Уязвимости word press

Тема в разделе "Wordpress", создана пользователем tevis2, 4 янв 2009.

Статус темы:
Закрыта.
Модераторы: Sorcus
  1. tevis2

    tevis2 Писатель

    Регистр.:
    28 ноя 2008
    Сообщения:
    8
    Симпатии:
    1
    Много слышал отзывов о большой уязвимости этой системы, есть кто нибудь чей блог взламывали.На что лучше обратить внимание при защите своего блога и может есть какие нибудь плагины для дополнительной защиты кроме обновлений.
     
  2. Tias

    Tias

    Регистр.:
    26 дек 2007
    Сообщения:
    438
    Симпатии:
    147
    неделю назад один из моих блогов на вордпрессе взломали, база полностью полетела, версия вп была что-то вроде 2.3, не помню уже точно. Специфических плагинов никаких небыло, дыра похоже была именно в движке. Поэтому плагинов для защиты никаких нет и быть не может, нужно вовремя обновляться.

    В сети пробегала статья, о более грамотной защите блога на вп от взлома. Суть её в том, что нужно убрать копирайты версии вп из мета тегов, обновлять двиг, ставить меньше плагинов и тп. Ссылки нет, поищи - найдёшь.
     
  3. ADBOKATYPA

    ADBOKATYPA Постоялец

    Регистр.:
    23 апр 2007
    Сообщения:
    134
    Симпатии:
    33
    Я так себя защищаю:

    Обновлять версию для устраннения багов и дыр, ставить темы от создателей(хотя и они могу быть не чисты на руку:) - распространители могут напихать своих ссылок и вообще неизвестно чего для своих целей, а плагины с офсайтов, читать отзывы.
     
  4. Деймос

    Деймос

    Регистр.:
    29 ноя 2008
    Сообщения:
    228
    Симпатии:
    53
    Просто вовремя обновляйте плагины и версию вордпресса, а на счет метатегов чушь, провереть вордпресс это или нет легко, например site.ru/wp-admin/ ну и другие подобные вещи, ну а в целом можете убрать метатеги - владельцам модемов на 20 байт меньше придется грузить :D
     
  5. joefast

    joefast

    Заблокирован
    Регистр.:
    6 ноя 2007
    Сообщения:
    464
    Симпатии:
    74
    Цель была скрыть не тот факт, что движок - вп, а что за версия вп стоит. И с этой целью метатеги стоит чистить.
     
  6. Деймос

    Деймос

    Регистр.:
    29 ноя 2008
    Сообщения:
    228
    Симпатии:
    53
    Согласен, не до конца понял цель тогда надо не забыть убрать метатег из site.ru/wp-login.php - яб на месте хакера пробивал бы версию именно там.
     
  7. itex

    itex

    Регистр.:
    15 ноя 2007
    Сообщения:
    274
    Симпатии:
    64
    Еще можно ставить плагины, которые проверют целостность файлов, даже если и взломали и если чтото изменилось, то ругаются автору блога. Но щас чето код бекдоров стали в скуль прятать, в wp_options например, от такого хз как защититься после взлома.
     
  8. MBH

    MBH Постоялец

    Регистр.:
    31 янв 2007
    Сообщения:
    50
    Симпатии:
    8
    Не знаю ребят, ну ведь уже сто лет назад на maxsite.org был выложен плагинец Anti-XSS. Работает чудесно, кто-бы что-бы там не пихал, всё перехвативает. +можно поднастроить htaccess вручную. Ну и конечно же проверка файлов MD5. Мало того, можно сделать, чтобы при изменении контрольной суммы, не только стучало автору, но ещё и перезаписывало файл обратно (из какой-нить бэкап-папки). И всё. У меня прожект один на 2.0.11 держится и ничего, хотя ломать пытаются каждый день, даже прикольно наблюдать :p
     
    Смоленский нравится это.
  9. partizannn

    partizannn

    Регистр.:
    15 сен 2008
    Сообщения:
    418
    Симпатии:
    52
    Есть такой плагин Replace WP-Version
    Вот его описалово:
    Replace the WP-version with a random string < WP 2.4 and eliminate WP-version > WP 2.4 От Frank Bueltge.
     
  10. Деймос

    Деймос

    Регистр.:
    29 ноя 2008
    Сообщения:
    228
    Симпатии:
    53
    Плагин Anti-XSS нужен чтобы закрыть XSS уязвимость, а от взлома он не поможет, на счет проверки веса файлов дело тоже не совсем благодарное, очень большая нагрузка проверять все файлы на сайте. Тем более есть файлы меняющие размер, туда не большой кусок кода, а все остальное в мускул.
    А на счет плагина Replace WP-Version - это просто издевательство над хакером, а не защита, наверное кто будет ломать, отследит что установлен этот плагин, т.е. проверит site.ru/wp-content/plugin/ReplaceWPVersion.php
     
Статус темы:
Закрыта.