Сигурност на WP сайт чрез сървър конфигурация

Сигурност на WP сайт чрез сървър конфигурация е продължение на предишната публикация – Сигурност на основните директории в един WP сайт.

Какво трябва да знаете или да направите за да затрудните хакерите от недобронамерено проникване в блога ви с цел да направят поредната поразия?

Ето ги и основните стъпки, които да следвате:

1. Сървър конфигурация на MySQL база данни

– желателно е тя да е във версия 5.5.32 или поне 5.5.25.

2. Сървър конфигурация на PHP

– желателно е PHP версията да е 5.4.16 или с една идея по-висока – 5.4.17. И в двете версии вашият блог или страница ще имат повече от добра защита.

3. Сървър конфигурация на PHP max_execution_time

– ако размера няма значение :D, то поне скоростта със сигурност има. 30s или 60s е добра максимална скорост на PHP execution time.

4. Сървър конфигурация на PHP Memory Limit

– PHP паметта е от значение също. Препоръчвам 256М

5. PHP allow_url_include

– PHP allow_url_include трябва да бъде изключено.

6. PHP allow_url_fopen

– също трябва да е изключен.

Ако по първите четири точки сте зависими от хост доставчика, то т.5 и т.6 можете сами да ги направите. Достатъчно е да намерите файл php.ini и да направите следните настройки:
allow_url_include = off
allow_url_fopen = off

7. Dangerous PHP Functions

– трябва да деактивирате най-опасните PHP функции, които по един или друг начин са врата за някои хакерски атаки.

Отново в php.ini трябва да намерите директивата disable_functions и да добавите следния ред:
disable_functions = system,exec,passthru,shell_exec,proc_open

Ето и най-опасните PHP функции за сигурността на блога/страницата ви:

disable_functions = apache_child_terminate, apache_setenv, define_syslog_variables, escapeshellarg, escapeshellcmd, eval, exec, fp, fput, ftp_connect, ftp_exec, ftp_get, ftp_login, ftp_nb_fput, ftp_put, ftp_raw, ftp_rawlist, highlight_file, ini_alter, ini_get_all, ini_restore, inject_code, mysql_pconnect, openlog, passthru, php_uname, phpAds_remoteInfo, phpAds_XmlRpc, phpAds_xmlrpcDecode, phpAds_xmlrpcEncode, popen, posix_getpwuid, posix_kill, posix_mkfifo, posix_setpgid, posix_setsid, posix_setuid, posix_setuid, posix_uname, proc_close, proc_get_status, proc_nice, proc_open, proc_terminate, shell_exec, syslog, system, xmlrpc_entity_decode

Реално погледнато, в първите четири точки сте зависими от хост доставчика. Вече разбирате, защо ако ще правите WP блог или сайт е важен избора на хостинг доставчик. Не е само цена на годишен план и домейн име, не е само ежедневна поддръжка и др. Трябва да се интересувате какви продукти използват, какви версии и ако не са очакваните да ги питате кога смятат да ги ъпдейтнат.

По последните три точки е чисто и просто ваша работа. Не се мотайте, ами почвайте. Успех!

*Забележка – Запомнете! Файлът php.ini не е WordPress файл!

2 thoughts on “Сигурност на WP сайт чрез сървър конфигурация”

Вашият коментар

Вашият имейл адрес няма да бъде публикуван. Задължителните полета са отбелязани с *