На свое письмо получил ответ.
    Здравствуйте.

    Для выявления источника повышенной нагрузки мы рекомендуем Вам произвести следующие действия:
    1. Анализ логов доступа веб-сервера.
    Логи доступа веб-сервера используются для анализа и сравнения количества и характера запросов, поступающих к вашим сайтам. Проведение подобного анализа помогает выявить нежелательную чрезмерную активность и IP-адреса вызывающих её посетителей или ботов. Также они могут помочь определить зацикливание при обращении к страницам сайта.
    2. Аудит кода.
    Анализ и рефакторинг кода позволяет выявить у исправить неоптимальные алгоритмы и логические ошибке в скриптах сайтов.
    3. Анализ производительности сайта с помощью средств CMS.
    Многие CMS содержат компоненты, позволяющие выявить наиболее часто используемые элементы, оценить производительность сайта, определить настройки веб-окружения, не позволяющие сайту работать оптимально; а также другие средства, помогающие оптимизировать работу сайта. Информацию по наличию таких средств в используемой Вами CMS Вы можете уточнить у технической поддержки, либо на официальном сайте этой CMS.
    4. Проведение оптимизации и отладки в рамках среды разработки.
    Для проведения комплексного анализа создаваемой нагрузки мы рекомендуем перенести Ваши сайты в организованную среду разработки с соответствующим dev-окружением и осуществить оптимизацию скриптов ваших проектов при помощи специализированного программного обеспечения. Также в рамках среды разработки Вы можете произвести подробное логирование запускаемых скриптов, запросов к базам данных MySQL и иных процессов, выполняющихся в процессе работы Ваших проектов.

    Как во всем этом разобраться? Или где хотя бы почитать про те пожелания, которые мне прислали с хостинга?

    • Андрей Кудлай

      Здравствуйте, Валерий.
      Если у Вас действительно нет большой посещаемости, то скорее всего, проблема в каком-то плагине. Если проблема образовалась недавно, то логично, что это недавний плагин. Попробуйте вспомнить какие плагины Вы устанавливали недавно и временно отключите их. Здесь, конечно же, понадобится уточнить у хостера снизилась ли после данных действий нагрузка.
      Вообще, решить данную проблему дистанционно практически нереально, здесь нужен кропотливый анализ профессионала в данном вопросе с привлечением соответствующего инструментария хостинга.

  8. Игорь

    У меня есть конкретный вопрос как избавиться от посещения WP хакерами и спамерами? постоянно чищу папки на хосте и спам в комментариях — где написано что добавил автор))) хотя в установках стоит подпищик. Напишите по шагам без объяснения кодов просто для обычных пользователей как я. И ещё вопрос — почему после обновления WP слетают 50% картинок в статьях??? Спасибо.

    • Андрей Кудлай

      К сожалению, избавиться от них некак. Для комментариев достаточно установить премодерирование и удалять спамовые комментарии. Также можно подыскать плагин, добавляющий капчу к форме комментирования.
      По поводу слетания 50% картинок… дело в том, что при правильном обновления папка /uploads/ с картинками вообще не должна затрагиваться и, соответственно, ничего подобного быть и не должно. Если же почему-то Вы ее затрагиваете при обновлении, то тогда встает вопрос, почему проблем только с половиной картинок, а не со всеми. Тут, чтобы что-то подсказать, нужно только конкретно смотреть на то, как происходит обновление и что мы видим после обновления.

    • Валерий

      Вопрос: «Как избавиться от посещения WP спамерами?»
      Ответ: Единственный надежный способ который отваживает 99,9% спамеров — это использование старого и проверенного метода подмены полей WP.

      Вопрос: «Как избавиться от посещения WP хакерами?»
      Ответ: Установить на админку доступ только с Вашего IP. Правда, это сработает при условии, что Вы всегда работаете с сайтом с одного компьютера, и Ваш IP не меняется. Ну и, естественно, воспользоваться советами по защите в статье Андрея Кудлая + есть очень мощный плагин (к сожалению, я не помню как он называется), который устраняет порядка 20 уязвимостей.

      Вопрос: «почему после обновления WP слетают 50% картинок в статьях???»
      Ответ: Попробуйте сменить тему оформления. Возможно она у Вас «кривая», поэтому все и слетает

  9. Наталья Текстовик

    Тема интересная но разжована недостаточно! Я не программист и я не поняла, куда вставлять коды в тему сайта. В этом плане нужно писать более подробно.

    • Андрей Кудлай

      Честно, даже и не знаю, как написать более подробно рекомендацию: «Откройте файл функций активной темы – functions.php – и добавьте в него следующие строки кода» :)
      А для файла htaccess даже и картинку сделал.

