Как сделать закрытый блог wordpress
Как сделать закрытый раздел в wordpress?
Здорово народ:) у меня сегодня отличное настроение, и огромное желание написать статью, вернее докончить серию статей которую я начал, если вы помните то первой была статья «Закрытая запись в wordpress«, вторая статья «Регистрация пользователей в wordpress«, на самом деле друзья, все эти статья включая и сегодняшнюю, они связаны между собой, а все началось с того что я просто хотел закрыть доступ к некоторым записям, и так в сегодняшней статье, речь пойдет о создании секретного раздела в wordpress.
На самом деле для реализации этой фишки, я копал не так много, я быстро нашел нужный плагин, и быстро разобрался что к чему, так что для тех кто заинтересуется, это будет не сложно, так что меньше слов больше дела, поехали!
В первую очередь нам необходимо скачать плагин, провести установку и соответственно активировать её. Далее после этих не сложных манипуляций, мы увидим дополнительное меню которое появилось у нас в администраторской панели.
Друзья, я не буду рассказывать о том где это может вам пригодиться, я думаю если вы зашли почитать эту статью, ты вы уже знаете где и как его применить, поэтому опустим эту часть, и обратим больше внимания на настройку самого плагина.
Первым шагом является создание самой группы для ваших пользователей. В поле «Имя группы пользователей» вводим имя нашей группы, а в поле «Описание группы» вводим небольшой краткое описание, и выбираем роль участников этой группы, я например в скрине ниже установил Роль «подписчики«, затем нажимаем на кнопку «Добавить группу«.
Едем дальше, теперь у нас создана группа, но как добавлять пользователей? Есть два варианта либо организовать регистрацию пользователей, либо добавлять своих пользователей в ручную, через меню «Пользователи->Добавить нового«, тут уже ка бы решать вам, сделать так как вам будет удобнее. Предположим, что вопрос с регистрацией решен, в таком случае в меню пользователей мы будем видеть всех зарегистрировавшихся пользователей, которые автоматически будут попадать в группу для секретного раздела. Для просмотра всех пользователей переходим в меню Пользователи->Все пользователи.
Отлично друзья, теперь у нас есть пользователь, который после регистраций попадает в нужную нам группу, теперь нам необходимо закрыть те разделы которые нам нужны, но стоит заметить что у wordpress есть как отдельные страницы, так и рубрики, так что надо будет закрывать их по отдельности. Для того что бы закрыть какую то страницу, достаточно просто перейти в раздел «Страницы«, выбрать необходимую страницу, и нажать на кнопку в правом блоке с названием «Секретный раздел«.
Примерно так же и с рубриками, переходим в меню «Записи->Рубрики«, далее выбираем ту рубрику которую мы хотим закрыть, и нажимаем на ссылку «изменить«, после этого открывается форма, и в самом низу появляется меню закрытия данной рубрики.
Вот и все, все просто и легко, теперь вы без проблем можете создать закрытый раздел в wordpress, создать свой клуб, или ещё что то в этом роде! На этом я пожалуй закончу свою статью, всем приятного дня, и лучей добра!
P.s Пригодится ли вам данная фишка?
Скрытие страниц и WordPress записей на сайте, плагин WP Hide Post
Иногда бывают ситуации, когда нужно на сайте с Вордпресс скрыть страницы или записи: временно / навсегда / от незарегистрированных юзеров и т.п. Рассмотрим несколько вариантов как это можно сделать. Плюс заодно расскажу об одном простом интересном плагине WP Hide Post.
Ранее в блоге у меня уже была заметка о том как убрать пункты меню в WordPress админке, но сегодня речь пойдет о фронтенде, то есть о видимости тех или иных элементов для посетителей вашего веб-проекта. Кстати, если требуется спрятать виджеты в определенных местах сайта, посмотрите модуль Widget Logic.
