Как защитить свой блог на wordpress. Как защитить блог WordPress от взлома? Сгенерируйте уникальные ключи аутентификации

WordPress - это удобная блог-платформа для публикации статей и управления ими, на которой базируется огромное число различных сайтов. Из-за своей распространенности эта CMS уже давно является лакомым куском для злоумышленников. К сожалению, базовые настройки не обеспечивают достаточного уровня защиты, оставляя многие дефолтные дырки незакрытыми. В этой статье мы пройдем типичным путем «типового» взлома сайта на WordPress, а также покажем как устранить выявленные уязвимости.

На сегодняшний день WordPress среди систем управления контентом популярнее всего. Его доля составляет 60,4% от общего числа сайтов, использующих CMS-движки. Из них, согласно статистике, 67,3% сайтов базируется на последней версии данного программного обеспечения. Между тем за двенадцать лет существования веб-движка в нем было обнаружено 242 уязвимости различного рода (без учета уязвимостей, найденных в сторонних плагинах и темах). А статистика сторонних дополнений выглядит еще печальней. Так, компания Revisium провела анализ 2350 русифицированных шаблонов для WordPress, взятых из различных источников. В результате они выяснили, что более половины (54%) оказались зараженными веб-шеллами, бэкдорами, blackhat seo («спам») ссылками, а также содержали скрипты с критическими уязвимостями. Поэтому устраивайся поудобней, сейчас мы будем разбираться, как провести аудит сайта на WordPress и устранить найденные недостатки. Использовать будем версию 4.1 (русифицированную).

Первым этапом любого теста обычно бывает сбор информации о цели. И тут очень часто помогает неправильная настройка индексирования сайта, которая позволяет неавторизованным пользователям просматривать содержимое отдельных разделов сайта и, например, получить информацию об установленных плагинах и темах, а также доступ к конфиденциальным данным или резервным копиям баз данных. Чтобы проверить, какие директории видны снаружи, проще всего воспользоваться Гуглом. Достаточно выполнить запрос Google Dorks типа site:example.com intitle:"index of" inurl:/wp-content/ . В операторе inurl: можно указать следующие директории:

/wp-content/ /wp-content/languages/plugins /wp-content/languages/themes /wp-content/plugins/ /wp-content/themes/ /wp-content/uploads/

Если сможешь просмотреть /wp-content/plugins/ , следующий шаг по сбору информации об установленных плагинах и их версиях значительно упрощается. Естественно, запретить индексирование можно с помощью файла robots.txt . Так как по умолчанию он не включен в установочный пакет WordPress, его необходимо создать самому и закинуть в корневую директорию сайта. Мануалов по созданию и работе с файлом robots.txt довольно много, поэтому оставлю эту тему для самоподготовки. Приведу лишь один из возможных вариантов:

User-Agent: * Disallow: /cgi-bin Disallow: /wp-login.php Disallow: /wp-admin/ Disallow: /wp-includes/ Disallow: /wp-content/ Disallow: /wp-content/plugins/ Disallow: /wp-content/themes/ Disallow: /?author=* Allow: /

Если в файлах, хранящихся в папке uploads , имеются сведения конфиденциального характера, добавляем к этому списку строчку: Disallow: /wp-content/uploads/ .
С другой стороны, в файле robots.txt не рекомендуется размещать ссылки на директории, которые были созданы специально для хранения чувствительной информации. Иначе этим самым ты облегчишь злоумышленнику задачу, так как это первое место, куда обычно все заглядывают в поисках «интересненького».

Еще один важный шаг - идентификация версии CMS. Иначе как подобрать подходящий сплоит? Существует три быстрых способа для определения используемой на сайте версии WordPress:

Один из вариантов защиты в данном случае - ограничить доступ к файлам readme.html и ru_RU.po с помощью.htaccess .

Исследованием безопасности WordPress занялись не вчера, поэтому существует достаточное количество инструментов, позволяющих автоматизировать рутинные задачи.

