Zmiana lokalizacji pliku wp-config.php
Zmień nazwę i lokalizację pliku. Swtórz nowy plik wp-config.php w głównym katalogu WorsPress’a o treści:
<?php include_once ('/sciezka/do/folderu/domeny/moj_folder/pingwiny.php');
Wyłącz edycję plików w wp-config.php
define('DISALLOW_FILE_EDIT', true);
Wyłącz indeksowanie i przeglądanie folderów
Dodaj następujący wpis na początku głównego pliku .htaccess:
Options -Indexes
Wyłącz XML-RPC za pomocą .htaccess
Jeżeli nie korzystasz z mobilnych aplikacji czy zdalnego postowania to dobrze jest wyłączyć tę funkcję. Można to zrobić poprzez dodanie poniższego kodu do głównego pliku .htaccess:
<Files xmlrpc.php> order deny,allow deny from all </Files>
Wyłączenie możliwości wstrzykiwania skryptów w URL
Dodaj ten kod powyżej linii # BEGIN WordPress w głównym pliku .htaccess:
<IfModule mod_rewrite.c> RewriteEngine On RewriteBase / RewriteCond %{QUERY_STRING} (\<|%3C).script.(>|%3E) [NC,OR] RewriteCond %{QUERY_STRING} GLOBALS(=|[|\%[0-9A-Z]{0,2}) [OR] RewriteCond %{QUERY_STRING} _REQUEST(=|[|\%[0-9A-Z]{0,2}) RewriteRule ^(.*)$ index.php [F,L] </IfModule>
Wyłącz możliwość wykonywania plików PHP w wybranych folderach
Stwórz plik .htaccess np w folderze /wp-content/uploads/ i dodaj poniższy kod:
<Files *.php> deny from all </Files>
Zmiana uprawnień do plików i folderów
WordPress rekomenduje następujące ustawienia:
755 lub 750 dla folderów 644 lub 640 dla plików 600 dla wp-config.php (także tego przeniesionego)
Hasło na folder wp-admin
Niektóre serwery mają możliwość dodania z poziomu panelu administracyjnego hasła na folder. Warto to wykorzystać i nadać takie na folder wp-admin. Potrójne uwierzytelnienie? Czemu nie 😀
Pluginy warte uwagi
Oprócz powyższych sztuczek warto pomyśleć o: dwuetapowej weryfikacji 2FA, szyfrowaniu łącza SSL, usunięciu wersji WP itp z <head> strony, zmiany adresu logowania do strony czy ustawieniu limitu logowań. Wszystko to potrafią zrobić poniższe wtyczki:
- Google Authenticator
- Really Simple SSL
- Meta Generator and Version Info Remover
- WPS Hide Login
- WPS Limit Login