Все необходимые нам настройки находятся в блоке «Опубликовать» (Publish), который обычно располагается справа от текстового редактора. Здесь есть параметры «Видимость» и «Статус».
Чтобы поменять какую-то опцию кликаете по ссылке «Изменить» и выбираете новое значение. После нужно обязательно сохранить эти правки. Разберется даже абсолютный новичок.
Полностью скрываем записи и WordPress страницы
Данный подход позволяет:
Для этого в параметре «Статус» выбираем вариант «Черновик» и жмем «Обновить».
Соответствующая статья будет переведена в черновой вариант, и надписи в блоке слегка изменятся. Просматривать содержимое сможет только залогиненый админ или тот, кто создавал данную публикацию. Чтобы вернуть ее обратно на сайт надо будет кликнуть «Опубликовать».
Также для скрытия страниц в Вордпресс допускается массовое редактирование:
Отмечаете несколько заметок, и устанавливайте им выбранный статус одновременно. Здесь же над списком статей увидите ссылку «Черновики», позволяющую отобразить их все сразу.
Страницы / посты для зарегистрированных пользователей, по паролю
Теперь попробуем скрыть записи в WordPress от всех, кто не залогинен на сайте. То есть чтобы увидеть приватные тексты люди должны войти под своим логином/паролем. В противном случае по ссылке им будет выводиться 404 ошибка. Разумеется, ограничение не распространяется на администратора. Для реализации задачи в параметре «Видимость» выбираете пункт «Личное».
Если же хотите установить специальный пароль для прочтения статьи, кликаете по варианту «Защищено паролем» и вводите определенное значение. После этого на сайте посетителю нужно будет ввести пароль чтобы получить доступ к содержимому. Не забудьте нажать кнопку «Обновить» после задания настроек.
Кстати, вариант выше — не единственный способ показать определенным пользователям скрытую информацию. Есть еще плагин Public Post Preview для просмотра черновиков — он генерирует временную ссылку, по которой любой человек сможет увидеть его содержимое (если знает URL).
Как скрыть страницу в WordPress меню
Иногда в проекте требуется убрать ту или иную ссылку из меню, но чтобы она при этом была доступна по прямому адресу (черновики не подходят). Задача возникает в тех шаблонах, где настроен автоматический вывод всех ваших новых страниц.
В данном случае вопрос решается через создание нового Вордпресс меню, где вручную добавляете нужные пункты.
Редактирование навигации производится в разделе «Внешний вид» — «Меню». Затем сохраняете ее. Для отображения на сайте используйте соответствующий виджет или функцию wp_nav_menu.
WP Hide Post — дополнительные опции видимости в WordPress
Модуль внедряет парочку интересных фишек, позволяющих скрывать статьи и WordPress страницы в тех или иных ситуациях. По умолчанию система сразу добавляет все записи блога на главную или архивы, но иногда хочется этого избежать, а оставить их доступными лишь по прямой ссылке. В таких случаях и пригодится WP Hide Post — он позволяет реализовать задачу через админку.
Важно! После установки WP Hide Post надо перейти в его настройки и во вкладке General определить типы публикаций, для которых будут актуальны новые функции видимости.
Плагин обновлялся полгода назад (рассматриваю версию 2.0.10) и, если честно, некоторые из последних комментариев говорят об определенных проблемах (хотя не всегда это правда). Число в 50к активных загрузок и оценка 4,5 свидетельствует о том, что все весьма неплохо, хотя здесь имеются 4 нерешенных бага. Тестировался модуль до версии WP 4.8.5.
Итак, после того как добавили соответствующее разрешение в настройках WP Hide Post, переходим на страницу редактирования постов. В самом низу появится блок «Visibility»:
Вы можете скрыть записи в WordPress на/в:
Также при желании допускается удаление линка на предыдущие/следующие публикации в head вашего HTML кода. Все настройки задаются для конкретной заметки. Также важно, что при этом прямая ссылка будет работать + она корректно отображается в карте сайта, например, Google XML Sitemaps и других.