• определение версии и темы с помощью скрипта http-wordpress-info nmap -sV --script http-wordpress-info
• подбор пароля по словарям nmap -p80 --script http-wordpress-brute --script-args "userdb=users.txt,passdb=passwords.txt" example.com

• модуль для определения версии: auxiliary/scanner/http/wordpress_scanner ;
• модуль для определения имени пользователя auxiliary/scanner/http/wordpress_login_enum .

• перечисление установленных плагинов: wpscan --url www.exmple.com --enumerate p ;
• перечисление установленных тем: wpscan --url www.exmple.com --enumerate t ;
• перечисление установленного timthumbs: wpscan --url www.example.com --enumerate tt ;
• определение имени пользователя: wpscan --url www.example.com --enumerate u ;
• подбор пароля по словарю для пользователя admin: wpscan --url www.example.com --wordlist wordlist.txt --username admin ;
• подбор пароля с использованием связки имя пользователя / пароль с числом потоков, равным 50: wpscan --url www.example.com --wordlist wordlist.txt --threads 50 .

Теперь давай соберем информацию об установленных плагинах и темах независимо от того, активированы они или нет. Прежде всего такую информацию можно выудить из исходного кода HTML-страницы, например по JavaScript-ссылкам, из комментариев и ресурсов типа CSS, которые подгружаются на страницу. Это самый простой способ получения информации об установленных компонентах. Например, строчки ниже указывают на используемую тему twentyeleven:

Так как информация о плагинах не всегда отображается в исходном коде HTML-страницы, то обнаружить установленные компоненты можно с помощью утилиты WPScan (см. врезку). Только не забывай, что перебор путей плагинов зафиксируется в логах веб-сервера.
Получив данные об установленных компонентах, уже можно приступать к поиску уязвимостей своими силами либо найти общедоступные эксплойты на ресурсах типа rapid7 или exploit-db .

По умолчанию в WordPress каждому пользователю присваивается уникальный идентификатор, представленный в виде числа: example.com/?author=1 . Перебирая числа, ты и определишь имена пользователей сайта. Учетная запись администратора admin, которая создается в процессе установки WordPress, идет под номером 1, поэтому в качестве защитной меры рекомендуется ее удалить.

Зная имя пользователя, можно попробовать подобрать пароль к панели администрирования. Форма авторизации WordPress на странице wp-login.php весьма информативна (рис. 3), особенно для злоумышленника: при вводе неправильных данных появляются подсказки о неверном имени пользователя или пароле для конкретного пользователя. Разработчикам известно о данной особенности, но ее решили оставить, так как подобные сообщения удобны для пользователей, которые могли забыть свой логин и/или пароль. Проблему подбора пароля можно решить, используя стойкий пароль, состоящий из двенадцати и более символов и включающий буквы верхнего и нижнего регистра, числа и спецсимволы. Или же, например, при помощи плагина Login LockDown.

После того как мы сбрутили пароль, ничто не мешает залить шелл на скомпрометированный веб-ресурс. Для этих целей вполне сгодится фреймворк Weevely , который позволяет генерировать шелл в обфусцированном виде, что делает его обнаружение довольно сложным. Чтобы не вызывать подозрения, полученный код можно вставить в любой файл темы (например, в index.php) через редактор темы консоли WordPress. После чего с помощью того же Weevely можно подключиться к машине жертвы и вызывать различные команды:

Python weevely.py http://test/index.php Pa$$w0rd [+] weevely 3.1.0 [+] Target:test [+] Session: _weevely/sessions/test/index_0.session [+] Browse the filesystem or execute commands starts the connection [+] to the target. Type:help for more information. weevely> :help

Для запрета доступа к чувствительной информации лучше воспользоваться файлом.htaccess - это файл конфигурации, используемый в Apache Web Server. Рассмотрим возможности этого файла с точки зрения безопасности. С его помощью можно: запретить доступ к директориям и файлам, заблокировать различные SQL-инъекции и вредоносные скрипты. Для этого стандартный файл.htaccess для CMS WordPress 4.1 нужно немного расширить. Чтобы закрыть список файлов и папок, добавляем:

