Мультисайт WordPress. Защита блогов.

Прошло около года с того момента, как я объединила свои блоги в единый мультисайт WordPress, и теперь со спокойной совестью можно делать выводы. В целом режим мультисайта меня устраивает: это ощутимая экономия объема на хостинге, никаких потерь в индексации блога, общая админка. Не устраивало меня в мультисайте только одно — регистрация в блогах.

Мультисайт WordPress. Защита блогов.

Дело в том, что «родные» настройки мультисайта WordPress позволяют либо разрешить регистрацию пользователей на всех блогах, либо на всех ее запретить. Я хочу оставить посетителям возможность регистрироваться на основном блоге, поскольку он представляет собой портал с живым обсуждением и возможностью предложить материал для публикации. Регистрация в других блогах ни к чему, к тому же, особенность мультисайта такова, что процесс регистрации производится только на основном блоге, и любой пользователь, надумавший создать учетную запись, скажем, на этом блоге, будет перенаправлен на основном блог с совершенно иной тематикой и совершенно не нужный посетителю. Одним словом, я хочу, чтобы на основном блоге регистрация пользователей была разрешена, на других — запрещена.

Я эту проблему решила следующим образом. Сначала установила плагин Theme My Login и активировала его только на основном блоге. Этот легко настраиваемый плагин добавляют форму регистрации прямо на сайт, избавляя посетителя от необходимости проходить на страницу wp-login.php.

Мультисайт WordPress. Защита блогов.

Нужно обязательно разрешить капчу (reCAPCHA), применяемую при регистрации, и безопасность (Security)! В настройках безопасности нужно настроить количество неудачных попыток входа на сайт, чтобы обезопасить его от ddos-атак, весьма распространенных в последнее время.

Мультисайт WordPress. Защита блогов.

Теперь нужно закрыть доступ к файлу wp-login.php на остальных блогах, сколько бы их ни было. Это можно сделать, например, с помощью плагина wSecure Lite, который позволяет, во-первых, задать ключ, с помощью которого вы сами сможете заходить в админку, а во-вторых, перенаправить злоумышленника на специальную созданную для этого страницу или на внешний ресурс, что предпочтительнее, ведь крутые хакеры, пытающиеся подобрать пароль к логину admin (А откуда им знать настоящий логин админа???), создают нагрузку на сервер хостинга. Поэтому желательно отправить злоумышленника подальше, например, на Гугл, который все стерпит.

Есть другой вариант — перенаправление с помощью файла htaccess.

Redirect /wp-login.php http://google.com

Заодно можно обезопасить свой блог от проникновения хакеров к файлу wp-config.php — в него они тоже любят заглядывать.

Redirect /wp-config.php http://google.com

Заходить в админку в этом случае можно только с основного блога, но этого вполне достаточно.

Еще один вариант, который мне по душе, - установка плагина WPS Hide Login, который заменяет адрес страницы логина с wp-login.php на заданный вами. Чтобы грамотно пользоваться этим плагином, нужно иметь страницу 404, на которую плагин будет пересылать всех желающих пройти по адресу wp-login.php и в папку /wp-admin.

Также полезно установить плагин, ограничивающий количество попыток авторизации в блоге, например, Limit Login Attempts. Этот плагин полезен тем, что сохраняет данные о действиях злоумышленников.

Мультисайт WordPress. Защита блогов.

Комментарии