club762.ruВозможно, вы уже слышали советы о том, что необходимо избавляться от устаревших и ненужных плагинов WordPress. Обслуживание сайта зачастую начинается с плагинов. Скорее всего, это вызвано тем, что на стандартном сайте WordPress у вас обычно стоит одна тема, которой вы пользуетесь, а также куча плагинов. Неиспользуемые плагины в своей массе создают проблемы для оперативного выявления угроз и устранения неисправностей. Также они могут привести к проблемам с безопасностью, если их не обновлять.
Все это понятно, но что по поводу тем? Очистка папки с темами в WordPress – не менее важное действие, как и обслуживание плагинов. Текущая версия WordPress поставляется с тремя предустановленными темами: Twenty Fourteen, Twenty Thirteen и Twenty Twelve. Также у вас может сохраниться и Twenty Eleven – пережиток прошлого, который остался после предыдущих версий WP. И это не предел – также могут присутствовать и другие темы, которые вы тестировали ранее.
Скорее всего, вам не нужны все эти темы. Проще всего от них сразу же избавиться – за небольшим исключением: можно оставить тему по умолчанию для отката. Вы сможете всегда заново установить любую тему в будущем, если она вам понадобится.
Протестировать несколько тем, после чего бросить их в вашей директории с темами равносильно разбрасыванию грязной одежды по полу вместо того, чтобы убрать ее в корзину для стирки. В случае с WordPress это может грозить несколькими серьезными последствиями.
Темы WordPress могут стать «воротами» для хакеров
Поскольку WordPress в данный момент используется на каждом пятом сайте сети, сайты с этой CMS представляют собой основную цель для хакеров и спамеров. Если ваш сайт плохо защищен, хакеры могут использовать ваши темы как отправную точку для взлома. Они изучают темы WordPress и знают, как использовать их в своих интересах, чтобы организовать мощную атаку на ваш сайт, ваш сервер и его ресурсы.
Хакеры могут внедрять вредоносные файлы или редактировать вашу тему, чтобы попытаться «угнать» ваш сайт. Иногда они используют уязвимые скрипты, как это было во время исторической атаки timthumb.php в 2011 году, которая представляла собой серьезную угрозу безопасности для миллионов WP-сайтов, использующих темы, которые шли в связке с данным скриптом.
Если взлом будет успешным, вам понадобится много времени, чтобы вернуть свой сайт в прежний вид.
Список действий, связанных с обслуживанием тем
Использование устаревших версий WordPress, тем и плагинов – самые популярные ошибки владельцев сайтов, которые в итоге приводят к взлому. По крайней мере, нужно всегда все вовремя обновлять. Включение автоматических фоновых обновлений является отличным способом сохранять актуальность системы, что особенно важно для сайтов, которые вы редко посещаете.
Вот список действий, которые вы можете выполнить прямо сейчас, чтобы очистить свою папку с темами:
- Удалите все неиспользуемые темы WordPress (оставив только стандартную тему для отката).
- Обновите все темы, которые вы оставили
- Убедитесь в том, что права доступа к вашим папкам wp-content и themes равны 0755
- Включите автоматические фоновые обновления
Этот список по большей части затрагивает лишь основы. В некоторых ситуациях вам потребуется применить более продвинутые опции безопасности, о которых вы уже писали в других статьях. Защита WordPress – важное действие, которое нельзя пускать на самотек.
Кстати, если посмотреть на логи, например в Better WP Security, то можно очень часто видеть попытки перебора на все эти уязвимости. К примеру вот что можно увидеть в логах:
/wp-content/plugins/user-avatar/readme.txt
/wp-content/plugins/gallery-plugin/gallery-plugin.php
/wp-content/plugins/mac-dock-gallery/bugslist.txt
/wp-content/plugins/zingiri-web-shop/admin.css
/wp-content/plugins/wpstorecart/lgpl.txt
/wp-content/plugins/cimy-user-extra-fields/README_OFFICIAL.txt
/wp-content/plugins/nmedia-user-file-uploader/readme.txt
/wp-content/plugins/another-wordpress-classifieds-plugin/AWPCP.po
/wp-content/plugins/resume-submissions-job-postings/installer.php
/wp-content/plugins/wp-image-news-slider/functions.php
Ну и так далее. Методом тупого перебора выясняется какие из этих плагинов, имеющих уязвимость у вас установлены, и когда такой плагин или тема, или файл найдены, через уязвимость в нем можно натворить дел. Имеет смысл /wp-content/plugins/ и некоторые другие папки закрыть от внешнего доступа и кстати запретить запрос файлов с расширением txt, т.к. они всё равно никогда не используются, но часто там лежит информация о версиях плагинов или тем и это легкий способ разузнать многое о компонентах и движке. Ну и лучше всего установить какой-нибудь плагин для защиты WP, например тот же Better WP Security или еще какой-нибудь.
В статье очевидные, вроде бы, вещи описаны. В теории, во всяком случае. Но на практике пришел к другому выводу — если что-то уже не нужно, оставь. Ибо после «уборки» могут начаться такие чудеса, что пожалеешь пять раз.
Полностью согласен с автором, безопасность блога это прежде всего. Я не знал про эти правила, но почему то выполняю их автоматически. Стоит ещё отметить, что нужно следить не только за внутренним состоянием блога, но и за внешним — Например ссылка на ваш сайт с вирусных сайтов.
Ссылки — это уже вопрос оптимизации сайта. Ссылочную массу стоит подбирать очень тщательно, постоянно ее анализируя и изучая.
После такой «уборки» чудес быть не должно. Хранящиеся темы не должны затрагивать рабочий сайт. По крайней мере я все такие темы сразу удалил и проблем не возникало. Вначале тестировал много тем.
Вообще, есть тенденция отказываться от использования плагинов в пользу простого кода, которым загружают functions.php. Но в таком случае сам файл получается раздутым и обрюзгшим, что не лучшим образом отражается на производительности. Если плагинов мало, то вполне можно весь код перенести в functions. Если же требуется масса всего, то тут уже без использования плагинов не обойтись.
Подскажите чайнику, как в новом интерфейсе WordPress удалять темы? Так и не нашел этой магической кнопки, удаляю вручную.
Про удаление есть даже целый ролик на Youtube:
Спасибо за видео! Очень неочевидное действие.
Да уж, раз видео записали, действительно — неочевидное. И статей масса на английском.
У меня два раза сайт ламали: один раз когда еще вел сайт на чистом PHP через mootools и второй раз блог на WP через галерею, которую я сам писал. С того момента я понял, что надо программировать для пользователей, но и не забывать пару строчек добавить специально «для Хакеров с любовью». Сейчас, слава Богу уже два года, как максимум пингуют или листают директории.