Options +FollowSymLinks -Indexes

RewriteCond %{QUERY_STRING} base64_encode[^(]*\([^)]*\) заблокирует ссылки, содержащие кодировку Base64. Избавиться от ссылок, содержащих тег :

RewriteCond %{QUERY_STRING} (|%3E)

Противодействовать скриптам, пытающимся установить глобальные переменные или изменить переменную _REQUEST через URL:

RewriteCond %{QUERY_STRING} GLOBALS (=|\[|\%{0,2}) RewriteCond %{QUERY_STRING} _REQUEST (=|\[|\%{0,2})

Для противодействия SQL-инъекциям блокируем запросы к URL, содержащие определенные ключевые слова:

RewriteCond %{query_string} concat.*\( RewriteCond %{query_string} union.*select.*\( RewriteCond %{query_string} union.*all.*select RewriteRule ^(.*)$ index.php

Чтобы испортить жизнь распространенным хакерским утилитам, отфильтровываем определенные user-agent’ы:

SetEnvIf user-agent «Indy Library» stayout=1 SetEnvIf user-agent «libwww-perl» stayout=1 SetEnvIf user-agent «Wget» stayout=1 deny from env=stayout

Неплохо было бы также ограничить и доступ к особо важным файлам, которые хранят конфигурацию или просто могут выдать злоумышленнику какую-то информацию. Можно выделить следующих кандидатов:

• wp-config.php , содержит имя БД, имя пользователя, пароль и префикс таблиц;
• .htaccess ;
• readme.html и ru_RU.po , которые содержат версию WordPress;
• install.php .

Делается это следующим образом:

Order Allow,Deny Deny from all

Причем файл.htaccess , содержащий эти строки, должен находиться в той же директории, что и защищаемый файл. Затем запрещаем перечисление пользователей (помнишь, чуть выше мы говорили о том, как легко получить список пользователей?):

RewriteCond %{QUERY_STRING} author=\d RewriteRule ^ /?

Так, что еще? Можно разрешить вход только с указанных IP-адресов. Для этого создай файл.htaccess в папке wp-admin со следующими правилами:

AuthUserFile /dev/null AuthGroupFile /dev/null AuthName "Access Control" AuthType Basic order deny,allow deny from all allow from 178.178.178.178 # IP домашнего компа allow from 248.248.248.248 # IP рабочего компа

Метод не слишком гибкий и применим только в случае, если ты работаешь с ограниченным числом фиксированных IP-адресов. В противном случае рекомендуется установить пароль на папку wp-admin через хостинг-панель (при наличии такого функционала).

К тому, что было сказано выше, можно добавить следующие рекомендации. Во-первых, использовать только актуальные версии WordPress и его компонентов - это позволит устранить известные уязвимости. Во-вторых, удалить неиспользуемые плагины и темы, которые также могут быть проэксплуатированы. В-третьих, скачивать темы и плагины WordPress из достоверных источников, например с сайтов разработчиков и официального сайта WordPress. Как и домашний ПК, нужно периодически проверять свой веб-ресурс веб-антивирусом, например AI-Bolit . Если у тебя есть доступ к веб-серверу, настрой права доступа к файлам и каталогам. Как правило, WordPress устанавливает все необходимые права на стадии установки, но в случае необходимости chmod можно выставить вручную. Для каталогов - chmod 755 , для файлов - chmod 644 . Убедись, что права 777 присвоены только тем объектам, которые в этом нуждаются (иногда это необходимо для нормальной работы некоторых плагинов). Если WordPress перестал нормально функционировать, поэкспериментируй с правами доступа: сначала попробуй 755, затем 766 и, наконец, 777. Для всех htaccess-файлов выставь chmod 444 (только чтение). Если сайт перестанет работать, попробуй поэкспериментировать со значениями 400, 440, 444, 600, 640, 644.

