Wpis z mikrobloga

@asddsa123: niestendardowe połozenie wp-config, mocne hasło, niestandaardowy login, ukryta strona logowania. W wordfence warto zrobić bardziej restryjcyjną politykę logowania.

@asddsa123: wordfence jest dziurawe jak ser

@asddsa123: ja zauważyłem że tego często używają obecnie zamiast WordFence (który nie jest wcale taki bezpieczny jak go opisują): https://pl.wordpress.org/plugins/better-wp-security/

@asddsa123: np http://wordpress.tv/2016/10/06/krzysztof-drozdz-kreatywne-czary-z-filtrami-i-akcjami/, 28:50, później rozmawiałem z ludźmi od bezpieczeństwa i tych smaczków jest więcej

@asddsa123: ja stosuje takie:
wp-config i .htaccess z chmodem 444, zmiana wp-login.php na inną nazwę, folder wp-admin na hasło, blokada połączenia z FTP i Wordpressem z innych krajów niż Polska, blokada jak ktoś próbuje się zalogować na nieistniejący login np admin, 3 próby na hasło i potem blokada na kilka godzin, całkowita blokada xml-rpc i skanowanie w poszukiwaniu zmian raz w tygodniu.

@asddsa123: https://premium.wpmudev.org/blog/ultimate-wordpress-security-checklist

@Fagaldo_Antonio: Bardzo rozsądnie. Takie podejście jest znacznie lepsze niż masa wtyczek od bezpieczeństwa. Do tego zablokowałbym możliwość rejestracji nowych użytkowników. Jak masz stałe IP. to możesz zezwolić na dostep do wp-admin tylko z tego IP.

@Krzy___ek: stałe IP się nie sprawdza, bo większość ma dynamiczne

@asddsa123: blokada wp-admin bezpośrednio na panelu do hostingu mam taką opcję, ale jak ktoś nie ma, to na FTP wrzuca się .htaccess i .htpasswd do wp-admin z konfiguracją. Pogooglaj, szybko znajdziesz.

Blokada połączenia z WP z innych krajów - jest taka wtyczka Geo block czy coś takiego, na pewno z nazwą geo. Wpisujesz "block country" w wyszukiwarce wtyczek i znajdziesz

@asddsa123: co do dziur - mam też wtyczkę auto update, to pomaga ( ͡° ͜ʖ ͡°)

@asddsa123: ja wole z autoupdate, bo po każdej aktualizacji dostaję maila:

We have updated on or more plugins on your WordPress site at (adres strony), be sure to check if everything still

works properly. The following plugins have been updated:

@asddsa123: blokuje wtyczką. XML-RPC jest do blogów, odpowiada za tracking. Przy stronach statycznych jest zbędne