Перейти к содержимому

Сервис обмена электронных валют

Партнерская программа Kredov

Безопасность блога на CMS WordPress

#1 akill

akill
  • Пользователь
  • 2 сообщений
  • Репутация: 2
2

Отправлено 29 Март 2012 - 00:06

Добрый день. В этой статье я расскажу вам о том, как защитить свой блог на CMS «Вордпресс» от различных взломов хотя бы на 90%. Звездочками отмечены более продвинутые средства защиты.

Изображение


1. Качественный хостинг
Да, именно с хостинга надо начинать защищать свой блог от посягательств. Ну не скупитесь вы, не сидите на дешевом хостинге. Добавьте пару баксов и юзайте нормальный. Домик для вашего сайта это не то, на чем следует экономить.

2. Сложный пароль
Это очевидно, но все же. Сделайте свой пароль афигительно сложным, с использованием всех возможных символов. И не надо отмазок типа «Его ж сложно запомнить!». Запоминайте не символы пароля, а как он набирается на клавиатуре. Например: q1@we3$rt5^y. Крутой пароль, попробуйте его вручную набрать, и вы увидите закономерность при вводе. И еще. Последние версии WP позволяют изменять логин админа по умолчанию (admin) на свой ник. Сделаете это обязательно.

3. «Чистая» тема
Наверняка на вашем блоге установлена сторонняя тема, а не уже встроенная в движок. Стоит ее проверить на наличие левого кода плагином TAC (Theme Authenticity Checker). И в будущем все свежескаченые шаблоны проверять им.

4. Последняя версия
Не забывайте обновлять сам вордпресс и установленные плагины. Не надо думать, что кроме нового интерфейса после обновления ничего не появиться. Между прочим, кроме красивостей, разработчики исправляют и уязвимости в своих продуктах. Перед обновлением движка сделайте резервную копию базы данных (вручную через phpmyadmin или с помощью плагина WordPress Database Backup). А перед обновлением плагинов отключайте их.

5. WP-Security Scan
Установите этот плагин и посмотрите, что он вам скажет. Как исправите все косяки, можете его отключить и даже удалить.

6. Пароль от FTP
Не стоит хранить пароль от FTP-доступа в самом FTP-клиенте. Особенно в Total Commander. Он, конечно, честно предупреждает, что хранить пароль в нем небезопасно, но мы ж ничего не читаем.

7. Замена wp_
По умолчанию все таблицы в ВП начинаются с wp_. Всегда! Это значит, что хакер будет в курсе, как называются ваши MySQL-таблички, а это плохо. С помощью уже известного нам WP-Security Scan можно поменять префикс БД.

8. Права
При установке wordpress сам раздает права своим файлам и папкам. Но на всякий случай проверьте: папки cache и uploads должны иметь права 777, остальные папки – 755, все файлы – 644. Изменить их можно нажав Файл -> Изменить атрибуты (в тотал коммандере).

9. Ограничение попыток ввода пароля
По умолчанию wordpress никак не реагирует на большое количество попыток входа в админку. Плагин Login Lock Down дает хакеру 3 попытки ввести правильные логин/пароль, после чего блокирует его IP. Вы сможете просматривать логи таких входов.


10. index.html в каждой папке
Допустим, вы создали папку «blabla» в директории вордпресса. Ну нужна она вам, там вы что-то будете хранить. Но вы не создали в этой папке файл index.html. А если там не будет такого файла то, перейдя по ссылке tvoiblog.ru/blabla злоумышленник увидит список всех лежащих там файлов и сможет путешествовать по всем папкам блога. Для невозможности такого действия в файл .htaccess (лежит в корне) надо добавить следующую строку:

Options -Indexes.


11*. Блокировка wp-admin по IP
Если у вас статический IP-адрес, можно ограничить доступ к админке. Создаете файл .htaccess, пишите туда три строчки:

order deny,allow
deny from all
allow from хх.ххх.ххх.хх
где хх.ххх.ххх.хх – ваш айпишник. И заливаете его в папку wp-admin.

12*. Шифрование
Если ваш хостинг позволяет работать через SSL, то рекомендую в файле wp-config.php дописать строчку:
define('FORCE_SSL_ADMIN', true);


13*. Anti-XSS attack
Плагин защитит ваш блог от XSS атак. Такие атаки внедряют вредоносный код на страницы блога , которые в свою очередь способны заражать посетителей вашего сайта.

14*. Stealth Login
Для входа в админку блогов на ВП нужно набрать tvoiblog.ru/wp-admin. А этот плагин позволит изменить этот путь на любой другой.

Изображение Maxtrust.ru - сеть по продаже VIP-товаров. Высокий заработок для качественного трафика - от 270$ за 1000 посетителей Обсудить на форуме.

Изображение Admitad.com - агрегатор партнерских программ с оплатой за действие пользователя. Выбор множества выгодных предложений для вашего трафика. Обсудить на форуме.

 

 

  • 2

#2 phpuser

phpuser
  • Пользователь
  • 520 сообщений
  • Репутация: 8

Отправлено 22 Апрель 2012 - 16:51

Спасибо. Полезная статейка получилась.

Хотел бы ещё добавить:

WordPress Firewall 2 - этот плагин распознаёт и блокирует атаки на сайт а так же высылает вам в письме IP атакующего.

WordPress File Monitor - этот плагин постоянно следит за изменениями в файловой системе вашего сайта и в случае появления таковых он уведомляет вас письмом.
  • 0
Вникаю в тему создания сайтов...


#3 Motorocker

Motorocker
  • Пользователь
  • 2 сообщений
  • Репутация: 0

Отправлено 18 Июнь 2012 - 08:44

6. Пароль от FTP
Не стоит хранить пароль от FTP-доступа в самом FTP-клиенте. Особенно в Total Commander. Он, конечно, честно предупреждает, что хранить пароль в нем небезопасно, но мы ж ничего не читаем.

Тотал уже давно умеет шифровать сохранённые пароли мастер-паролем.
  • 0


Оформление форума – IPBSkins.ru