Ну что сказать, безопасность — это, конечно, хорошо, но какие-то эти гики из Google всегда умудряются усложнять жизнь обычным смертным. Все эти .htaccess, IP-адреса, патчи… Я думаю, что если бы Гарри Поттер создавал блог на WordPress, то даже он бы запутался в этой магии безопасности.
Давайте разберемся подробнее. Первый совет — блокировать посторонний доступ к админке по IP-адресу. Ну вот представьте, что у вас дома меняется IP каждый раз, когда вы перезагружаете роутер (да, это про меня).
Каждый раз заново добавлять свой IP в белый список — это же просто издевательство над человеком! Да и сколько можно заходить в админку с работы или из любимого кофейного автомата? Рано или поздно Мэтт Смит из соседнего офиса подключится через ваш IP и начнет писать посты про своих кошек.
Второй совет — создать пустой файл index.html в папке plugins. Да, конечно, скрыть список плагинов — это хорошо.
Вдруг какой-то хакер увидит, что у вас стоит «Hello Dolly» и решит, что это слабое звено в безопасности. Но давайте подумаем, что будет, если этот хакер все-таки взломает ваш блог? Он увидит этот пустой файл и решит, что все ваши плагины — тоже пустые, а значит, ваш блог тоже.
И тут он вам и говорит: «Не знаю, что вы пытаетесь скрыть, но у вас тут ничего нет, даже нормальных плагинов!».
И третий совет — постоянно обновлять блог до новых версий и патчей. Ну, это вполне разумно, конечно. А вот если обновление сломает вам весь дизайн блога или перестанет работать какой-то любимый плагин, то это уже проблемы более серьезные, чем взлом.
Ну а что делать, если после обновления у вас половина шорткодов перестанет работать? Правильно, копить нервы и жаловаться в поддержку WordPress.
А удаление строки с версией WordPress из метатега… Ну, это, конечно, круто. Хотя, думаю, что хакеры-злоумышленники и так знают, что у вас скрипт устарел, когда видят Hello Dolly, да и так каждый раз, когда вы не успеваете обновиться. Вот один из них видит на вашем блоге Hello Dolly, вспоминает, как сам ее удалил, и думает: «Старый, чего ты все еще не обновился?».
Но в целом, конечно, безопасность — это хорошо.
Вспоминаю анекдот про программиста, который сделал пароль из 20 символов для своей жены. Теперь она его боится и только раз в месяц просит позавтракать.
Так что, кажется, все-таки лучше просто обновлять WordPress вовремя и не щеголять своими хитроумными методами защиты.