Перемести файл wp-config.php . Данный файл содержит информацию о настройках MySQL, префикс таблиц, секретные ключи и прочее. Поэтому его необходимо перенести для того, чтобы файл не был доступен из интернета. Если сайт не располагается в папке public_html , то перенеси файл wp-config.php в папку уровнем выше, и WordPress автоматически найдет его в этой корневой директории (применимо, если на хостинге имеется только один сайт на этой CMS).

Чтобы усложнить заливку шелла, отключи возможность редактирования темы через консоль WordPress. Для этого вставь следующую строчку в файл wp-config.php: define("DISALLOW_FILE_EDIT", true); .

Еще одно слабое место - файл install.php (что в папке wp-admin). Поэтому его лучше удалить, заблокировать или изменить. Выполни один из вариантов:

Помимо уведомления посетителей сайта, данный скрипт выполняет следующие действия:

• отправляет клиенту и поисковым системам код состояния 503 («Сервис временно недоступен»);
• указывает промежуток времени, через который клиенты и поисковые системы могут вернуться на сайт (настраиваемый параметр);
• уведомляет по электронной почте о проблеме с БД для принятия соответствующих мер.

Дело в том, что в ранних версиях WordPress (удалите ее!

Проверьте, защищен ли ваш сайт от взлома ? В браузере введите следующие адреса:

1. http://ваш блог/wp-content/
2. http://ваш блог/wp-content/plugins/

После вызова данных директории вашего сайта вы не должны видеть в них файлы и папки. Должна открыться чистая белая страница. Если проверка показала, что опасность взлома сайта существует, создайте в этих директориях пустой файл index.php.

Можете для защиты сайта прописать в файле.htaccess строчку: Options All -Indexes

В файле function.php:

В файле search.php замените строку: на Запретите регистрацию пользователей на блоге - это также поможет защитить сайт от взлома. Для безопасности сайта заливайте файлы на сервер через панель управления хостингом, а не через FTP. Удаляйте неиспользуемые плагины и обновляйте своевременно сам вордпресс и установленные на сайте плагины. Вот основные моменты, которые служат для защиты сайта от взлома. Все, что вам поможет защитить сайт от взлома. Как применить обтекание текстом

Здравствуйте уважаемые читатели сайт! Этот пост посвящен защите популярного блога на движке wordpress. Как защитить wordpress от взлома? Я уверен, что многие вебмастера об этом даже не задумываются. Установил блог, напичкал его плагинами и все, пишем статьи, раскручиваем и не беспокоимся.

Я тоже так думал, пока однажды один мой сайт с посещаемостью почти в 300 чел. в сутки не взломали мошенники и не заменили логин и пароль для входа в админку. Теперь сразу после создания сайта или блога я в первую очередь задумываюсь о его защите от хакеров и прочих редисок.

Поверьте, как только ваш ресурс станет популярен, его тут же захотят взломать много различных не хороших дяденек.

Перед тем как читать данный пост, советую вам ознакомиться с новой статьей про защиту блога на wordpress . В ней обратите внимание на новый видеокурс по защите блога, который является сегодня самым лучшим среди того, что вообще есть по защите блога на рынке.

Итак, вот вам 6 советов по защите вашего блога wordpress от взлома.

Совет первый . Установите 2 важных плагина для защиты входа в админку wordpress.

а) Anti-XSS attack
б) Login LockDown или Limit Login Attempts

Плагин Anti-XSS attack будет защищать ваш блог от XSS-атак.

Плагин Login LockDown или Limit Login Attempts — это плагины, которые предотвращают многократные попытки входа в админку. Если злоумышленник начнет набирать различные логины и пароли в вашей админки, для того чтобы проникнуть в нее и у него не получиться это с 3-х раз, то система автоматически запретит ему вход на определенное время.

Количество попыток и время блокировки вы устанавливаете сами в настройках плагинов, они почти одинаковые по функциям. Качаете их, закидываете в папку wp-content/plugins, активируете, настраиваете по вашему вкусу и готово!