      • Ирина

        Андрей, куда добавить, имеется ввиду в какую строку, после какой.
        Если вы пишите просто добавить, то для нас (не программистов) это значит либо первой, либо последней строкой. но ведь часто строки добавляются именно после определенного тэга
        Сделайте пожалуйста на этом акцент в следующих статьях.
        Дожуйте, для особо беззубых :)

        • Андрей Кудлай

          Ок, понял. В видео обязательно упомяну об этом. На самом деле если бы играло роль куда вставлять эти строки, то я обязательно бы об этом сказал… ну а так их можно добавить в самое начало или в самый конец файла функций :)

  10. Marija

    Cпасмбо,Андрей, за советы.Эта тема очень актуальна :) .У меня есть такой вопрос : Как избавиться от рекламной ссылки,расположенной в низу страницы рядом с записью «Все права защищены»? Эту ссылку я получила вместе с темой от WP.Меняла несколько тем , но какая-нибудь ссылка все равно прикреплена. Чем опасны или не опасны такие ссылки?Мне совершенно не хочется рекламировать чужие сайты. Зараннее благодарю за ответ.

    • Андрей Кудлай

      Пожалуйста, Мария.
      Отвечая на вопрос, — данные ссылки совсем не опасны, поскольку зачастую это просто копирайты автора темы. Находятся они, как правило, в шаблоне footer.php.

  11. Владимир

    Андрей, меня очень интересует один вопрос на эту тему.
    Моя заказчица попросила закрыть доступ к админ панели на 2 её сайтах.
    С помощью плагинов:
    1) limit-login-attempts — лимит входов в админку
    2) wsecure — Блокировка админки с помощью смены силки

    Но у неё до того как Я приступил к работе была ошибка при входе в админ панель (скриншот ниже).
    Что меня заинтересовало в этой ошибке так это то что эта ошибка появилась на всех её сайтах одновременно! (у неё на хостинге размещенно 10 сайтов)

    И ошибка абсурдна…
    тем что она появилась даже на тех сайтах где не размещено информации и вообще не индексируется!

    Это было предисловие :)

    А теперь вопрос: как можно это сообщение с ошибкой выключить?
    На самом деле админка работает. В тексте есть силка на вход в админку…

    Картинка выше в коментарие социальной сети ВК

    • Андрей Кудлай

      Владимир, это не ошибка. Скорее всего, это страница хостера, которая призвана бороться как раз с перебором паролей ботами. Логика здесь проста — когда бот заходит на страницу авторизации, то он «ищет» там поля формы для ввода логина/пароля и заполняет эти поля. Попадая же на страницу, где нет формы, бот лишен возможности вводить что-либо в форму, поскольку самой формы нет. Ну а человеку достаточно перейти по ссылке… т.е. эта страница — своеобразная проверка на человечность.

      • Владимир

        Андрей, Да я понимаю, но меня она попросила убрать эту страницу…
        Не знаешь ли как это лучше сделать?
        Для неё просто не удобно пользоваться этой функцией…

        • Андрей Кудлай

          Если страницу поставил хостер, то самостоятельно никак, нужно только обращаться в саппорт хостера.

  12. Юрий

    Здравствуйте Андрей.
    У меня на сайте, в последнее время, постоянно кто-то регистрируется, адреса разные но имеют одно и тоже окончание @poczta.pl. Все это я удаляю вручную. Пару раз, в разделе «Все записи» нашел несколько записей на английском языке, с кучей ссылок, но в статусе черновика, то есть не опубликованные.
    Посоветуйте, какой вариант защиты из предложенных необходимо применить.
    Спасибо.

    • Андрей Кудлай

      Здравствуйте, Юрий.
      Скорее всего у Вас одна из двух или обе проблемы одновременно.
      1. В настройках Параметры — Общие в качестве роли нового пользователя стоит Автор. Если это так, то измените значение на Подписчик.
      2. На сайте есть пользователи с ролью Автор, которые и имеют права на публикацию контента. Этот контент и попадает в черновики для дальнейшего одобрения администратором. Выход — изменить роль этих пользователей на Подписчик.

  13. valeriy

    WordPress конечно популярен но думаю в большей степени для россиян- пользователей Яндекс. весь мир пользуется google и по этому BLOGGER.SPOT.

    • Андрей Кудлай

      Ну не скажите. Огромное множество премиумных тем для WP делается именно западными программистами… яркий пример — net.tutsplus.com — широко известный как в буржунете, так и в рунете. Собственно, и сам сайт envato использует WP в качестве движка. Да и сам WP — это CMS, которая написана именно западными разработчиками.

  14. Юрий

    Доброго времени Андрей.
    У меня еще один вопрос: если для скрытия движка WP, воспользоваться просто плагином Remove WP version everywhere, это усилит защиту или все же лучше действовать по предложенной вами схеме?

    • Андрей Кудлай

      Здравствуйте, Юрий.
      Конечно же, можно воспользоваться и плагином, если он на 100% решит задачу. Однако если есть возможность обойтись без плагина, то я однозначно предпочитаю решать задачу без привлечения стороннего кода. Стоит только помнить о том, что пока я указал на половинчатость решения в сети по сокрытию версии WP… как решить эту задачу до конца я обязательно покажу чуть позже.

  15. Данил

    Данные советы подходят для последней версии вп. Сейчас это 3.8.1

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

Можно использовать следующие HTML-теги и атрибуты: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>

Я не робот.

Spam Protection by WP-SpamFree