Wordpress безопасность

Вовремя обновляться (сервер тоже). Не ставить 100500 плагинов к WP. Логиниться только по https. Для основной массы этого будет более чем достаточно.

Wordpress
безопасность

несовместимо.

Если хочешь поумничать, закрой доступ в админку через apache basic authorization. Но на самом деле ничего делать не надо. Во первых вордпресс сам по себе, без чужих плагинов и шаблонов, достаточно безопасен. А во вторых, даже если твой вордпресс сломают, от этого совершенно ничего не изменится. Переустановишь заново и всего делов.

Придётся повозиться.

В chroot или подготовленную виртуальную машину все установить, поднять файрвол (iptables).

Следить за коннектами.

Аудит кода.

У себя ведешь разработку, заталкиваешь гитом на сервер.

Понятно, спасибо за помощь.

В принципе достаточно обновлять сам WP и не ставить дырявые плагины (а те которые ставить — так-же обновлять). Ну и логин-пароль админа не admin:admin. И защита от подбора пароля (например плагин Limit Login Attempts).
Для подстраховки можно например периодически проверять целостность файлов (сверять контрольные суммы). У меня на этот счёт скриптик написан который о любых изменениях в файлах отправляет мне письмо.

рекоммендую изменить улр для логина в админку.

Чтобы не заморачиваться, рекомендую глянуть сюда - http://themeforest.net/make_money/become_an_author

Даже если не будешь продавать через них, сможешь просто нацепить тему и показывать своим клиентам. И никакой возни с серверами, безопасностью, etc.

Сделал шаблон до вордпресс. Теперь собираюсь его выставить на продажу. В безопасности не разбираясь абсолютно.

inb4 неэкранированные данные.

WP ломают часто, там где приходится иметь с ним дело, я юзаю вот этот плагин https://wordpress.org/plugins/better-wp-security/

Как раз таки на тимфоресте собираюсь продавать, там ведь нужно самому размещать на хостинге движок с шаблонов, а потом при отправке заявки на продажу указывать ссылку на демо шаблон. Или я что-то не так понял?