Сразу после установки WordPress содержит несколько потенциально опасных мест, о которых знают взломщики и спамеры, и которые следует контролировать. Чтобы защитить свой WordPress-блог от посягательств недобросовестных посетителей, нужно провести ряд операций.
Один из самых простых способов взлома – это подобрать пароль. Чтобы этого избежать можно установить плагин, ограничивающий количество неправильно введенную пары логин/пароль.
Если в форме авторизации вы ввели неправильный пароль, но правильный логин, движок сообщит вам об этом, также и наоборот, если введенный пароль имеется в базе, то об этом также будет написано. Чтобы это убрать, необходимо отредактировать файл functions.php:
function failed_login () { return 'Login or password incorrect!'; } add_filter ( 'login_errors', 'failed_login' );
Для пользователей необходимо ограничить их права кодом в functions.php:
define ( 'DISALLOW_FILE_EDIT', true );
Это отключит возможность изменять темы и вообще редактировать файлы движка.
Вы должны удалить файл readme.html, а так же запретить движку отдавать по запросу свою версию:
function remove_wp_version () { return ''; } add_filter ( 'the_generator', 'remove_wp_version' );
По-умолчанию зарегистрироваться в блоге могут все желающие. Если вы не намерены завоевать мировую аудиторию, если это ваш личный блог с одним-двумя пользователями, то может быть следует ограничить возможность регистрации, ну или хотя бы определить роль регистрирующегося пользователя, как подписчик?
В заключении хотелось бы отметить, что безопасность вашего сайта не ограничена только только плагинами. Желательно правильно настроить доступ к файлам через .htaccess, а также настроить права доступа к файлам (755 и т.п.), дабы исключить возможность изменения их содержимого из вне. Кроме этого, желательно иметь настроенный firewall, если сайт стоит на виртуальном сервере. Базовой зашитой «от дураков», является сложный пароль из букв и цифр разных регистров.
источник: WordPress Security Threats That You Should Look Out For