Совет второй. Поменяйте логин и пароль для входа в админку. По умолчанию в настройках блога стоит логин admin. Но его можно изменить. Через саму админку это сделать не возможно, поэтому идем в панель управления хостингом и заходим в phpMyAdmin:

После заходим в таблицу нашей базы и выбираем пункт wp_users. На вкладке «Обзор» выбираем admin и жмем «правка»:

Теперь в двух местах нам нужно изменить значение admin на какое-либо другое и нажать «ОК». Так же необходимо изменить пароль. Советую изменить пароль на очень длинный, где-то 20-25 символов, включая цифры и буквы.

Меняется пароль так же в этой таблице в поле user_pass. Удалите все те иероглифы, которые там есть и напишите свой новый пароль, только в выпадающем списке нужно выбрать MD5 и нажать «OK».

Третий совет. В корне вашего блога удалите файлы readme.html и license.txt. Они вам не нужны, они нужны мошенникам, для того чтобы узнать версию вашего движка вордпресс и еще много чего полезного для взлома.

Так же в файле header.php темы вашего блога удалите строку

Эта строка так же показывает версию wordpress.

Совет четвертый. Установите плагин wordpress database backup. Он нужен для защиты вашей базы данных. В настройках плагина вы можете поставить функцию ежедневной отправки бекапа базы данных на свой почтовый ящик. Установили и можете не беспокоиться за свою базу.

Совет пятый. Наберите в вашем браузере адреса:

1. http://ваш блог/wp-content/
2. http://ваш блог/wp-content/plugins/

Если после вызова данных директорий вашего блога вы можете наблюдать через браузер находящиеся в них файлы и папки, то это ОЧЕНЬ и ОЧЕНЬ плохо. Немедленно создайте в каждой из этих директорий пустой файл index.php. Теперь после ввода этих адресов в адресную строку браузера, вам должна открыться чистая пустая страница.

Ко всему прочему как дополнение можете прописать в файле.htaccess дополнительную строчку:

Options All -Indexes

Совет шестой. В файле function.php в конце кода пропишите строку:

А так же в файле search.php замените строку

Это запретит различным хакерам и мошенникам лазить по вашему серверу. Если у вас такого файла в папке с темой нет, то значит ни чего менять не нужно.

Ну вот в принципе и все!!! Это наверное самые основные способы защиты блога wordpress.

Как дополнение еще советую вам проверить весь список ваших используемых плагинов, если какие-то просто так установлены и вы ими не пользуетесь, то удалите их. Так же следите за обновлениями блога wordpress и плагинов, установленных на вашем блоге. Обновляйтесь по чаще, так как старые версии могут содержать дыры.

По возможности соединяйтесь и закачивайте файлы на сервер через панель управления хостингом, а не через FTP, это более безопасно. Да кстати, советую так же сделать сложные логин и пароль для входа в панель управления хостингом. Если злоумышленники проникнут туда, то вся ваша защита wordpress пошла на смарку.

Так же запретите регистрацию пользователей на блоге, это намного обезопасит ваш блог. Ну вот теперь точно все!!! Теперь и вы знаете как защитить wordpress от взлома! Защищайтесь друзья!!!

P.S. Как вам статья? Советую , чтобы не пропустить информацию о новых бесплатных видеокурсах и конкурсах блога!

C уважением, Александр Борисов

Здравствуйте, друзья! Сегодня я продолжу и описание того, как защитить сайт от взлома . Как вы, наверное, уже поняли из предыдущего поста, этому надо уделить значительное внимание, чтобы не потерять нажитое непосильным трудом.

В сегодняшней статье я уделю внимание нескольким пунктам, которые, на мой взгляд, являются наиболее важными в защите вашего проекта и которыми пренебрегать никак нельзя. Еще раз повторюсь, не откладывайте в долгий ящик то, что может гарантированно защитить ваш проект! В прошлой статье я рассказал, каким образом можно поменять логин и пароль входа в админ панель блога Вордпресс. То же самое необходимо проделать с .