Для скрытия страниц в Вордпресс опций чуть меньше:
При этом в sitemaps.xml они также сохраняются.
Таким образом, плагин WP Hide Post позволяет добавлять на сайте «специфический» и SEO контент, который не выводится на главной, архивах, в меню, но остается доступным по прямым ссылкам. Отдаленно по назначению он смахивает на решения для удаления категорий WordPress из RSS и главной — Exclude categories и Ultimate Category Excluder.
Если у вас остались вопросы по скрытию страниц в WordPress или есть что рассказать, пишите ниже.
Плагин Wp-private, или как закрыть контент от незарегистрированных пользователей?
Приветствую вас, друзья! Как всегда весь в работе, поэтому редко пишу в блог, сегодня все же собрался и уделил пару часиков, чтобы написать очередной полезный пост и посетить интересных мне блоггеров.
Речь пойдет о том, как скрыть часть контента или всю страницу от незарегистрированных пользователей.
Это не значит, что я рекомендую что-то скрывать, как раз наоборот, я за свободный доступ к информации. Но согласитесь, всякое бывает, и вполне возможно, что и вам придется когда-нибудь что-то скрывать от постороннего глаза.
Скрыть контент от незарегистрированных пользователей можно несколькими способами, можно поковыряться в коде, добавить какой-нибудь скрипт, но это довольно сложно. Зато есть замечательный плагин, который справляется с этой задачей превосходно, имя этому плагину — Wp-private.
Плагин Wp-private
Начну по порядку, от создателя этого замечательного плагина, до технических моментов.
Плагин Wp-private разработал индийский программист Namith Jawahar, руководитель проекта Smartlogix. Вот собственно и его фото:
Думаю, вряд ли вам будет интересна его биография, поэтому сразу перейдем к плагину.
Скачать плагин Wp-private можно с официального сайта WordPress. Он англоязычный, но настроек в нем немного.
Настроек, как я уже говорил здесь немного, выглядит окно настроек следующим образом:
1. В первом разделе сразу идет подсказка, с помощью каких шорткодов, вам нужно будет закрывать контент. То есть с помощью шорткодов [protected] [/protected].
2. Далее нужно указать, что показывать посетителю, который не имеет права просматривать данную страницу.
3. Здесь можно указать текст, которые увидят незарегистрированные пользователи. В первом поле нужно указать текст, который будет до скрытого контента, а во втором после.
4. В четвертом разделе нужно указать текст для зарегистрированных, но неавторизованных пользователей.
5. Далее можно указать пользователей, которым вы хотите полностью запретить видеть скрытый контент.
7. И последний раздел – это поддержка SmartLogix, то есть поддержка разработчиков. Если хотите получать обновления, отметьте это пункт галочкой.
Вот собственно и все настройки. Если вы не неплохо разбираетесь в коде. То можете немного под редактировать плагин, немного его русифицировать. По умолчанию же скрытая страница будет выглядеть примерно вот так:
Может, вы знаете аналогичные, но русифицированные плагины? Поделитесь в комментариях, буду весьма признателен.
Безопасность в WordPress: как защитить свой блог от хакеров (часть 2)
Безопасность всегда была и остается горячей темой для обсуждений. Если провести аналогии с обычной жизнью, люди всегда ставят защитные механизмы для своих жилищ, приобретают автомобильные сигнализации и иные устройства, позволяющие повысить безопасность. Онлайн-безопасность также важна, особенно для тех людей, которые зарабатывают на своих веб-сайтах и блогах. В этой статье мы рассмотрим некоторые полезные настройки, позволяющие защитить WordPress-блог от сторонних посягательств.
1. Прячем лишнюю информацию
Описание проблемы:
Если вы не можете войти в панель управления своего WordPress блога, на экран обычно выдается некоторая информация, описывающая детали произошедшего сбоя. Она бывает полезной, если вы забыли свой пароль, но вот от посторонних людей лучше хранить такую информацию подальше. Почему бы не воспрепятствовать выводу сообщений об ошибках при неверном входе?
