Kategoria: Wordpress

Zwiększenie bezpieczeństwa WordPress’a

Zmiana lokalizacji pliku wp-config.php

Zmień nazwę i lokalizację pliku. Swtórz nowy plik wp-config.php w głównym katalogu WorsPress’a o treści:

<?php
include_once ('/sciezka/do/folderu/domeny/moj_folder/pingwiny.php');

Wyłącz edycję plików w wp-config.php

define('DISALLOW_FILE_EDIT', true);

Wyłącz indeksowanie i przeglądanie folderów

Dodaj następujący wpis na początku głównego pliku .htaccess:

Options -Indexes

Wyłącz XML-RPC za pomocą .htaccess

Jeżeli nie korzystasz z mobilnych aplikacji czy zdalnego postowania to dobrze jest wyłączyć tę funkcję. Można to zrobić poprzez dodanie poniższego kodu do głównego pliku .htaccess:

<Files xmlrpc.php>
order deny,allow
deny from all
</Files>

Wyłączenie możliwości wstrzykiwania skryptów w URL

Dodaj ten kod powyżej linii # BEGIN WordPress w głównym pliku .htaccess:

<IfModule mod_rewrite.c>
RewriteEngine On 
RewriteBase / 
RewriteCond %{QUERY_STRING} (\<|%3C).script.(>|%3E) [NC,OR] 
RewriteCond %{QUERY_STRING} GLOBALS(=|[|\%[0-9A-Z]{0,2}) [OR] 
RewriteCond %{QUERY_STRING} _REQUEST(=|[|\%[0-9A-Z]{0,2}) 
RewriteRule ^(.*)$ index.php [F,L] 
</IfModule>

Wyłącz możliwość wykonywania plików PHP w wybranych folderach

Stwórz plik .htaccess np w folderze /wp-content/uploads/ i dodaj poniższy kod:

<Files *.php>
deny from all
</Files>

Zmiana uprawnień do plików i folderów

WordPress rekomenduje następujące ustawienia:

755 lub 750 dla folderów
644 lub 640 dla plików
600 dla wp-config.php (także tego przeniesionego)

Hasło na folder wp-admin

Niektóre serwery mają możliwość dodania z poziomu panelu administracyjnego hasła na folder. Warto to wykorzystać i nadać takie na folder wp-admin. Potrójne uwierzytelnienie? Czemu nie 😀

Pluginy warte uwagi

Oprócz powyższych sztuczek warto pomyśleć o: dwuetapowej weryfikacji 2FA, szyfrowaniu łącza SSL, usunięciu wersji WP itp z <head> strony, zmiany adresu logowania do strony czy ustawieniu limitu logowań. Wszystko to potrafią zrobić poniższe wtyczki:

  1. Google Authenticator
  2. Really Simple SSL
  3. Meta Generator and Version Info Remover
  4. WPS Hide Login
  5. WPS Limit Login