Jak zablokować dostęp do najważniejszych plików w WordPress 

Jest wiele sposobów aby utrudnić włamanie się do naszej lub klienta strony, jednym z nich jest oczywiście dbanie o sukcesywną instalację najnowszych wersji naszego skryptu WP, pluginów jak również motywów. Jeśli dopełnimy tych czynności, to już jesteśmy w połowie sukcesu gdyż w ten sposób uniemożliwimy wejście poprzez wykrytą dziurę w skrypcie.

Dodatkowo możemy również postarać się we własnym zakresie o własne zabezpieczenia, takie jak między innymi blokada dostępu do najważniejszych plików w WordPress. Aby to zrobić potrzebujemy posiadać dostęp do naszego serwera ftp na którym jest instalacja WP. Gdy już mamy login i hasło (otrzymane podczas zakupu hostingu), nie pozostaje nam nic innego jak zalogować się na serwer za pomocą np filezilla i możemy działać 🙂 Teraz pozostaje ci jedynie odnaleźć swoją instalację WP na serwerze, może to się różnić w zależności od firmy hostingowej dlatego nie będę opisywać gdzie to się znajduje bo może to yc katalog główny serwera jak równie dobrze ścieżka do instalacji może wyglądać tak:  /webspace/siteapps/WordPress-581214/htdocs

jak zabezpieczyć wordpress

Teraz kopiujemy metodą przenoszenia plik .htaccess bezpośrednio np na swój pulpit komputera i otwieramy go naszym ulubionym edytorem kodu. Dodajemy do naszego pliku kod poniżej blokując dostęp do wp-config.php, readme.html oraz xmlrpc.php i uniemożliwiając w ten sposób włamanie za pomocą zmian w kodzie.

<FilesMatch "wp-config.*\.php|\.htaccess|readme\.html|xmlrpc\.php">
Order allow,deny
Deny from all
</FilesMatch>

Mając już kod .htaccess „na wierzchu” grzechem byłoby gdybyśmy od razu nie zrobili więcej zabezpieczeń, takich jak np zablokowanie możliwości skanowania loginów. Hakerzy często wykorzystują tę metodę aby później przeprowadzając ataki Brutalforce próbując odgadnąć hasło. W tym momencie chce jeszcze przestrzec cie przed używaniem loginów takich jak admin, admin123 itp oraz haseł które łatwo odgadnąć, jak np od nazwy domeny. No dobrze kontynuując, gdy już dodaliśmy kod wyżej, możemy dodać kolejny:

RewriteCond %{QUERY_STRING} author=\d
RewriteRule ^ /? [L,R=301]


Plik zapisujemy i wrzucamy ponownie na nasz serwer zastępując istniejący tym który utworzyliśmy. Od tej pory nasza strona zrobiła kolejny krok w kierunku zabezpieczenia przed jej przejęciem.