Открытое и свободное

В комментариях меня попросили рассказать о защите движка WordPress от взлома.
Ну что же, попробую Будем считать что существует два класса злодеяний, которые можно совершить с WordPress: перехват пароля к WordPress и непосредственно взлом движка.
1. В принципе и перехватывать его не так уж и обязательно. Очень часто пользователь выбирает галочку “сохранить мой пароль” в браузере - и пароль прочно прописывается на его компьютере. Потом к нему засылают троянчик, который планомерно сканирует все известные места, где живут броузеры, и отсылает пароль хозяину.Поэтому первое правило - перед тем как затевать улучшение безопасности на своем блоге, подумайте, а нужно ли это. Человеческий фактор - обыкновенное нежелание каждый раз вводить пароль - в случае, если кому-то нужен конкретно ваш блог, даст промах куда более надежно чем уязвимости самого движка.
Итого, меры предосторожности:
1.1. Не используете опцию “запомнить меня” - иначе на вашей машине сохранится постоянный куки с паролем.
1.2. После того как вы завершили работу с блогом, нажимайте sign out. Делать это нужно, так как иначе куки вашего блога не будет очищен и в нем останется лежать пароль
1.3. Используйте защищенный канал данных с сервером. Если ваш сервер позволяет использовать SSL - используйте. Плагин Force SSL в случае, если сервер сообщает о поддержке HTTPS, перехватывает адрес страницы, к которой вы обращаетесь по протоколу http, заменяет префикс с http на https и перенаправляет на эту страницу. После установления соединения ваш трафик до сервера будет зашифрован. Минус этого - сертефикат SSL недешев.
2. Взлом движка. Универсальный рецепт защиты лишь один - почаще проверяйте обновления WordPress в разделе development сайта. Если видите в описании релиза что-то наподобие “security and bug-fix release” - немедленно обновляйтесь. Уязвимости время от времени находятся и находятся люди, которые не против ими воспользоваться. Если уязвимость представляет возможность вставить на страницу блога произвольный текст - она будет очень удобной для распространителей вирусов, а также оптимизаторов
P.S. 8 сентября вышла версия 2.2.3 WordPress. В ней устранена уязвимость в серии 2.2.x, позволяющая злоумышленнику опубликовать произвольный HTML код в блоге. Рекомендуется немедленное обновление.
P.P.S. Последняя версия движка доступна по этой ссылке