Информация 3 шага для защиты блога на Wordpress

Статус
В этой теме нельзя размещать новые ответы.

azs

Постоялец
Регистрация
24 Дек 2007
Сообщения
149
Реакции
147
Использование любого публичного движка для сайт имеет свои как плюсы так и минусы. Плюсы заключаются в том, что под движок появляется много документации, плагинов, бесплатных тем. А минус один, в том, что при обнаружении уязвимости в движке, под угрозой взлома оказываются сразу десятки тысяч сайтов. Wordpress не является исключением. Не так давно блог Alexf пал жертвой кулхацкера, что бы не повторять его путь выполнить ряд шагов по защите своих ресурсов:
Защитим директорию /wp-admin/. Если у вас статический IP, либо выдается с ограниченного пула то пропишем его в .htaccess и созданный файл положим в защищаемую директорию.

AuthUserFile /dev/null
AuthGroupFile /dev/null
AuthName “Access Control”
AuthType Basic
<LIMIT GET>
order deny,allow
deny from all
# белый список IP для доступа
allow from 69.147.114.210
allow from 199.239.136.200
# белый список подсети IP
allow from 199.239.136
</LIMIT>
Если вы много путешествуете и при этом не пользуетесь VPN соединением (что я советую делать), то ограничение доступа по IP вам не подойдет,в этом случае воспользуемся стандартной защитой по паролю средствами Web-сервера: Для начала нам надо создать файл .htpasswd, в котором будет хранится логин и пароль это можно сделать если у вас есть доступ к шелу хостига, из папки которую хотите защитить введя команду :

htpasswd -mbc .htpasswd jones Pwd4Steve

Что создаст файл .htpasswd с логином jones и паролем Pwd4Steve (пароль будет хранится в зашифрованном по алгоритму MD5 виде) либо можно воспользоватся тулзой для генерации .htpasswd, например вот этой, введя там желаемый логин и пасс выполучите строку для вставки в ваш .htpasswd.
Создаете в текстовом редакторе .htpasswd, помещаете туда полученную строку и заливаете файл в защищаемую папку. Далее, в ту же папку положим файл .htaccess со следующим содержанием:

AuthUserFile /full/path/to/.htpasswd
AuthType Basic
AuthName “Access Control”
Require valid-user

Теперь при обращении к этой папке будет запрашиваться дополнительный логин и пароль.
Найдите в папке вашей темы вордпресса файл header.php и найдите там строчку:

<meta name=”generator” content=”WordPress <?php bloginfo(’version’); ?>” /> <!– leave this for stats please –>

Удалите ее, потенциальным взломщикам совсем не обязательно сообщать какую версию скрипта вы используете в данный момент.
Автор-kass
 

Dan76

Создатель
Регистрация
15 Фев 2008
Сообщения
25
Реакции
1
хм а в чём понт ломать блог?!
у меня например имеется бекапы каждую неделю на WP блог, да и если что я восстановлю всё за пару минут...
2 quick
выложи весь .htaccess файл

ну вот ты делаеш бекапы каждую неделю, а есть люди которые забили на свои блоги уже давно и версия WP старая там с известными всем дырами... вот на такие блоги и охотятся. лично у себя на доменах с большим PR частенько вижу запросы поисковые site:Для просмотра ссылки Войди или Зарегистрируйся wp-login
 

vlmailis

Писатель
Регистрация
25 Июл 2008
Сообщения
1
Реакции
2
еще в папку плагинов и тем (wp-content\themes\ + wp-content\plugins\) закиньте пустой index.php , дабы не давать любознательным информацию о ваших используемых плагинах и темах
Более стандартный способ создать .htaccess со строчкой
Options -Indexes
 

simpbl4

Писатель
Регистрация
28 Июл 2008
Сообщения
4
Реакции
0
а если мне хост не предоставил доступ?..
 

igrok54

Постоялец
Регистрация
22 Ноя 2006
Сообщения
87
Реакции
17
Мне в плане защиты блога нравится плагин Для просмотра ссылки Войди или Зарегистрируйся - он следит за изменениями хеша php-файлов и выдает сообщения одмину, если какой-либо из файлов был изменен.
 

akak

Писатель
Регистрация
25 Июн 2008
Сообщения
5
Реакции
1
О безопасности ВП я писал Для просмотра ссылки Войди или Зарегистрируйся, в ней сделан обзор всех возможных способов защиты.
 

Limmer

Профессор
Регистрация
3 Июн 2008
Сообщения
202
Реакции
45
от себя напишу парочку плагинов для улучшения безопасности, о которых тут не упомянули:
1. anti-xss-attack - соотвественно делает XSS атаки невозможными, либо сводит их к минимуму
2. wp-security-scan - сканирует систему на наличие уязвимостей в безопасности и говорит, что исправить
3. iodized_salt - йодированная соль

плагины можно найти на Для просмотра ссылки Войди или Зарегистрируйся
Для просмотра ссылки Войди или Зарегистрируйся
 

alexf2000

Писатель
Регистрация
24 Апр 2008
Сообщения
6
Реакции
0
Как пострадавший могу в довесок к хтаксесс ещё посоветовать сменить префикс у таблиц. Потому что кулхакерские наборы как правило заточены на стандартный префикс.
 

Fast3r

Профессор
Регистрация
30 Июн 2008
Сообщения
326
Реакции
40
какие права необходимо выставлять пользователю БД? всмысле может какието галки не ставить для повышения безопасности?
PHP:
SELECT  	                        CREATE
INSERT 	                            ALTER
UPDATE 	                            DROP
DELETE 	                            LOCK TABLES
INDEX 	                            REFERENCES
CREATE TEMPORARY TABLES           CREATE ROUTINE
 
Статус
В этой теме нельзя размещать новые ответы.
Сверху