[Тулза] 10 шагов для защиты блога на WP

Тема в разделе "Wordpress", создана пользователем azs, 11 янв 2009.

Статус темы:
Закрыта.
Модераторы: Sorcus
  1. azs

    azs

    Регистр.:
    24 дек 2007
    Сообщения:
    153
    Симпатии:
    142
    1. Никто не должен рыскать по Вашему серверу
    Не используйте следующий код в файле search.php:
    <?php echo $_SERVER ['PHP_SELF']; ?>

    Вместо него используйте:
    <?php bloginfo ('home'); ?>
    Закройте от индексации поисковыми системами все папки, начинающиеся с WP- с помощью правила:
    Disallow: /wp-*

    2. Директории должны быть закрыты от просмотра

    Благодаря открытым директориям, злоумышленники могут без проблем разведать, какие плагины Вы используете и какие их версии. Это поможет им написать вредоносный код для возможно уязвимого плагина.

    Чтобы этого избежать, создайте пустой index.html файл, и разместите его тут:

    wp-content/plugins/index.html

    Или же просто добавьте следующую строку в файл .htaccess в корне сайта:

    Options All –Indexes

    3. Удалите строку, показывающую, какая версия WordPress у Вас установлена

    Информации о версии WordPress злоумышленнику достаточно, чтобы совершить удачный взлом Вашего блога. Чтобы этого не случилось, удалите следующую строку из шаблона темы оформления:

    <meta name=”generator” content=”WordPress <?php bloginfo(’version’); ?>” /> <!-– leave this for stats please -->

    4. Защитите директорию wp-admin

    Злоумышленники могут использовать брутфорс-атаки, суть которых заключается в подборе администраторских логина и пароля. Существует несколько решений данной проблемы:
    Ограничьте доступ к директории wp-admin по IP. В файле .htaccess прописываются IP, с которых доступ к этой директории открыт, все же остальные игнорируются.
    Использование плагина AskApache Password Protect. Данный плагин устанавливает второй эшелон защиты директории wp-admin, запрашивая логин и пароль, установленные Вами, при каждой попытке получить доступ к wp-admin.
    Использование плагина Login Lockdown. Фиксирует все IP, пытающиеся получить доступ к директории wp-admin. IP, совершающие ряд неудачных попыток авторизации, автоматически распознаются как брутфорс-атаки и блокируются.

    5. Всегда устанавливайте обновления

    В обязательном порядке устанавливайте обновления тем оформления, плагинов и виджетов сразу же после их выхода.

    6. Делайте регулярные бекапы базы данных и файлов своего блога

    Старайтесь ежедневно делать полные бекапы своих блогов. Для бекапа баз данных посоветую плагин - WordPress Database Backup – отличный многофункциональный и удобный плагин.

    7. Обновляйте сам движок WordPress по мере выпуска новых версий

    Это самое первое, что Вы должны делать, когда выходит новая версия движка. Для упрощения сего процесса порекомендую следующие плагины: Instant Upgrade и Wordpress Automatic Upgrade.

    8. Используйте SSH/Shell доступ вместо FTP

    Это один из наиболее толковых советов. Если злоумышленник получит данные из Вашего FTP-клиента, находящиеся в незашифрованном виде, то он получит полное управление над всеми файлами на Вашем сервере. Сами понимаете, к каким последствиям это способно привести…

    9. Перестаньте беспокоиться о безопасности файла wp-config.php

    Обезопасьте логин и пароль от базы данных путем добавления следующей строки в свой корневой файл .htaccess:

    <FilesMatch ^wp-config.php$>deny from all</FilesMatch>

    10. Защитите свой блог с помощью поистине сложного пароля

    Сгенерируйте сложный пароль для доступа к администраторской зоне Вашего блога. Пароль должен содержать как большие, так и маленькие буквы, цифры…

    Автор: Noupe
    Перевод: Всеволод Козлов
     
    via55 и rOOt-uSEr нравится это.
  2. Смоленский

    Смоленский

    Регистр.:
    2 июл 2008
    Сообщения:
    248
    Симпатии:
    87
    2. Не вижу смысла заливать в каждую папку файл index.* если можно все сделать один раз используя указанное правило .htaccess
    3. Не спасёт :) выдерут из rss, поэтому используют плагин replace-wp-version

    Вообще Всеволод Козлов известен мне как переводчик популярных англоязычных блогеров а не как специалист wordpress. Лучше пообщаться на тему безопасности на специализированных форумах движка :)

    ps: пора на нулледе собирать фак по wordpress а то одно и тоже обсасывается по десять раз :(
     
  3. BFox

    BFox

    Регистр.:
    11 янв 2008
    Сообщения:
    368
    Симпатии:
    65
    Непойму причем тут первый пункт.. что такого в $_SERVER ['PHP_SELF'], кто подскажет??
    А насчет седьмого пункта, можно обновлять не весь движок а только файлы безопасности, всега на офф сайте пишут про кие стоит обновить файлы чтобы убрать дыры в прошлых версиях
     
  4. azs

    azs

    Регистр.:
    24 дек 2007
    Сообщения:
    153
    Симпатии:
    142
    Читайте внимательно, написано ИЛИ
    Читайте внимательно автор и специалист wordpress не Козлов, а Noupe
    Чем вам этот форум не нравится? Я других не признаю.
    Вот и возьмитесь, хотя бы на тему безопасности, как я понимаю ваше первое предложение заменить п.3.
    Если плаг будет поддерживать новые версии WP, то согласен.
    Конструктивные предложения на тему безопасности приветствуются!
     
  5. joefast

    joefast

    Заблокирован
    Регистр.:
    6 ноя 2007
    Сообщения:
    464
    Симпатии:
    74
    предпочитаю просто удалить этот файл (Глупость. Не делайте так :) )
     
  6. Смоленский

    Смоленский

    Регистр.:
    2 июл 2008
    Сообщения:
    248
    Симпатии:
    87
    До версии 2.5 меняет версию, после вообще удаляет эти данные. По остальному каюсь :)
    И как работает блог, нормально, не ругается на отсутствие конфигурационного файла, не предлагает его создать ?
     
  7. BFox

    BFox

    Регистр.:
    11 янв 2008
    Сообщения:
    368
    Симпатии:
    65
    ээ.. да, он не будет вообще то без него работать, он всегда с него считывает настройки подключения к БД
     
  8. joefast

    joefast

    Заблокирован
    Регистр.:
    6 ноя 2007
    Сообщения:
    464
    Симпатии:
    74
    Перепутал wp-config и wp-install. Стыдно :(
     
  9. azs

    azs

    Регистр.:
    24 дек 2007
    Сообщения:
    153
    Симпатии:
    142
    Опять перепутал, на самом деле речь идет о удалении файла install.php ,который в дирректории wp-admin (п.11)
     
  10. Xonres

    Xonres

    Регистр.:
    13 ноя 2006
    Сообщения:
    204
    Симпатии:
    12
    Если даже этот файл остался, чем он опасен? Если в других движках можно заного его установить, то здесь, на сколько я знаю, это не прокатит.
     
Статус темы:
Закрыта.