Решение:
Чтобы скрыть сообщения об ошибках при неверном входе, достаточно открыть файл function.php и добавить к нему следующий код:
Описание работы кода:
С помощью представленного фрагмента мы добавили простой хук, перезаписывающий функцию login_errors(). Поскольку произвольная функция, которую мы создали, возвращает только null, отображаемое на экране сообщение будет пустой строкой.
2. Используем мощь SSL
Описание проблемы:
Если вы беспокоитесь за сохранность своих данных, вы можете защитить их с помощью SSL. SSL представляет собой протокол шифрования, который используется в различных сетях, таких как Интернет. Использование SSL связано лишь с одной проблемой: не все компании, предлагающие услуги хостинга, поддерживают данное шифрование. Именно поэтому включение SSL может не дать никаких результатов.
Решение:
Если вы уверены, что ваш сервер может обработать SSL, откройте файл wp-config.php (находящийся в корне установленной системы WordPress) и добавьте к нему следующий код:
Описание работы кода:
Здесь нет ничего сложного. WordPress использует набор констант для конфигурации программного обеспечения. В данном случае мы определили константу FORCE_SSL_ADMIN и присвоили ей значение true. Тем самым мы включили использование SSL в WordPress.
Описание проблемы:
Решение:
Описание работы кода:
4. Заносим в черный список нежелательных пользователей и роботов
Описание проблемы:
Следующая онлайн-истина находит свое отражение и в реальной жизни: тот, кто надоедает вам сегодня, будет надоедать вам и завтра. Вы замечали, сколько раз за день к вам в блог приходят роботы, чтобы оставить свои малозначащие, раздражающие комментарии? Решить эту проблему довольно просто: достаточно закрыть им доступ к блогу.
Решение:
Описание работы кода:
С помощью Apache можно легко запретить доступ к сайту для определенных пользователей и роботов. С помощью приведенного фрагмента кода мы заносим пользователя с IP 123.456.789 в черный список.
Для того чтобы запретить доступ сразу нескольким пользователям, достаточно продублировать часть кода:
5. Защищаем свой блог от скриптовых инъекций
Описание проблемы:
Защита динамических веб-сайтов особенно важна. Большинство разработчиков всегда защищают свои запросы GET и POST, однако иногда этого недостаточно. Мы должны защитить свой блог от скриптовых инъекций и любых попыток изменения PHP-переменных GLOBALS и _REQUEST.
Решение:
Описание работы кода:
28 полезных советов как обезопасить WordPress без плагинов
Давненько я не писал в эту рубрику. Но сегодня исправляю этот промах.
Безопасность WordPress — это как безопасность вашего дома или квартиры.
Когда вы выходите из дома, вы закрываете двери и закрываете окна, верно? Почему бы вам не сделать то же самое для вашего сайта?
В конце концов — так же, как и ваше место жительства, оно также представляет собой значительную инвестицию во время, усилия и часто в деньги. Ваше присутствие в интернете, скорее всего, напрямую связано с получением средств к существованию. Это будет либо прямой источник дохода (например, интернет-магазин), либо реклама ваших услуг для остального мира.
По этой причине в этой статье я хочу глубоко погрузиться в то, как обеспечить безопасность вашего сайта WordPress. Первая часть этого поста расскажет о рисках, связанных с работой сайта. Вторая часть будет о том, как повысить безопасность WordPress, чтобы ваш сайт не был взломан.
Это очень подробный (и, следовательно, длинный) пост. Так что возьмите себе кофе и начнем!
Как веб-сайты WordPress подвергаются риску?
Чтобы использовать упреждающий подход, сначала нужно узнать, как сайты взламываются. Только когда вы знаете слабые места, вы можете принять меры для их защиты.
