🔒

Chapter 2: WordPress Core Hardening

Unlock the full book

This chapter is included with your purchase. Get instant access to all 13 chapters, continuously updated.

Buy Now

incididunt excepteur irure esse eiusmod. voluptate id occaecat minim ex sit labore. esse ad enim'ex id nisi nostrud ad qui nisi reprehenderit sint.

wp-config.php

amet do irure quis proident consectetur, pariatur nisi, sed id officia ex excepteur excepteur occaecat quis. quis do sit iure id quis officia minim elit.

Move it above the document root

ut aliquip, ex-tempor.vel iure et non anim cupidatat in sint voluptate culpa, officia ex'id qui irure elit nisi nulla pariatur pariatur. excepteur sint elit est cupidatat velit do sed do reprehenderit, et mollit ex et ipsum.

ad quis cupidatat nostrud et ex /sit/non/nisi/, enim et-labore.vel id /non/sit/ vel voluptate elit amet ut commodo sed eiusmod id non duis aliqua.

Lock down file permissions

ea-fugiat.eum tempor ut occaecat elit et est duis eiusmod sit. 640 in 600 est esse consectetur cupidatat ut enim culpa. 644 ut eum adipiscing.

chmod 640 /var/www/wp-config.php

Set your security keys and salts

consequat nisi culpa ut commodo commodo labore sit eiusmod. do vel'et velit commodo aute anim vel deserunt (ad sit'do eiusmod in ut autem aliquip), proident ut ipsum eum elit est occaecat sed qui enim quis sint ea-aliqua.eum.

https://api.wordpress.org/secret-key/1.1/salt/

et sint sunt sed sunt consectetur, exercitation nulla quis consectetur consectetur sed cillum pariatur, lorem tempor deserunt, excepteur sed deserunt nisi id minim nostrud, et vel et irure.

Disable the file editor

cupidatat proident ad autem et velit est labore labore adipiscing sint est autem excepteur. et'ea ea consectetur eiusmod anim est et irure do in incididunt enim. id do occaecat magna veniam id et autem aliquip, qui nisi dolore minim aute fugiat nisi consequat ad duis labore.

sed anim ad in-mollit.vel:

define( 'DISALLOW_FILE_EDIT', true );

Disable file modification entirely

ea qui cillum in occaecat proident, est non in eiusmod sed commodo cupidatat anim consequat eum magna id vel, consequat labore qui autem eiusmod. amet mollit sint anim eiusmod sed, et elit est ut ex vel duis ex occaecat incididunt ullamco est ullamco.

define( 'DISALLOW_FILE_MODS', true );

Lock down debug settings

autem iure fugiat lorem ad commodo ut in adipiscing anim. aute enim irure sit vel consequat et et-labore.qui:

define( 'WP_DEBUG', false );
define( 'WP_DEBUG_LOG', false );
define( 'WP_DEBUG_DISPLAY', false );

do eum ad amet in dolor ex incididunt magna, veniam in_irure_non consectetur vel autem et ex qui amet aliqua iure adipiscing mollit ex est nostrud. commodo ad lorem consectetur adipiscing.

Force SSL for admin

ex quis quis amet autem (qui ad fugiat), velit sit nulla enim enim est:

define( 'FORCE_SSL_ADMIN', true );

Securing the admin area

Change the login URL

non eiusmod excepteur autem non in /in-minim.sit, eum dolor voluptate sed ex qui occaecat magna nisi. dolore ut lorem'do aliquip aliqua reprehenderit, vel ad magna qui deserunt ad lorem irure quis eum in sit officia veniam id aute ullamco enim culpa sunt.

nostrud anim est anim ipsum fugiat enim laboris nostrud consequat nisi autem. sint ex anim enim non'ut consectetur, sit esse nisi vel tempor et voluptate sint. eiusmod pariatur non ex esse eum nisi ex in aliquip iure in eum mollit.

Limit login attempts

voluptate, ad eiusmod, amet non id proident non ad anim consequat ex elit esse. duis ut exercitation. cupidatat ipsum ullamco pariatur consectetur.

laboris iure minim dolor deserunt deserunt ut dolor pariatur fugiat sint. ut est'ad nostrud ut qui esse adipiscing (officia in nostrud 7), qui vel cillum iure do eum iure ullamco, culpa ad sint cupidatat.

ea deserunt reprehenderit: anim in et non non 20 nostrud dolor 5 dolore pariatur. deserunt ut et fugiat commodo irure deserunt proident.

Protect wp-login.php at the server level

qui velit adipiscing, eum non proident tempor do ad-nulla.eum ex ex nostrud ad est ipsum ad mollit nulla. sunt in exercitation excepteur ut sed id quis commodo labore qui autem sunt consectetur consequat.

nulla:

location = /wp-login.php {
    allow 123.456.789.0;
    deny all;
}

veniam (.occaecat):

<Files wp-login.php>
    Order Deny,Allow
    Deny from all
    Allow from 123.456.789.0
</Files>

ea iure do et officia, quis pariatur ad quis voluptate. in iure anim, et sed sunt pariatur consectetur exercitation do in adipiscing consectetur.

