3 шага для защиты блога на Wordpress

Тема в разделе "Wordpress", создана пользователем azs, 26 апр 2008.

Статус темы:
Закрыта.
Модераторы: Sorcus
  1. azs

    azs

    Регистр.:
    24 дек 2007
    Сообщения:
    153
    Симпатии:
    142
    Использование любого публичного движка для сайт имеет свои как плюсы так и минусы. Плюсы заключаются в том, что под движок появляется много документации, плагинов, бесплатных тем. А минус один, в том, что при обнаружении уязвимости в движке, под угрозой взлома оказываются сразу десятки тысяч сайтов. Wordpress не является исключением. Не так давно блог Alexf пал жертвой кулхацкера, что бы не повторять его путь выполнить ряд шагов по защите своих ресурсов:
    Защитим директорию /wp-admin/. Если у вас статический IP, либо выдается с ограниченного пула то пропишем его в .htaccess и созданный файл положим в защищаемую директорию.

    AuthUserFile /dev/null
    AuthGroupFile /dev/null
    AuthName “Access Control”
    AuthType Basic
    <LIMIT GET>
    order deny,allow
    deny from all
    # белый список IP для доступа
    allow from 69.147.114.210
    allow from 199.239.136.200
    # белый список подсети IP
    allow from 199.239.136
    </LIMIT>
    Если вы много путешествуете и при этом не пользуетесь VPN соединением (что я советую делать), то ограничение доступа по IP вам не подойдет,в этом случае воспользуемся стандартной защитой по паролю средствами Web-сервера: Для начала нам надо создать файл .htpasswd, в котором будет хранится логин и пароль это можно сделать если у вас есть доступ к шелу хостига, из папки которую хотите защитить введя команду :

    htpasswd -mbc .htpasswd jones Pwd4Steve

    Что создаст файл .htpasswd с логином jones и паролем Pwd4Steve (пароль будет хранится в зашифрованном по алгоритму MD5 виде) либо можно воспользоватся тулзой для генерации .htpasswd, например вот этой, введя там желаемый логин и пасс выполучите строку для вставки в ваш .htpasswd.
    Создаете в текстовом редакторе .htpasswd, помещаете туда полученную строку и заливаете файл в защищаемую папку. Далее, в ту же папку положим файл .htaccess со следующим содержанием:

    AuthUserFile /full/path/to/.htpasswd
    AuthType Basic
    AuthName “Access Control”
    Require valid-user

    Теперь при обращении к этой папке будет запрашиваться дополнительный логин и пароль.
    Найдите в папке вашей темы вордпресса файл header.php и найдите там строчку:

    <meta name=”generator” content=”WordPress <?php bloginfo(’version’); ?>” /> <!– leave this for stats please –>

    Удалите ее, потенциальным взломщикам совсем не обязательно сообщать какую версию скрипта вы используете в данный момент.
    Автор-kass
     
    unix4k, win32, ecco и ещё 1-му нравится это.
  2. AdeQuAte

    AdeQuAte

    Регистр.:
    23 мар 2007
    Сообщения:
    353
    Симпатии:
    45
    AuthUserFile /dev/null
    AuthGroupFile /dev/null
    А это что даёт?
     
  3. sw04

    sw04 seoplayer

    Регистр.:
    1 дек 2007
    Сообщения:
    601
    Симпатии:
    193
  4. lerea

    lerea Создатель

    Регистр.:
    10 янв 2007
    Сообщения:
    22
    Симпатии:
    0
    Помогут еще два плагина replace-wp-version и wp-security-scan.
     
  5. nautilus

    nautilus Постоялец

    Регистр.:
    4 ноя 2007
    Сообщения:
    83
    Симпатии:
    25
    еще в папку плагинов и тем (wp-content\themes\ + wp-content\plugins\) закиньте пустой index.php , дабы не давать любознательным информацию о ваших используемых плагинах и темах
     
    ecco и bravilor нравится это.
  6. tdimons

    tdimons Создатель

    Регистр.:
    27 янв 2008
    Сообщения:
    14
    Симпатии:
    0
    А если защищать /wp-admin/ через .htpasswd то два раза пароль вводить? Так что ли?
     
  7. Poster

    Poster дизайнер

    Регистр.:
    13 сен 2006
    Сообщения:
    100
    Симпатии:
    31
    еще хороший WP Login Lockdown - блокирует попытки подбора пароля. и хорошо в базе изменить логин админа на другой
     
  8. tdimons

    tdimons Создатель

    Регистр.:
    27 янв 2008
    Сообщения:
    14
    Симпатии:
    0
    ну тогда и фид править нужно. А то загрузил страницу - site/feed/ - и узнал все что хотел.:)
     
  9. quick

    quick Постоялец

    Регистр.:
    24 май 2008
    Сообщения:
    56
    Симпатии:
    24
    У кого-нить сработал описанный метод защиты со статическим IP? У меня просто возвращает 404, пробовал как свой IP вписывать, так и подсеть.
     
  10. stalxed

    stalxed Постоялец

    Регистр.:
    29 мар 2007
    Сообщения:
    61
    Симпатии:
    8
    хм а в чём понт ломать блог?!
    у меня например имеется бекапы каждую неделю на WP блог, да и если что я восстановлю всё за пару минут...
    2 quick
    выложи весь .htaccess файл
     
Статус темы:
Закрыта.