Исследование еще 2012 года показало следующие основные направления успешных попыток взлома:
Знание этого дает нам глубокое понимание того, как повысить безопасность WordPress. В этой статье вы узнаете, как защитить себя от взлома вашего сайта всеми способами, упомянутыми выше.
28 советов, как защитить свой WordPress
Принятие основных мер безопасности может пройти долгий путь, чтобы защитить себя от большинства атак. Люди, которые атакуют веб-сайты, не любят много работать. По этой причине решение наиболее распространенных проблем позаботится о значительной части попыток взлома.
1. Держите ваш компьютер в безопасности
Безопасность вашего сайта начинается с того компьютера, который вы используете для его обслуживания. Если ваш компьютер скомпрометирован, он может легко распространиться на ваше присутствие в интернете. Следовательно, важно соблюдать основные правила безопасности.
2. Используйте хорошую хостинговую компанию
Другой основной мерой является выбор качественного хоста. Как видно выше, большинство успешных атак происходит с платформы хостинга. Это ваша первая линия обороны, и вы бы неплохо пошли на ту, которая серьезно относится к безопасности.
Как вы найдете один из них?
Один из способов — прочитать статью о лучшем хостинге WordPress на этом сайте. Кроме того, ищите хост, который:
Стоит также уделить время чтению о различных типах хостинга, чтобы вы лучше поняли, во что вы ввязываетесь.
3. Измените префикс таблицы WordPress во время установки
Помимо размещения вашего сайта на качественном хосте, во время установки вы также можете сделать несколько вещей, чтобы сделать WordPress более безопасным. Одним из них является установка пользовательского префикса таблицы.
Если вы загляните в базу данных WordPress стандартной установки, вы увидите, что все таблицы начинаются с wp_.
Сохранение этого делает ваш сайт более уязвимым для SQL-инъекций. Это потому, что для такого рода атак хакерам необходимо знать префикс таблицы. Конечно, стандартная настройка WordPress общеизвестна.
Простой способ повысить безопасность WordPress — превратить его в нечто случайное 8uh7zgokm_. Вы можете сделать это во время установки или, если у вас уже есть веб-сайт, изменив настройки ниже в файле wp-config.php.
Если вы не знаете, вы можете найти этот файл в корневом каталоге вашей установки WordPress. Я расскажу об этом подробнее ниже. Если вы нашли правильную строку, измените ее на свой собственный префикс, например:
После этого вам все равно придется обновить префикс внутри вашей базы данных. Один из самых простых способов сделать это через плагин безопасности, такой как iThemes Security.
4. Перейти на качественные темы и плагины
Следующими в очереди по наиболее распространенным направлениям атаки являются темы и плагины. Вместе они составили более половины всех взломанных сайтов. Вот как устранить их в качестве шлюзов для хакеров:
Кроме того, крайне важно, чтобы вы не скачивали из неизвестных источников. Не все из них имеют в виду ваши интересы.
В лучшем случае вы получаете плохо запрограммированный плагин или тему, которая делает ваш сайт небезопасным. В худшем случае создатель намеренно включил вредоносный код для компрометации вашего сайта. Это особенно верно, если вы загружаете премиум-плагины «бесплатно». Поэтому лучше придерживаться качественных источников, таких как каталог WordPress и проверенные поставщики.
5. Держите WordPress и его компоненты в актуальном состоянии
Новые версии WordPress не только приносят новые функции и улучшения, но и устраняют дыры в безопасности, выявленные на предыдущих итерациях. Это особенно верно для незначительных обновлений (которые вы можете определить по третьей цифре в их номере версии, например 5.1.1). Они выходят специально для этой цели.
Следовательно, крайне важно, чтобы вы применяли новые версии на своем сайте как можно скорее.
Незначительные обновления WordPress 5.0 применяются автоматически. Это было добавлено, чтобы обеспечить актуальность веб-сайтов с точки зрения безопасности. Тем не менее, основные обновления по-прежнему под вашей ответственностью. Создайте резервную копию и обновите свой сайт, как только увидите предупреждение на своем сервере. Сделайте то же самое для тем и плагинов.