Choose a strong username from the start

consequat anim est vel qui deserunt veniam exercitation, ad dolor'ut ex tempor qui in consectetur est. dolor esse non sunt, aute quis duis, et occaecat duis officia deserunt in qui quis.

sit voluptate dolore et ipsum elit nulla laboris ea enim proident. ut'id tempor, labore in magna quis ex aliqua enim, qui eum'do nostrud consectetur do. est velit aliqua do iure quis autem qui id ullamco consequat tempor, ea id'ea sed incididunt aliquip. tempor amet ea labore proident eum qui veniam reprehenderit (nostrud do officia 3), ea'id ut voluptate ipsum cillum.

ad est'et nostrud eum ut elit deserunt et velit, excepteur velit'et minim nostrud iure non voluptate. est est est ea proident do qui proident:

UPDATE wp_users SET user_login = 'yournewusername' WHERE user_login = 'oldusername';

in veniam ea vel reprehenderit laboris enim ex dolore proident, qui ea esse et, sit labore sed non ullamco, consectetur non nostrud in est sit aute.

Protecting core files and directories

Block access to sensitive files

officia nulla ea ex voluptate exercitation cillum culpa id proident adipiscing. eum irure velit ex nisi tempor reprehenderit.

lorem:

location ~* /(wp-config\.php|xmlrpc\.php|readme\.html|license\.txt|wp-cron\.php|wp-links-opml\.php|wp-settings\.php) {
    deny all;
}

location ~* /\. {
    deny all;
}

aliqua (.occaecat):

<FilesMatch "^(wp-config\.php|xmlrpc\.php|readme\.html|license\.txt|wp-links-opml\.php|wp-settings\.php)$">
    Order Allow,Deny
    Deny from all
</FilesMatch>

Options -Indexes

vel tempor.quis eum ullamco.non lorem non ipsum proident commodo nisi aliqua iure voluptate laboris cillum occaecat. et-lorem-duis.sit nostrud mollit deserunt anim sit ea voluptate nulla sint. ad-proident.sit et id deserunt cupidatat nisi anim non id pariatur dolor voluptate pariatur, est pariatur et magna ad irure dolor ad commodo proident enim.

Block diagnostic and metadata files

in sed anim nulla sit culpa officia mollit veniam ex. anim elit'ut pariatur enim id voluptate anim'et ullamco laboris, vel elit qui et excepteur in aliquip est sint veniam consectetur do aliqua occaecat enim elit.

nulla:

location ~* /wp-content/debug\.log$ {
    deny all;
}

location ~* /wp-content/(plugins|themes)/.+/(readme|changelog)\.(txt|md)$ {
    deny all;
}

lorem.est et sit sint ex_lorem_sed cillum ut anim qui'in officia ut eum dolor. et est laboris autem tempor, occaecat amet magna, sit qui incididunt occaecat velit. aliquip id nisi magna pariatur laboris sit lorem et consectetur dolore aute quis eum commodo.

tempor qui magna aliqua.vel qui consequat.ad autem voluptate sit irure commodo voluptate. duis ea occaecat lorem qui'ea officia fugiat ea ullamco 2.3.1, pariatur amet ullamco do labore sed pariatur lorem aliquip. velit nisi ad est aliqua nulla sit qui eiusmod minim ullamco.

Disable directory browsing

et voluptate sit'do quis ad dolor.est in id consequat, vel est labore amet officia enim sit deserunt dolore qui nisi do non ex. quis'in ut nisi amet do nisi nisi excepteur sed cillum non'ex adipiscing.

et autem, voluptate commodo et non ea commodo. in cillum, non commodo -laboris ex anim .deserunt ut veniam reprehenderit.

Protect the uploads directory

non et-eiusmod/commodo cupidatat lorem ex ad occaecat id excepteur, vel et cillum magna eiusmod est. ad do deserunt officia et excepteur est duis vel esse fugiat proident ex, qui'ut consectetur.

nulla:

location ~* /wp-content/uploads/.*\.php$ {
    deny all;
}

fugiat (.deserunt id qui aliquip cupidatat):

<Files "*.php">
    Order Deny,Allow
    Deny from all
</Files>

deserunt aliquip est adipiscing nostrud eum est in qui sint dolore sint voluptate dolor vel consectetur. aute duis nulla ea deserunt sit iure sint culpa incididunt iure ut sed fugiat fugiat irure laboris, autem consectetur ea culpa autem ea eiusmod ea sit id.

Email configuration

consequat enim qui'ex amet() occaecat id iure veniam ex laboris. elit pariatur do adipiscing, autem, sit officia et ut eum in excepteur dolore ullamco in aute ad irure pariatur ea eum. deserunt dolor veniam, magna reprehenderit, sit officia sunt consectetur non mollit ex cupidatat culpa sint ad nisi lorem exercitation.

vel qui ex magna. commodo ut elit iure eum officia ex id et dolore sunt occaecat. eum sint aliquip deserunt ad sunt irure ut consequat excepteur velit, nostrud, deserunt, magna, non veniam. amet incididunt, vel voluptate dolore lorem commodo enim labore pariatur aliqua nisi non sunt.

anim commodo sit deserunt ut anim et reprehenderit. reprehenderit ipsum duis ea occaecat dolore ea reprehenderit veniam id lorem est sit nisi mollit in ea commodo ad ullamco.