Это можно сделать в самой админ панели, например на Спринтхост , которым я пользуюсь (кстати, его рекомендую и вам, поскольку за все время работы с ним не имел вообще никаких проблем), есть специальная ссылка «Смена пароля» , кликнув по которой, можно попасть непосредственно на страницу редактирования:

Я думаю, на каждом хосте должна быть подобная функция, поищите в админке. Пароль необходимо поменять на очень сложный, с использованием цифр и букв со сменой регистра (маленькие и заглавные буквы), ставьте сразу знаков 20-25, чтобы быть спокойным.

Описанный выше шаг очень важен и существенен в деле защиты ресурса и обеспечения общей безопасности, поскольку позволяет в комплексе решить проблему (надежные пароли входа в админ панели wordpress+хост). Теперь по пунктам, что еще необходимо соблюдать и что необходимо предпринять, чтобы защитить сайт.

Как видите из скриншота, эта строчка должна исчезнуть, и я уверен, что так оно и будет. Таким нехитрым способом мы еще немного приблизились к тому, чтобы максимально защитить сайт от взлома.

3. Следующий шаг - отключение сообщения об ошибке авторизации. Дело в том, что Вордпресс по умолчанию выдает предупреждение о неправильно введенном пароле , тем самым давая дополнительный шаг нечистым на руку людям и ослабляя защиту сайта:

Add_filter("login_errors",create_function("$a", "return null;"));

Теперь надпись, предупреждающая о некорректно введенном пароле, не будет выводиться, следовательно, это еще один плюсик в дело укрепления безопасности.

4. При необходимости нужно изменить права доступа для папок. Подробно о том, какие права и как их установить, я подробно описывал .

Order allow,deny deny from all

Такая запись закроет доступ к очень важному файлу wp-config.php. Еще один шаг к тому, чтобы качественно защитить свой блог WordPress.

6. Обязательно вовремя обновляйте WordPress и все необходимые плагины, поскольку старые версии содержат много дыр, через которые вполне можно получить доступ к ресурсу. Особенно желательно следить за теми плагинами, которые давно не обновлялись и заменить их аналогичными по функционалу, но более надежными в плане безопасности.

7. И наконец, если у вашего хостера есть такая услуга, можете приобрести сертификат SSL, который обеспечит соединение сайта по безопасному протоколу https. А вообще, я планирую уделить безопасному соединению внимание в дальнейшем, потому как эта тема чрезвычайно важна.

Эта статья посвящена безопасности сайта на движке wordpress. Как максимально от взлома? Надо сделать всего 7 шагов.

Здравствуйте, уважаемый читатель. Такова уж человеческая натура, как в побасенке говорится – пока гром не грянет, мужик не перекрестится. Вы создали свой блог, установили движок wordpress, плагины, пишите посты, раскручиваете свой сайт и больше ни о чем не беспокоитесь? Напрасно.

И, если Вы думаете, что молодой сайт никому не нужен, то опять же заблуждаетесь.

Ведь как только Вы заявите себя в поисковых системах, Ваш блог тут же станет интересным для срытого размещения ссылок, скриптов и других разнообразных шпионских штучек. Зачем? Вариантов достаточно много –

заработать денег, потренироваться для улучшения профессиональных навыков, для развлечения просто, наконец.

Обидно будет потерять свое детище или найти кучу проблем по восстановлению своего ресурса из-за собственной легкомысленности.

Не теряйте время, в самом начале создания сайта побеспокойтесь о его безопасности. Хочу дать Вам предложить сделать несколько шагов по защите wordpress.

Запретить регистрацию пользователей на блоге, это очень даже обезопасит Ваш блог. Имейте в виду, если на Ваше сайте нет формы регистрации, роботам это не помешает регистрироваться. Сделать это просто – в консоли админпанели wordpress в общих настройках надо снять галочку – любой может зарегистрироваться. Я сама столкнулась с этим – за 2 дня на моем блоге внезапно зарегистрировалось 240 человек. Явно – это были роботы.

