За: Да стегнем малко горкия, беззащитен Wordpress
За: Да стегнем малко горкия, беззащитен Wordpress
Ще обобщя допълнителните съвети и ще добавя и нови. Ще помоля някой модератор да помогне и да ги добави след текста на първия пост от темата (ако е позволено) по следния начин:
Редактирано на dd.mm.yyyy:
Допълнителни съвети
9. Този код също може да се добави в главния .htaccess файл. Той защитава от script injection:
Код:
Options +FollowSymLinks
RewriteEngine On
RewriteCond %{QUERY_STRING} (\<|%3C).*script.*(\>|%3E) [NC,OR]
RewriteCond %{QUERY_STRING} GLOBALS(=|\[|\%[0-9A-Z]{0,2}) [OR]
RewriteCond %{QUERY_STRING} _REQUEST(=|\[|\%[0-9A-Z]{0,2})
RewriteRule ^(.*)$ index.php [F,L]
Източник:
ЦЪК
10. Този код да се добави в .htaccess файла на wp-content/uploads. Той забранява изпълняването на php файлове от там. (Благодаря на Sucuri SiteCheck Malware Scanner за идеята)
Код:
<Files *.php>
deny from all
</Files>
11. Може да се инсталират следните два плъгина, които са много полезни. Първия автоматично засича всяка промяна на файловете ви и дава отчет, така че ако някой вирус промени някакъв файл, вие ще знаете. Всякакви други промени също са видими, за това е добре да се игнорират някои папки, примерно uploads или cache. А с втория можете да сканирате за вируси когато поискате.
WordPress File Monitor Plus (Благодаря на Cloxy за идеята)
Sucuri SiteCheck Malware Scanner (Благодаря на accent за идеята)
12. Това е като допълнение към стъпка 5. Изтрийте readme.html файла, защото там е видима WP версията, а това е полезна информация за вирусите. (Благодаря на Sucuri SiteCheck Malware Scanner за идеята). Също вместо да ръчкате по файлове, както казах в стъпка 5, то сложете това във functions файла на темата ви: remove_action('wp_head', 'wp_generator');
13. Също може да зададете правата на wp-config.php файла да са 600. Става лесно през ftp програма с десен бутон на файла. Възможно е, но е малко вероятно някои плъгини да искат достъп до него и да не го получат. Имайте едно на ум за това. (Благодаря на Cloxy за идеята)