Как изменить префикс таблиц в WordPress

Как изменить префикс таблиц базы данных WordPress

Открываю цикл статей и видеоуроков на блоге, посвящённых безопасности и защите сайтов на WordPress.

Сегодняшний урок про смену префикса таблиц в WordPress. Можно считать это самым первым пунктом, который обязательно должен быть выполнен для защиты вашего сайта. Любой мало-мальски осведомлённый взломщик, который нацелился на ваш блог или сайт на WordPress, будет пытаться атаковать именно сердце вашего детища — базу данных. Именно по этой причине стоит максимально серьёзно отнестись к этому уроку.

Читать далее «Как изменить префикс таблиц в WordPress»

Как удалить пользователя admin из WordPress

Делается это для того, чтобы исключить возможность подбора логина злоумышленником. Зная логин – подобрать пароль становится уже делом техники и инструментов по подбору паролей. Как отключить возможность узнать логин я писал недавно в заметке «Как запретить подбор имени пользователя».

Первым делом, необходимо создать нового пользователя с правами администратора.

Создание нового администратора

Заходим в меню «Пользователи» — «Добавить новый»:
Добавляем нового администратора

Вводим бессмысленный логин и ваш главный почтовый ящик:

Вводим логин и электронный адрес пользователя

Почему именно бессмысленный логин? Чтобы не было возможности подобрать его.

Если WordPress сообщает, что такой электронный адрес уже используется — промотайте в конец этой инструкции, там есть небольшой читкод, как это исправить.

В последних версиях WordPress появилась возможность автоматически сгенерировать пароль средствами движка и отправить его на почту пользователя. Я настоятельно рекомендую пользоваться этой возможностью, т.к. пароли получаются очень сложные и подобрать их просто нереально.

Используем встроенный механизм создания пароля в WordPress

Если же вам всё-таки надо установить свой пароль, то нажмите на кнопку «Показать» и затем в текстовом поле введите тот пароль, который вам нравится. Только убедитесь, что под паролем горит надпись «Надёжный» на зелёном фоне.

Задаём собственный пароль пользователю

Выбираем роль «Администратор»:

Выбираем роль Администратор

И сохраняете все настройки нажатием на кнопку «Добавить нового пользователя». После всех этих действий у вас будет две учётные записи пользователей с правами администратора. Теперь приступим к удалению старой учётки.

Удаляем старую учётную запись admin

  • Заходим под новой учётной записью администратора
  • После этого идём в меню «Пользователи» – «Все пользователи»
  • Наводим мышкой на пользователя «admin» и выбираем пункт «Удалить»:
    Удаление администратора
  • Обязательно установите галочку «Связать все записи»:
    Переносим существующие материалы новому администратору
    Если не сделаете — потеряете все записи этого пользователя :-)
  • И подтверждаем удаление соответствующей кнопкой.

Поздравляю вас! Теперь стандартная запись «admin» у вас удалена.

Как установить новому администратору существующий email?

Если вы попытаетесь создать нового администратора с уже существующим электронным адресом, то у вас это не получится по вполне понятным причинам — не может быть двух пользователей с одной почтой, это просто не логично. Поэтому предварительно надо будет изменить у текущего администратора почту на несуществующую.

Заходим под пользователем admin в «Пользователи» — «Ваш профиль»:

Заходим в редактирование личного профиля

Находим адрес электронной почты:

Находим ваш электронный адрес

И меняем в нём какой-нибудь символ или букву:

Меняем электронный адрес

После этого вы сможете спокойно создать нового администратора с нужным вам электронным адресом.

Заключение

Я настоятельно рекомендую не использовать для добавления материалов учётную запись нового администратора! Создайте вторую учётную запись с правами «Редактор» и всю работу над контентом используйте только её. Делается это для того, чтобы не «засветить» логин администратора. Это пока вы думаете, что ваш блог никому кроме вас не интересен, но когда с вами случится беда — вспомните меня добрым словом… :-)

Успехов!

Если вы хотите поблагодарить меня за материал — можете сделать это здесь :-)

Запрещаем редактирование файлов через Консоль WordPress

Все специалисты по безопасности в один голос утверждают, что редактирование файлов темы и плагинов через браузер — это потенциальная брешь в безопасности вашего сайта.

И речь не только о неудобстве и невозможности создавать резервные копии, но и о возможности бесконтрольного доступа к файлам.

С этим трудно спорить, потому что получив даже минутный доступ к админке вашего сайта, злоумышленник безо всякого труда интегрирует свой зловредный код в файлы вашей темы или плагинов, и сможет в любой момент управлять вашим сайтом без вашего же ведома.

Речь идёт об этой возможности WordPress:
Запрещаем редактирование файлов через Консоль WordPress

После запрета редактирования файлов через Редактор WordPress, файлы можно будет изменить лишь через FTP, либо же SFTP/SSH вашего хостинга. Помните об этом.

Для активации этой возможности добавьте следующий код в файл wp-config.php:
[php]define(‘DISALLOW_FILE_EDIT’, true);[/php]

Не забывайте делать резервные копии файлов перед изменениями!

Как ограничить количество попыток входа

В вопросах безопасности и защиты сайта на WordPress немаловажную роль играет не только использование стойких ко взлому и сложных паролей, но и ограничение количества попыток авторизации в административную панель WordPress.

Сегодня рассмотрим один простой, но очень эффективный плагин, который позволяет ограничивать число попыток входа в ваш WordPress. Название этого плагина — Limit Login Attempts.

Устанавливается он как и все плагины в WordPress — через раздел «Плагины» — «Добавить новый», вводите имя плагина и после этого активируете его.

Принцип действия плагина очень простой — в настройках устанавливаете допустимое количество раз, сколько можно ввести неправильный пароль и время блокировки. Как только человек введёт неправильно логин и пароль указанное количество раз, доступ для его IP адреса будет заблокирован на указанное вами время. Всё просто и понятно.

  • Заходим в «Настройки» — «Limit Login Attempts»
    Как ограничить количество попыток авторизации
  • Вводим желаемые параметры для блокировки
    Как ограничить количество попыток авторизации
  • Лично я предпочитаю использовать следующие параметры:
    Как ограничить количество попыток авторизации

После этого нажимаете на кнопку «Изменить настройки» и можете радоваться.

Теперь при вводе неправильного логина или пароля будет выводиться следующее сообщение:
Как ограничить количество попыток авторизации

Вы приблизились ещё на один шаг к максимальной защите своего сайта на WordPress!