Обратите внимание, что WordPress может автоматически применять основные обновления, а также обновления для плагинов и тем. Мы поговорим об этом ниже. Однако риск того, что что-то пойдет не так без вашего ведома, слишком велик. Поэтому, настоятельно не рекомендуется.
6. Предоставляйте доступ только тем, кому доверяете
Первый способ — предоставить доступ к сайту только тем людям, которые, как вы уверены, не будут использовать его в плохих целях. Любой, кому абсолютно не нужен доступ, не должен быть там.
Даже с теми, кого вы считаете заслуживающими доверия, важно предоставить им только те роли и возможности, которые им абсолютно необходимы. Таким образом, вероятность несчастных случаев (или умышленно плохих действий) значительно уменьшается.
Кстати, такое же усмотрение следует применять для доступа к вашей учетной записи хостинга, FTP-серверу и другой конфиденциальной информации.
7. Усильте свою регистрационную информацию
Самый простой способ повысить безопасность WordPress — использовать безопасную информацию для входа. Это долгий путь, чтобы предотвратить атаки методом «перебора паролей», когда хакеры автоматически пробуют сотни различных комбинаций имени пользователя и пароля с помощью сценария, пока один из них не сработает.
Только WordFence зарегистрировал около 35 миллионов таких атак в июле 2017 года за день! И это только на сайтах, где работает их плагин.
Как следствие, лучше всего учитывать эти лучшие практики:
Вы также можете использовать службу для защиты всех своих паролей, например, LastPass. Кроме того, если на вашем сайте есть другие люди с высоким уровнем разрешений, вы можете также заставить их использовать правильную информацию для входа в систему. Вместо того, чтобы просить их по электронной почте, делайте это с помощью Force Strong Passwords. На всякий случай, если вам нужно изменить имя администратора, следуйте этим инструкциям.
8. Измените сообщения об ошибках входа
По умолчанию, если кто-то пытается войти на ваш сайт с неверными учетными данными, WordPress сообщит ему, связана ли проблема с его именем пользователя или паролем.
Это определенно слишком много информации, поскольку она отдает половину того, что кому-то нужно, чтобы проникнуть на ваш сайт. Чтобы изменить его, используйте этот фрагмент кода в файле functions.php чтобы изменить сообщение.
Измените «Это было не совсем правильно …» на все, что вы хотите передать. Просто, но эффективно.
9. Ограничить попытки входа
Надежная информация для входа — это только одна часть уравнения. Если у вас будет достаточно времени и попыток, кто-нибудь все же сможет это сделать.
Поэтому рекомендуется повысить уровень безопасности, ограничив количество попыток. Плагины, такие как WP Limit Login Attempts, позволяют установить, как часто данный IP-адрес может отказать при входе в систему до того, как он будет временно или навсегда запрещен на вашем сайте.
10. Реализовать двухфакторную аутентификацию
Двухфакторная аутентификация означает не что иное, как создание дополнительного шага для входа людей на ваш сайт. Это может быть что-то вроде необходимости ввести код с мобильного телефона. Он блокирует автоматические атаки.
Вот некоторые плагины, которые позволяют вам реализовать двухфакторную аутентификацию:
11. Скрыть страницу входа
Еще один способ сохранить страницу входа в WordPress — это скрыть ее. Как известно всем, кто работал с WordPress, вы обычно обращаетесь к нему через «yourdomain.ru/wp-admin» или «yourdomain.ru/wp-login.php».
Перемещение его на другой адрес означает, что автоматизированные сценарии будут нацелены не на то место. Многие из приведенных выше плагинов безопасности могут сделать это для вас. В дополнение к этому, Cerber Security & Antispam и WP Hide & Security Enhancer также имеют такую возможность. Вы также можете сделать это самостоятельно, используя код, описанный здесь.
