Една крачка напред в сигурността на wordpress + страхотен плъгин
WordPress е най-популярната блогинг и CMS система, което го прави любима мишена за хакерите. Освен това е open source, демек всеки има достъп до кодовете му.
Това улеснява още повече откриването на дупка в сигурността от някой недоброжелател, да не говорим колко автоматични атаки се провеждат постоянно.
Това, че е open source обаче, не е единствения му недостатък от гледна точка на сигурността. WordPress придоби популярност и се разви с огромни темпове.
Сравнително бързо стана огромна блог платформа с множество функционалности.
Но изведнъж се оказа, че нещо куца и разработчиците му започнаха една по една да закърпват дупките в сигурността с всеки ъпдейт.
Затова дори да следваме добрите практики /винаги да ъпдейтваме до последната версия, да използваме само доверени плъгини и тях също периодично да ги обновяваме, използването на сигурни пароли, скриването на WordPress версията и други/, не можем да бъдем сигурни че нашият WordPress сайт е „в безопасност“.
Поради тази причина не лоша идея е да въведем малко промени в структурата на нашия сайт, с цел да объркаме хакерите, които искат да ни навредят.
Ако сте работили с WordPress, най-вероятно знаете, че повечето ключови елементи като изображения, теми и плъгини се съхраняват в директорията wp-content.
Но знаете ли как можете да промените името на тази директория, така че всичко да продължи да си работи безпроблемно, но да сте една идея по-защитени?
Сигурно вече сте се запитали, защо ни е да променяме името на тази директория?
Едно от основните предимства е, че нашият сайт няма да изглежда толкова WordPress-ки. Което води и до по-голяма сигурност.
Важно: Уверете се, че сте прочели частта „Важно допълнение“ на края на статията, преди да започнете да извършвате каквито и да било модификации по вашият wordpress!
Преименуване на директорията wp-content
В нашия случай ще преименуваме директорията wp-content на stuff.
Запомнете кои плъгини са активни, за да можете да ги активирате отново, след като приключим.
След преименуването на папката, всички активирани теми и плъгини ще се деактивират и няма да се показват в директорията с плъгини, тъй като WordPress не може да ги открие в стандартната директория wp-content.
Няколко корекции в wp-config
Добре е преди да направим корекциите, да си копираме файла wp-config.php като backup. Така в случай, че нещо се обърка, ще можем да си възстановим файла.
Първо добавяме следния код преди require_once(ABSPATH.’wp-settings.php’);
define ('WP_CONTENT_FOLDERNAME', 'stuff'); define ('WP_CONTENT_DIR', ABSPATH . WP_CONTENT_FOLDERNAME);
Целта му е да укаже на WordPress, че wp-content е сменено на stuff, след което да пренасочи към новата директория. След добавянето на горния код, плъгините и темите ни отново ще се покажат. Вече можете да ги активирате отново.
Както сигурно сте забелязали, все още не всичко е както трябва. Добавете и следния код, за да зададете новите url адреси:
define('WP_SITEURL', 'https://' . $_SERVER['HTTP_HOST'] . '/'); define('WP_CONTENT_URL', WP_SITEURL . WP_CONTENT_FOLDERNAME);
Вече сме готови. Сега всяка тема, плъгин или друга медия която сме качили се съхранява в нашата нова директория stuff.
Важно допълнение: Някои плъгини и теми не следват добрите практики. Те задават wp-content като абсолютен url адрес, вместо да го извличат динамично.
В такъв случай те няма да функционират правилно и ще извеждат грешки. Също така ще изчезнат и изображенията от статиите ви, тъй като url адреса им ще се промени.
Тази файлова модификация трябва да се приема с повишено внимание и е препоръчително да се при нов уебсайт.
В противен случай може да се наложи да променяте тон неща, за да може сайтът ви да започне да функционира отново нормално.
Бонус: повишете сигурността на wordpress с Hide my WP
За щастие има и по-лесен начин да скрием напълно и по комплексно, че използваме системата WordPress. Това може да стане с този популярен плъгин.
Най-общо казано, Hide My WP променя имената на всички известни директории, свързващи сайта ни с WordPress, без да променя вашите файлове, папки или база данни.
Плъгинът е създаден, за да повиши сигурността на нашата wordpress система, освен това позволява да създаваме и по-удобни и красиви URL адреси за нашите статии и страници.
Hide My WP контролира достъпа до PHP файловете и според разработчиците си предпазва сайта от почти 90% от SQL-Injection и XSS атаките, причинени от директен достъп до PHP файлове. А това означава, че ако използвате този плъгин, може да инсталирате необезопасени плъгини с една значителна степен на притеснение по-малко. И все пак – внимавайте!
Може да изтеглите плъгина от този линк →
[sws_divider_line]
Георги Дюлгеров: Уеб разработчик на свободна практика. Обича шумните партита и бързите коли. Интересите му включват всичко в сферата на интернет и маркетинга. Основател на ftutorials.com. Може да го откриете и чрез профилите му във Facebook и Google+.