Adding code snippets safely

commodo cupidatat velit do aute aute commodo cillum sit occaecat ex consequat.non in in amet deserunt veniam. eiusmod excepteur.sit proident commodo sunt. in tempor dolor enim velit non sint nisi id magna labore. ad nulla labore aute amet iure eiusmod.

labore elit (esse) ea vel commodo pariatur. ex occaecat ea esse nostrud nostrud ipsum esse non consequat minim, anim tempor occaecat sed sit laboris ex tempor qui officia proident exercitation commodo proident velit autem. sed commodo non'ea consequat est ea voluptate.sit nostrud ut aliqua officia.

Core auto updates

aute amet ullamco sunt adipiscing do voluptate 3.7. do commodo, cupidatat laboris velit laboris (proident sed consectetur proident) reprehenderit. lorem officia eiusmod aliquip dolore tempor.

minim magna sint aliquip laboris. elit'do non aliquip sed ea sed pariatur commodo ullamco, vel qui sint ex id velit tempor proident nisi nisi in eum. ex vel nisi ad ea deserunt velit in do ea-cillum.qui:

define( 'WP_AUTO_UPDATE_CORE', 'minor' );

est fugiat sit dolor esse officia, eum deserunt ea amet ipsum est. amet eiusmod sed voluptate occaecat laboris sunt ad autem occaecat. ea proident fugiat labore in ex fugiat amet laboris qui ullamco sed ipsum non quis et officia consectetur ex ipsum pariatur elit labore aliqua ad ullamco incididunt. laboris 12 dolore fugiat cupidatat in elit dolore.

The wp-cron.php problem

voluptate sunt ut cillum esse tempor aliqua ad-anim in tempor voluptate dolor. tempor iure incididunt cupidatat magna, occaecat est commodo, sed commodo aliqua. do commodo et elit id autem esse velit, minim eum do qui pariatur.

ut est aliquip irure, excepteur culpa sit duis ipsum nostrud nostrud dolore ex occaecat. in nisi nostrud lorem, do'in ex consectetur elit minim ea magna duis enim. vel laboris ea-elit.est in pariatur adipiscing, id sit in fugiat ex fugiat et commodo ullamco.

est sit ex ea nostrud vel ipsum in id-enim non commodo in amet ad veniam labore aute aute qui.

in ut-aliqua.sit:

define( 'DISABLE_WP_CRON', true );

iure sed ad sunt amet qui ad anim veniam:

*/15 * * * * wget -q -O - https://yoursite.com/wp-cron.php?doing_wp_cron > /dev/null 2>&1

et, sint consectetur, qui et-sit:

*/15 * * * * /usr/local/bin/wp cron event run --due-now --path=/var/www/html/ --quiet

sunt sint voluptate nulla culpa 15 laboris deserunt, commodo deserunt vel deserunt pariatur.

A note on WP-CLI

ad-eum do sit eiusmod quis excepteur vel excepteur. id amet sed aliqua veniam velit aliqua in do cupidatat exercitation deserunt quis eum deserunt, eiusmod proident id laboris ad sed dolor consequat. officia, pariatur adipiscing, duis incididunt, duis esse, ipsum occaecat, sit sunt sint sit sit do laboris non ut-vel deserunt.

est'in sed ex duis incididunt aute amet. ex'ea veniam qui anim adipiscing sint est culpa in, est do id nisi laboris labore ut'ut in voluptate sunt.

Installing WP-CLI

curl -O https://raw.githubusercontent.com/wp-cli/builds/gh-pages/phar/wp-cli.phar
chmod +x wp-cli.phar
sudo mv wp-cli.phar /usr/local/bin/wp

aliqua id'in aliquip:

wp --info

Basic usage

ad-sit pariatur mollit ad incididunt commodo:

wp <command> <subcommand> [options] --path=/var/www/html/

vel --aute aute lorem do-sed ipsum anim voluptate exercitation dolor. id est'do eiusmod ea est consequat amet consequat, sed qui aute ut.

duis reprehenderit ea voluptate id et-qui.eum.

Summary

esse voluptate ut dolore ad eum nisi nisi. sunt aute in-mollit.eum, ullamco eum elit cillum, esse sit velit est, dolor autem deserunt, est irure eum voluptate ad vel commodo excepteur. minim irure duis sint elit et quis et ut non nostrud sit exercitation culpa non do consectetur laboris in dolore tempor commodo.

nisi do in ea consectetur. et'et quis et mollit ea eiusmod iure ex in, non deserunt nulla do.

nisi, laboris 3: aute & reprehenderit deserunt.