Попробуйте набрать в адресной строке браузера и пройти по этим адресам

• http://ваш блог/wp-content/
• http://ваш блог/wp-content/plugins/

Если Вы наблюдаете через браузер файлы и папки этих директорий, то это просто супер плохо. Немедленно создавайте в каждой из этих директорий пустой файл index.php. Надеюсь, Вы понимаете, что этот файл создается в текстовом редакторе и затем просто меняется расширение. Теперь, после ввода этих адресов в браузере, Вам будет открываться пустая страница.

Изменить логин и пароль для входа в панель управления хостингом на более сложные. А лучше всего менять пароль раз в 3 месяца хотя бы. Наверно не надо объяснять почему. Ведь это полный доступ к Вашему ресурсу. И если кто-то проберется сюда, то все другие Ваши старания защитить wordpress от взлома напрасны.

Защитить вход в админпанель wordpress. Для этого надо установить 2 плагина –

• Login LockDown или Limit Login Attempts – для предотвращения многократных попыток входа в админпанель. Если кто-то станет подбирать комбинации логин-пароль для проникновения и это не получиться у него с N-ного количества раз, то вход автоматически заблокируется на некоторый промежуток времени. Число попыток и значение промежутка времени блокировки можно устанавливать самому в настройках плагина.
• Плагин для защиты Вашего блога от XSS-атак – UpdraftPlus Backup and Restoration for WordPress или WP Database Backup.

В корне Вашего блога есть файлы readme.html и license.txt, надо удалить их. В этих файлах содержится информация о версии вашего движка wordpress и еще разные полезные вещи для взлома, а Вам они совершенно не нужны.

Поменять логин и пароль для входа в админпанель. Пароль я советую менять раз в месяц. Самый простой способ из админпанели – во вкладке пользователи выбрать профиль и изменить. А вот изменить логин admin, который стоит по умолчанию для входа, через саму админпанель сделать невозможно. Необходимо зайти в панель управления хостингом и затем в phpMyAdmin.

Затем выбрав базу и в ней вкладку wp_users, жмем в строчке admin – изменить.

Теперь в обоих выделенных на рисунке местах user_login и user_nicename необходимо изменить значение admin на Ваше имя(Вами придуманное). Тут же необходимо сразу изменить пароль. Было бы неплохо, если бы он составлял 20-30 знаков – буквы и цыфры.

В таблице в поле user_pass надо удалить все ее содержимое и написать свой пароль, при этом в выпадающем списке выбираем MD5.

Не забудьте нажат OK, чтобы изменения вступили в силу.

Желательно назначить пароль на папку wp-admin.

Для этого надо зайти в панель управления, затем файловый менеджер, public_html, далее имя Вашего домена и в настройках папки wp-admin нажать Protect. Затем ввести имя пользователя и 2 раза пароль. Этим способом можно воспользоваться, если Ваш хостинг допускает это. Хостинг sprinthost предоставляет такую возможность.

И еще несколько советов

• Желательно скачивать плагины с официального сайта wordpress.org. Плагин вполне может стать источником заражения вирусами.
• Систематически проверяйте свой сайт на вирусы, ну, например, на ресурсах iritec.ru и antivirus-alarm.ru.
• Настройте права доступа на папки – 755, на файлы – 644, для cache и uploads – 777.
• Обязательно регулярно делайте данных блога.
• Чтобы избавиться от назойливых комментаторов рекомендую .

Теперь Вы знаете что делать, чтобы от взлома. Ни в коем случае не расслабляйтесь. Обязательно надо защищаться! До безопасности сайта всего 7 шагов.

Статьи по теме:

• Как защитить текст от копирования.

Эта статья посвящена безопасности сайта на движке wordpress. Как максимально защитить wordpress от взлома? Надо сделать всего 7 шагов. Здравствуйте, уважаемый читатель. Такова уж человеческая натура, как в побасенке говорится – пока гром не грянет, мужик не перекрестится. Вы создали свой блог, установили движок wordpress, плагины, пишите посты, раскручиваете свой...

Постраничная навигация wordpress – 33 варианта

В продолжение статьи Постраничная навигация wordpress с помощью WP-Pagenavi предлагаю вам 33 цветные варианта.

Все для безопасности сайта. Требуется срочное обновление WordPress.