Очень легко на базе вордпресс создать блог, интернет-магазин и развитую систему управления контентом, но еще остается огромное количество работы, которую нужно сделать в порядке обеспечения здоровья и процветания сайта.
Для любого сайта сильная стратегия безопасности просто абсолютно необходима. Будучи самым популярным блоговым приложением, вордпресс — огромная цель для вредоносных атак. К счастью, сообщество вордпресс также очень сильно и тысячи разработчиков постоянно работают над развитием и обновлением плагинов, шаблонов и функций. Если объединить все это вместе с методологией и информацией, то можно создать безопасный и защищенный сайт против атак и спама.
Первое, что стоит сделать, это обеспечить защиту файлов сайта. Традиционно есть много способов для этого, включая настройку соответствующих прав доступа к файлам, отмену просмотра директорий, блокирование восприимчивых файлов и постоянное обновление движка.
Настраиваем безопасные права доступа
Обычно ваш хостинг уже имеет оптимальную настройку прав доступа, поэтому стоит просто в этом убедиться. Это можно сделать как на самом сервере, просматривая список файлов и директорий и их права, так и через ftp клиент.
Файлы WordPress
Есть три базовых вида доступа к файлу
- Чтение — позволяет читать содержимое файла или имя файла
- Запись — позволяет изменять содержимое файла или имя файла
- Выполнение — позволяет выполнять файл или обрабатывать содержимое файла
На вашем сервере файлы вордпресс должны принадлежать вашему аккаунту и быть открытыми для записи. В большинстве случаев у вас не будет поводов беспокоиться о правах доступа и вопросы будут возникать только если будут появляться проблемы, связанные с настройкой файлов или директорий для работы плагинов или обеспечения безопасности.
Другими словами — если нет явных поводов и причин, не нужно вникать и что–либо делать или менять.
Ключевые файлы и директории Вордпресс
Все файлы вордпресс должны быть открыты для записи только вашему серверному аккаунту. По умолчанию права доступа для файлов назначаются как 0644, а для директорий 0755. С такими правами записывать сможет только серверный аккаунт, а вебсервер и все остальные — только читать.
Больше информации вы найдете тут.
Корневой htaccess файл
Согласно кодексу вордпресс, файл .htaccess может быть перезаписан вордпрессом, что связано с возможностью создавать и менять правила постоянных ссылок, а также для различных плагинов. Однако с точки зрения безопасности будет лучше после внесения правок в файл запретить его перезапись.
Файлы шаблона
Обычно, файлы шаблона имеют те же права, что и все остальные файлы вордпресс, однако, если вы хотите использовать встроенный редактор файлов тем в вордпресс, нужно будет изменить права, разрешив запись. На самом деле это не всегда нужно и очень небезопасно, поэтому возможность редактировать файлы шаблона из админки стоит отключить вовсе.
Плагины
Большинство плагинов нормально работает с правами по умолчанию, однако некоторые из них требуют наличия прав на запись различных файлов и директорий. В таком случае проще всего будет дать возможность всю директорию wp-content сделать разрешенной для записи. Начать стоит с прав 0755, а если это не дало нужных прав, то тогда сделать 0777, что крайне не рекомендуется из соображений описанных ниже.
Директории
Есть пара директорий, которые должны иметь возможность для записи. Первая, это wp-content/cache, которая нужна для корректной работы кеширующих плагинов. Вторая, это wp-content/uploads, в которую сохраняются все загруженные файлы.
Для файлов и директорий, требующих дополнительные права, не совсем обязательно использовать 777. Правда, на некоторых серверах только с такими правами и работают. Давая папке права 777 вы фактически открываете двери атакующим, которые могут использовать такие возможности для загрузки вредных скриптов, получения доступа к базе данных и перехвату контроля над всем сайтом. Более подробно можно почитать тут.
Традиционное правило назначения прав такое — всегда начинайте с самых строгих, постепенно добавляя разрешения, пока все не заработает как надо. Не ставьте сразу полные разрешения типа 777, если есть возможность работать на 755.
Отключение просмотра директорий
Еще один шажок построения безопасной системы — это отключение просмотра содержимого директорий. Многие хостинги отключают изначально просмотр, многие, но не все. Если разрешен просмотр содержимого директории, и директория не содержит индексные файлы, типа index.html, index.php и т.п., то при открытии этой директории в браузере показывается все ее содержимое, что крайне небезопасно и неосмотрительно.
Вот типичный пример такой директории
Открытая директория
Получив доступ к директории и файлам, будет совсем легко получить остальные доступы. К счастью, решается все довольно быстро и просто, добавлением в .htaccess конфигурации
Options -Indexes
Альтернативным вариантом будет загрузить во все важные директории пустой файл под именем index.html. Многие директории вордпресса изначально уже имеют такой файл для защиты. И тогда вместо содержимого каталога будет показан пустой белый экран.