WordPress stał się najpopularniejszym CMS na świecie. Ponieważ jest tak popularny, jest to jeszcze jeden powód do zwiększenia bezpieczeństwa WordPress, jeśli używasz go do swojej witryny. Większość ludzi wie, jak bezpiecznie zabezpieczyć swoją stronę, ale jeśli nie koncentrujesz się na bezpieczeństwie witryny WordPress, ograniczając dostęp do ważnych plików i folderów, nadal jesteś narażony na ryzyko. Aby tego dokonać, nie wprowadzisz żadnych zmian w samym WordPressie, lecz zmienisz sposób, w jaki WordPress działa na serwerze i ile użytkowników ma dostęp do swoich plików.
Witryny WordPress składają się z serii plików i folderów, z których każda ma swój własny, unikalny adres URL, co oznacza, że jeśli ktoś wpisze poprawny adres URL, będzie mógł uzyskać dostęp lub zmienić wrażliwe pliki, które uruchamiają twoją witrynę. Jednym z najczęstszych celów tego typu hakowania jest folder wp-includes, więc dodamy trochę kodu do pliku konfiguracyjnego serwera, aby wzmocnić zabezpieczenia i zapobiec tego typu zagrożeniom. Kiedy już to zrobimy, każdy, kto spróbuje uzyskać dostęp do tych plików, zostanie przekierowany z powrotem.
Na początek będziesz chciał otworzyć plik .htaccess dla swojej witryny. Możesz to zrobić za pomocą dowolnego edytora tekstowego, nie ma znaczenia, ponieważ wszystko, co robimy, to dodanie do pliku małego fragmentu kodu. Zauważysz, że plik zawiera już kod wygenerowany przez WordPress. W jednym z wczesnych wierszy kodu znajdziesz wiersz, który mówi # BEGIN WordPress
. Bezpośrednio nad tym kodem dodamy dodatkowe linie kodu, które wzmocnią obronę witryny poprzez ograniczenie dostępu do folderu wp-includes.
# Blocking web access to the wp-includes folderRewriteEngine OnRewriteBase /RewriteRule ^wp-admin/includes/ - [F,L]RewriteRule !^wp-includes/ - [S=3]RewriteRule ^wp-includes/[^/]+.php$ - [F,L]RewriteRule ^wp-includes/js/tinymce/langs/.+.php - [F,L]RewriteRule ^wp-includes/theme-compat/ - [F,L]
Następnie wystarczy ponownie przesłać plik na serwer i gotowe. Choć zmiany tutaj wydają się niewielkie, może to mieć duży wpływ na obronę witryny. Ponieważ wiele zaawansowanych funkcji WordPressa znajduje się w folderze wp-includes, są one głównym celem dla hakerów. Po wprowadzeniu tych zmian, gdy użytkownicy spróbują uzyskać dostęp do tego folderu, zostaną automatycznie przekierowani na pierwszą stronę witryny.
Kolejnym krokiem do wzmocnienia zabezpieczeń WordPress jest ograniczenie dostępu do pliku wp-config.php. Kiedy tworzyłeś swoją witrynę WordPress, musisz utworzyć nazwę bazy danych, nazwę użytkownika, hasło i prefiks tabeli, który znajduje się w pliku wp-config.php. Powodem, dla którego chcesz chronić ten plik, jest informacja, że WordPress musi rozmawiać z bazą danych, a na dłuższą metę kontrolować swoją witrynę.
Aby zabezpieczyć plik wp-config.php, wystarczy wykonać kilka prostych kroków. Po pierwsze, będziemy chcieli ponownie otworzyć plik .htaccess. Następnie będziemy chcieli skopiować poniższy fragment kodu i wkleić go do naszego pliku .htaccess, tak jak zrobiliśmy to w kroku 1.
# Blocking web access to the wp-config.php fileorder allow,denydeny from all
Na koniec zapisz i ponownie prześlij plik.
Jak widać w krokach 1 i 2, plik .htaccess może być nierozerwalnie związany z obroną witryny WordPress przed złośliwymi zagrożeniami zewnętrznymi. Dlatego na tym etapie będziemy chronić plik .htaccess, uniemożliwiając hakerom usunięcie zabezpieczeń, które już wprowadziliśmy.
W tym celu ponownie otworzymy plik .htaccess. Następnie wstaw poniższy kod do istniejącego kodu.
# Securing .htaccess fileorder allow,denydeny from allsatisfy all
Dzięki temu prostemu dodatkowi twój plik .htaccess jest chroniony przed zagrożeniami zewnętrznymi.
Ostatnim krokiem będzie zaprzeczanie hakerom dostępu do jednego z najbardziej niszczycielskich narzędzi, z których mogą skorzystać: Edytor w panelu kontrolnym WordPress. Pozwala edytować pliki motywów, co jest pomocne, ale może być niebezpieczne. Jeśli ktoś inny, oprócz Ciebie, uzyskałby do tego dostęp, mógłby zmienić kod i złamać witrynę.
Za pomocą tego projektu usuniemy Edytor z pulpitu WordPress. Zamiast dostępu do pliku za pośrednictwem WordPress, polecam, aby uzyskać do niego dostęp za pośrednictwem klienta ftp, takiego jak FileZilla, który jest lepszy dla integralności witryny.
Aby wykonać ten projekt, najpierw chcemy otworzyć plik wp-config.php. Kiedy już to zrobimy, przejdziemy do końca kodu, tutaj znajdziecie tekst "To wszystko, przestańcie redagować! Szczęśliwe blogowanie. " . Tuż przed tym tekstem dodamy poniższy kod, aby całkowicie usunąć edycję plików z WordPress.
define('DISALLOW_FILE_EDIT', true);
Po dodaniu kodu zapisz plik i prześlij go ponownie na serwer. Teraz twoja witryna WordPress jest bezpieczna dla każdego, kto zyskuje dostęp do twojej strony i próbuje manipulować kodem.
Jeśli wykonasz wszystkie te kroki, Twoja witryna powinna być bezpieczniejsza. Ograniczając liczbę hakerów dostępu do plików ważnych dla działania witryny, zwiększyłeś ogólne bezpieczeństwo witryny WordPress.