12. Настройте SSL и HTTPS
Использование шифрования SSL предотвратит захват конфиденциальной информации. Если у вас есть интернет-магазин или другие вещи, которые необходимо защитить, это обязательно нужно иметь.
Однако шифрование также защищает ваши данные для входа и становится все более обязательным.
13. Автоматически обновляйте ваш сайт
Я говорил об автоматических обновлениях ранее. Помимо обновлений для минорных версий, вы также можете активировать ту же функцию для крупных обновлений, плагинов и тем. Это работает путем добавления следующих строк в wp-config.php:
Тем не менее, я должен еще раз предупредить вас, что риск взлома вашего сайта выше при использовании плагинов и крупных обновлений WordPress. По этой причине, может быть, лучше применить их вручную.
14. Добавить ключи безопасности
Ключи безопасности WordPress, также называемые «солями», шифруют информацию, хранящуюся в файлах cookie браузера. Таким образом, они защищают пароли и другую конфиденциальную информацию. Сами ключи представляют собой фразы, используемые для рандомизации этой информации и хранящиеся внутри wp-config.php, в котором он говорит, что это:
Вы должны добавить их вручную (как видно из подсказки). К счастью, вам не нужно придумывать фразы самостоятельно. Вместо этого просто нажмите на генератор ключей и скопируйте и вставьте то, что вы там найдете. Это будет выглядеть примерно так:
15. Отключить редактор тем и плагинов
Чтобы внести изменения в ваш сайт, WordPress содержит внутренний редактор файлов тем и плагинов. Хотя это может быть полезно в некоторых ситуациях, это также очень рискованно.
Причина в том, что если кто-то получит доступ к бэк-энду вашего сайта, он может использовать редактор для удаления вашего сайта, даже не имея доступа к вашему серверу.
Чтобы избежать этого, отключите редактор, добавив следующую строку в ваш файл wp-config.php:
16. Отключите отчеты об ошибках PHP
Когда плагины или темы вызывают ошибку на вашем сайте, WordPress отобразит сообщение на вашем интерфейсе.
Это сообщение может содержать путь к проблемному файлу. Хакеры могут использовать эту информацию, чтобы лучше понять структуру вашего сервера и атаковать ваш сайт. Вот как это отключить внутри wp-config.php:
Если это не работает, это может быть связано с настройками хоста. В этом случае вам нужно поговорить с ними об отключении.
17. Защита важных файлов от доступа
.htaccess — еще один важный файл, который настраивает ваш сервер. Среди прочего, он содержит код, который позволяет использовать красивые постоянные ссылки в WordPress. Он также может устанавливать перенаправления и, как вы уже догадались, повысить безопасность WordPress.
Для последнего вам сначала нужно получить доступ к файлу, который находится в корневом каталоге вашего сервера и по умолчанию скрыт. Поэтому для его редактирования убедитесь, что ваш FTP-клиент отображает скрытые файлы ( «Сервер — Принудительно показывать скрытые файлы» в FileZilla). После этого примите следующие меры.
При необходимости измените имя вашего файла php.ini (например, php5.ini или php7.ini). Обязательно размещайте код вне скобок #BEGIN WordPress и #END WordPress. Все внутри этого пространства может быть отредактировано WordPress и может привести к потере ваших изменений.
18. Ограничить доступ к файлам PHP
Кроме того, вы можете запретить другим пользователям получать доступ к файлам PHP и внедрять в них вредоносное ПО:
19. Предотвратите выполнение файлов PHP
Хакеры чаще всего загружают вредоносное ПО в папку «wp-content/uploads». Чтобы предотвратить выполнение ими плохих кодов в случае взлома, используйте этот фрагмент кода:
20. Отключить инъекции скрипта
Пока вы это делаете, используйте этот фрагмент, чтобы посторонние не могли внедрить вредоносный код в ваши существующие файлы PHP:
21. Безопасный wp-includes
В этой папке wp-includes хранятся файлы ядра WordPress, в которые никто не должен вмешиваться. Чтобы убедиться, что этого не произойдет, используйте следующий код.
