Информация 3 шага для защиты блога на Wordpress

Статус
В этой теме нельзя размещать новые ответы.

azs

Постоялец
Регистрация
24 Дек 2007
Сообщения
149
Реакции
147
Использование любого публичного движка для сайт имеет свои как плюсы так и минусы. Плюсы заключаются в том, что под движок появляется много документации, плагинов, бесплатных тем. А минус один, в том, что при обнаружении уязвимости в движке, под угрозой взлома оказываются сразу десятки тысяч сайтов. Wordpress не является исключением. Не так давно блог Alexf пал жертвой кулхацкера, что бы не повторять его путь выполнить ряд шагов по защите своих ресурсов:
Защитим директорию /wp-admin/. Если у вас статический IP, либо выдается с ограниченного пула то пропишем его в .htaccess и созданный файл положим в защищаемую директорию.

AuthUserFile /dev/null
AuthGroupFile /dev/null
AuthName “Access Control”
AuthType Basic
<LIMIT GET>
order deny,allow
deny from all
# белый список IP для доступа
allow from 69.147.114.210
allow from 199.239.136.200
# белый список подсети IP
allow from 199.239.136
</LIMIT>
Если вы много путешествуете и при этом не пользуетесь VPN соединением (что я советую делать), то ограничение доступа по IP вам не подойдет,в этом случае воспользуемся стандартной защитой по паролю средствами Web-сервера: Для начала нам надо создать файл .htpasswd, в котором будет хранится логин и пароль это можно сделать если у вас есть доступ к шелу хостига, из папки которую хотите защитить введя команду :

htpasswd -mbc .htpasswd jones Pwd4Steve

Что создаст файл .htpasswd с логином jones и паролем Pwd4Steve (пароль будет хранится в зашифрованном по алгоритму MD5 виде) либо можно воспользоватся тулзой для генерации .htpasswd, например вот этой, введя там желаемый логин и пасс выполучите строку для вставки в ваш .htpasswd.
Создаете в текстовом редакторе .htpasswd, помещаете туда полученную строку и заливаете файл в защищаемую папку. Далее, в ту же папку положим файл .htaccess со следующим содержанием:

AuthUserFile /full/path/to/.htpasswd
AuthType Basic
AuthName “Access Control”
Require valid-user

Теперь при обращении к этой папке будет запрашиваться дополнительный логин и пароль.
Найдите в папке вашей темы вордпресса файл header.php и найдите там строчку:

<meta name=”generator” content=”WordPress <?php bloginfo(’version’); ?>” /> <!– leave this for stats please –>

Удалите ее, потенциальным взломщикам совсем не обязательно сообщать какую версию скрипта вы используете в данный момент.
Автор-kass
 

azs

Постоялец
Регистрация
24 Дек 2007
Сообщения
149
Реакции
147
хм а в чём понт ломать блог?!
у меня например имеется бекапы каждую неделю на WP блог, да и если что я восстановлю всё за пару минут...
2 quick
выложи весь .htaccess файл

Странный вопрос, если ломают значит понт есть. Например вирус подгружать твоим посетителям или ссылочной массы добавить для доров, а это сложно заметить, а тем более восстановление не поможет выйти из бана ПС.
 

beresovskiy

Создатель
Регистрация
11 Май 2007
Сообщения
11
Реакции
0
А если защищать /wp-admin/ через .htpasswd то два раза пароль вводить? Так что ли?

Нет.

htpasswd -mbc .htpasswd jones Pwd4Steve

в линуксе первое слово - имя команды. htpasswd принимает параметры(предваряются "-") m,b,c. Далее результат будет сохранен в файл .htpasswd, куда будет записан юзер jones и его хеш пароля Pwd4Steve.

Если в линухе не сильны, устанавливаем Apachе (Денвер не содержит его) или КАЧАЕМ ВЛОЖЕНИЕ.
 

Вложения

  • htpasswd.rar
    30,7 KB · Просмотры: 3

Truper

Постоялец
Регистрация
20 Ноя 2006
Сообщения
208
Реакции
111
Ещё один простой, но дельный совет:
Измените логин админа на свой + в отображении поставьте "admin"
Тогда народ будет пытаться сломать логин "admin", а его там просто не будет ;)
 

quick

Постоялец
Регистрация
24 Май 2008
Сообщения
55
Реакции
24
2stalxed
Все что в инструкции, больше ничего. .htaccess положил в /wp-admin. Свой IP специально перепроверил
Код:
AuthUserFile /dev/null
AuthGroupFile /dev/null
AuthName “Access Control”
AuthType Basic
<LIMIT GET>
order deny,allow
deny from all
allow from xx.xx.xx.xx
</LIMIT>
 

unknown

Постоялец
Регистрация
21 Авг 2006
Сообщения
106
Реакции
39
В Cpanel есть чтото вроде запаролить директорию (или защитить) так вот там просто указываешь папку, пароль, название и всё) папка запаролена
 

plandem

Писатель
Регистрация
31 Май 2008
Сообщения
4
Реакции
0
ask apache

для этих дел использую вот такой плагин:
Для просмотра ссылки Войди или Зарегистрируйся

делает все тоже самое, но только ручками делать ничего не надо.
 

jhvastikov

Постоялец
Регистрация
5 Дек 2006
Сообщения
86
Реакции
11
а что если поменять стандартную категорию админки на какую нить другую, типо как в DLE.
такое реально сделать не переписывая весь двиг ?
 

pika

Писатель
Регистрация
30 Янв 2008
Сообщения
6
Реакции
0
а для lighttpd как сделать?
 

dee_motard

Гуру форума
Регистрация
26 Июл 2008
Сообщения
247
Реакции
76

не вижу особого мысла ставить этот плагин, бо кулхацкеры тупо скриптами перебирают известные дыры, на автомате. А скриптам отображаемая на страничке версия пофиг..
 
Статус
В этой теме нельзя размещать новые ответы.
Сверху