О появлении новых приемов вы можете узнать из моих комментариев, где я буду сообщать, что именно добавилось в эту статью. Поэтому рекомендую подписываться в комментариях, чтобы быть в курсе обновлений и пошагово внедрять все о чем будет здесь написано.
Благодаря легкому освоению и достаточной гибкости, Вордпресс стал настолько популярен, что привлекает особое внимание не только хакеров, но и тех, кто просто ради интереса хочет на чьем-то сайте испробовать популярные методы взлома. Поэтому, крайне важно применять все возможные средства для обеспечения надлежащей защиты сайта, так как стандартная сборка WordPress находится в опасности перед имеющимся в сети арсеналом средств.
Итак, поехали!
1. Защита WordPress от XSS-инъекций
В языке программирования PHP, на котором написан WordPress, используются функции GET и POST, которые обращаются к переменным GLOBALS и _REQUEST. Именно они являются уязвимостью, воспользовавшись которой хакеры могут произвести XSS-инъекцию (это почти тоже самое, что и SQL-инъекции), чтобы модифицировать эти переменные.
Представленный ниже код позволяет проверять все запросы. Если запрос содержит тег или попытку модифицировать значение переменных GLOBALS и _REQUEST, код просто блокирует его и выдаёт 403-ю ошибку. Чтобы обезопасить свой блог, вставьте этот код в файл .htaccess.
<code>Options +FollowSymLinks</code>
<code>RewriteEngine On</code>
<code>RewriteCond %{QUERY_STRING} (\<|%3C).*script.*(\>|%3E) [NC,OR]</code>
<code>RewriteCond %{QUERY_STRING} GLOBALS(=|\[|\%[0-9A-Z]{0,2}) [OR]</code>
<code>RewriteCond %{QUERY_STRING} _REQUEST(=|\[|\%[0-9A-Z]{0,2})</code>
<code>RewriteRule ^(.*)$ index.php [F,L]</code>
Совет: перед внесением каких-либо изменений рекомендуется создавать резервную копию файла
.htaccess.
А пока можете прочесть о том как инженер Google защищает свой WordPress блог.
Для более серьезной защиты, где крайне необходимо обеспечить конфиденциальность данных, необходимо принимать радикальные меры. Вы можете обратиться в специальные SSL-центры, которые помогают выбрать подходящий SSL-сертификат.
SSL сертификат — это технология, обеспечивающая безопасное соединение между веб-сервером и программным обеспечением клиента. Это гарантирует целостность и сохранность данных, передающихся через защищенное соединение.
Для создания защищенного соединения по протоколу SSL необходим SSL сертификат, который однозначно идентифицирует отдельных пользователей и серверы. Сертификаты Secure SSL ведущих производителей Thawte и GlobalSign можно заказать на сайте ssl.ua сроком от одного до пяти лет.