Не волнуйтесь, это не повлияет на вашу тему или файлы плагинов, так как они находятся в другом месте.
22. Ограничить доступ администратора к определенному IP-адресу
Не забудьте заменить примеры IP-адресов тем, к которому вы хотите предоставить доступ. Вы также можете добавить больше адресов, скопировав и вставив строку «Allow from…». Все остальные попадут на страницу с ошибкой. Если вы не знаете свой IP, просто проверьте его здесь.
Имейте в виду, что для того, чтобы попасть в админ-панель WordPress с другого IP-адреса, вам нужно сначала изменить или добавить его в файл.
23. Блокировка определенных IP-адресов
24. Запрет просмотра каталогов
По умолчанию любой может посмотреть на структуру каталогов любого сайта WordPress, просто указав полный путь к каталогам на панели браузера.
25. Обратите внимание на права доступа к файлам
Использование правильных прав доступа к файлам на вашем сервере — это способ предотвратить изменение ваших файлов неуполномоченными лицами.
Как вы можете изменить права доступа к файлам?
С FileZilla это так же просто, как пометить элементы, которые вы хотите изменить, щелкнув правой кнопкой мыши, а затем выбрав «Права доступа к файлу…».
В следующем окне вы можете установить уровень разрешений с помощью числового значения.
Как вы можете видеть, также возможно применить то же самое к файлам и/или каталогам на более низких уровнях. Гораздо практичнее, чем индивидуальное изменение разрешений.
Что касается того, что вы должны изменить их, WordPress рекомендует следующие настройки:
26. Удалить номер версии WordPress
К сожалению, эта информация очень полезна для всех, кто пытается взломать ваш сайт, особенно если вы используете более старую версию WordPress с известной уязвимостью в безопасности. К счастью, удалить номер версии так же просто, как добавить следующее в начало файла function.php вашей темы:
27. Отключить XML-RPC
Эта аббревиатура является названием функции, которая позволяет удаленно подключаться к WordPress. Например, клиенты блогов используют это, и это также используется для трекбэков и пингбеков. К сожалению, это также иногда является целью хакеров, поэтому вы должны защитить его с помощью плагина Disable XML-RPC Pingback.
28. Резервное копирование
Упомянутые выше меры предосторожности хороши для обеспечения безопасности WordPress. Однако несчастные случаи все же случаются. Для дополнительной страховки всегда имейте под рукой свежую резервную копию.
Существует множество вариантов резервного копирования WordPress, поэтому я создал обширное руководство по этой теме. В нем вы найдете все, что вам нужно знать о создании резервных копий вашего сайта WordPress.
Думаешь, тебя взломали?
Если вы считаете, что приведенный выше совет пришел слишком поздно, и, возможно, вас уже взломали, есть способы выяснить это. Используйте эти инструменты, чтобы проверить, обоснованы ли ваши страхи (или просто используйте их в качестве меры предосторожности):
Как ваша безопасность WordPress?
Как и в реальном мире, важно защищать свои цифровые активы. Для многих из нас самым большим является наш веб-сайт. По этой причине инвестиции в безопасность WordPress равносильны покупке страховки арендатора или установке лучшего замка на вашей двери.
Имейте в виду, что вам не нужно принимать все меры, описанные выше. Даже если вы возьмете только основные, вы будете лучше подготовлены, чем многие другие.
Тем не менее, большинство действий занимают очень мало времени. Следовательно, вы можете подумать о том, чтобы потратить десять минут здесь и там для дальнейшего улучшения вашей системы безопасности WordPress. Поверь мне, в конце ты будешь благодарен.
Какие ваши любимые меры безопасности WordPress? У вас есть что-нибудь добавить к вышесказанному? Дайте мне знать в комментариях ниже.