• DONATE to NULLED!
    Вы можете помочь Форуму и команде, поддержать финансово.
    starwanderer - модератор этого раздела будет Вам благодарен!

Информация 10 шагов для защиты блога на WP

Статус
В этой теме нельзя размещать новые ответы.

azs

Постоялец
Регистрация
24 Дек 2007
Сообщения
149
Реакции
147
1. Никто не должен рыскать по Вашему серверу
Не используйте следующий код в файле search.php:
<?php echo $_SERVER ['PHP_SELF']; ?>

Вместо него используйте:
<?php bloginfo ('home'); ?>
Закройте от индексации поисковыми системами все папки, начинающиеся с WP- с помощью правила:
Disallow: /wp-*

2. Директории должны быть закрыты от просмотра

Благодаря открытым директориям, злоумышленники могут без проблем разведать, какие плагины Вы используете и какие их версии. Это поможет им написать вредоносный код для возможно уязвимого плагина.

Чтобы этого избежать, создайте пустой index.html файл, и разместите его тут:

wp-content/plugins/index.html

Или же просто добавьте следующую строку в файл .htaccess в корне сайта:

Options All –Indexes

3. Удалите строку, показывающую, какая версия WordPress у Вас установлена

Информации о версии WordPress злоумышленнику достаточно, чтобы совершить удачный взлом Вашего блога. Чтобы этого не случилось, удалите следующую строку из шаблона темы оформления:

<meta name=”generator” content=”WordPress <?php bloginfo(’version’); ?>” /> <!-– leave this for stats please -->

4. Защитите директорию wp-admin

Злоумышленники могут использовать брутфорс-атаки, суть которых заключается в подборе администраторских логина и пароля. Существует несколько решений данной проблемы:
Ограничьте доступ к директории wp-admin по IP. В файле .htaccess прописываются IP, с которых доступ к этой директории открыт, все же остальные игнорируются.
Использование плагина AskApache Password Protect. Данный плагин устанавливает второй эшелон защиты директории wp-admin, запрашивая логин и пароль, установленные Вами, при каждой попытке получить доступ к wp-admin.
Использование плагина Login Lockdown. Фиксирует все IP, пытающиеся получить доступ к директории wp-admin. IP, совершающие ряд неудачных попыток авторизации, автоматически распознаются как брутфорс-атаки и блокируются.

5. Всегда устанавливайте обновления

В обязательном порядке устанавливайте обновления тем оформления, плагинов и виджетов сразу же после их выхода.

6. Делайте регулярные бекапы базы данных и файлов своего блога

Старайтесь ежедневно делать полные бекапы своих блогов. Для бекапа баз данных посоветую плагин - WordPress Database Backup – отличный многофункциональный и удобный плагин.

7. Обновляйте сам движок WordPress по мере выпуска новых версий

Это самое первое, что Вы должны делать, когда выходит новая версия движка. Для упрощения сего процесса порекомендую следующие плагины: Instant Upgrade и Wordpress Automatic Upgrade.

8. Используйте SSH/Shell доступ вместо FTP

Это один из наиболее толковых советов. Если злоумышленник получит данные из Вашего FTP-клиента, находящиеся в незашифрованном виде, то он получит полное управление над всеми файлами на Вашем сервере. Сами понимаете, к каким последствиям это способно привести…

9. Перестаньте беспокоиться о безопасности файла wp-config.php

Обезопасьте логин и пароль от базы данных путем добавления следующей строки в свой корневой файл .htaccess:

<FilesMatch ^wp-config.php$>deny from all</FilesMatch>

10. Защитите свой блог с помощью поистине сложного пароля

Сгенерируйте сложный пароль для доступа к администраторской зоне Вашего блога. Пароль должен содержать как большие, так и маленькие буквы, цифры…

Автор: Noupe
Перевод: Всеволод Козлов
 
2. Не вижу смысла заливать в каждую папку файл index.* если можно все сделать один раз используя указанное правило .htaccess
3. Не спасёт :) выдерут из rss, поэтому используют плагин replace-wp-version

Вообще Всеволод Козлов известен мне как переводчик популярных англоязычных блогеров а не как специалист wordpress. Лучше пообщаться на тему безопасности на специализированных форумах движка :)

ps: пора на нулледе собирать фак по wordpress а то одно и тоже обсасывается по десять раз :(
 
Непойму причем тут первый пункт.. что такого в $_SERVER ['PHP_SELF'], кто подскажет??
А насчет седьмого пункта, можно обновлять не весь движок а только файлы безопасности, всега на офф сайте пишут про кие стоит обновить файлы чтобы убрать дыры в прошлых версиях
 
2. Не вижу смысла заливать в каждую папку файл index.* если можно все сделать один раз используя указанное правило .htaccess

Читайте внимательно, написано ИЛИ
Вообще Всеволод Козлов известен мне как переводчик популярных англоязычных блогеров а не как специалист wordpress.
Читайте внимательно автор и специалист wordpress не Козлов, а Noupe
Лучше пообщаться на тему безопасности на специализированных форумах движка :)

Чем вам этот форум не нравится? Я других не признаю.
ps: пора на нулледе собирать фак по wordpress а то одно и тоже обсасывается по десять раз :(

Вот и возьмитесь, хотя бы на тему безопасности, как я понимаю ваше первое предложение заменить п.3.
3. Не спасёт :) выдерут из rss, поэтому используют плагин replace-wp-version
Если плаг будет поддерживать новые версии WP, то согласен.
Конструктивные предложения на тему безопасности приветствуются!
 
  • Заблокирован
  • #5
9. Перестаньте беспокоиться о безопасности файла wp-config.php

Обезопасьте логин и пароль от базы данных путем добавления следующей строки в свой корневой файл .htaccess:

<FilesMatch ^wp-config.php$>deny from all</FilesMatch>

предпочитаю просто удалить этот файл (Глупость. Не делайте так :) )
 
Если плаг будет поддерживать новые версии WP, то согласен.
До версии 2.5 меняет версию, после вообще удаляет эти данные. По остальному каюсь :)
предпочитаю просто удалить этот файл
И как работает блог, нормально, не ругается на отсутствие конфигурационного файла, не предлагает его создать ?
 
ээ.. да, он не будет вообще то без него работать, он всегда с него считывает настройки подключения к БД
 
  • Заблокирован
  • #8
И как работает блог, нормально, не ругается на отсутствие конфигурационного файла, не предлагает его создать ?

ээ.. да, он не будет вообще то без него работать, он всегда с него считывает настройки подключения к БД

Перепутал wp-config и wp-install. Стыдно :(
 
Опять перепутал, на самом деле речь идет о удалении файла install.php ,который в дирректории wp-admin (п.11)
Если даже этот файл остался, чем он опасен? Если в других движках можно заного его установить, то здесь, на сколько я знаю, это не прокатит.
 
Статус
В этой теме нельзя размещать новые ответы.
Назад
Сверху