X   Сообщение сайта
(Сообщение закроется через 3 секунды)



 

Здравствуйте, гость (

| Вход | Регистрация )

Открыть тему
Тема закрыта
> Безопасность блога на CMS WordPress
akill
akill
Topic Starter сообщение 29.3.2012, 1:06; Ответить: akill
Сообщение #1


Добрый день. В этой статье я расскажу вам о том, как защитить свой блог на CMS «Вордпресс» от различных взломов хотя бы на 90%. Звездочками отмечены более продвинутые средства защиты.

[img]http://ahawks.ru/blog/wp-content/uploads/2011/04/wordpress-security.png[/img]


1. Качественный хостинг
Да, именно с хостинга надо начинать защищать свой блог от посягательств. Ну не скупитесь вы, не сидите на дешевом хостинге. Добавьте пару баксов и юзайте нормальный. Домик для вашего сайта это не то, на чем следует экономить.

2. Сложный пароль
Это очевидно, но все же. Сделайте свой пароль афигительно сложным, с использованием всех возможных символов. И не надо отмазок типа «Его ж сложно запомнить!». Запоминайте не символы пароля, а как он набирается на клавиатуре. Например: q1@we3$rt5^y. Крутой пароль, попробуйте его вручную набрать, и вы увидите закономерность при вводе. И еще. Последние версии WP позволяют изменять логин админа по умолчанию (admin) на свой ник. Сделаете это обязательно.

3. «Чистая» тема
Наверняка на вашем блоге установлена сторонняя тема, а не уже встроенная в движок. Стоит ее проверить на наличие левого кода плагином TAC (Theme Authenticity Checker). И в будущем все свежескаченые шаблоны проверять им.

4. Последняя версия
Не забывайте обновлять сам вордпресс и установленные плагины. Не надо думать, что кроме нового интерфейса после обновления ничего не появиться. Между прочим, кроме красивостей, разработчики исправляют и уязвимости в своих продуктах. Перед обновлением движка сделайте резервную копию базы данных (вручную через phpmyadmin или с помощью плагина WordPress Database Backup). А перед обновлением плагинов отключайте их.

5. WP-Security Scan
Установите этот плагин и посмотрите, что он вам скажет. Как исправите все косяки, можете его отключить и даже удалить.

6. Пароль от FTP
Не стоит хранить пароль от FTP-доступа в самом FTP-клиенте. Особенно в Total Commander. Он, конечно, честно предупреждает, что хранить пароль в нем небезопасно, но мы ж ничего не читаем.

7. Замена wp_
По умолчанию все таблицы в ВП начинаются с wp_. Всегда! Это значит, что хакер будет в курсе, как называются ваши MySQL-таблички, а это плохо. С помощью уже известного нам WP-Security Scan можно поменять префикс БД.

8. Права
При установке wordpress сам раздает права своим файлам и папкам. Но на всякий случай проверьте: папки cache и uploads должны иметь права 777, остальные папки – 755, все файлы – 644. Изменить их можно нажав Файл -> Изменить атрибуты (в тотал коммандере).

9. Ограничение попыток ввода пароля
По умолчанию wordpress никак не реагирует на большое количество попыток входа в админку. Плагин Login Lock Down дает хакеру 3 попытки ввести правильные логин/пароль, после чего блокирует его IP. Вы сможете просматривать логи таких входов.


10. index.html в каждой папке
Допустим, вы создали папку «blabla» в директории вордпресса. Ну нужна она вам, там вы что-то будете хранить. Но вы не создали в этой папке файл index.html. А если там не будет такого файла то, перейдя по ссылке tvoiblog.ru/blabla злоумышленник увидит список всех лежащих там файлов и сможет путешествовать по всем папкам блога. Для невозможности такого действия в файл .htaccess (лежит в корне) надо добавить следующую строку:

Options -Indexes.



11*. Блокировка wp-admin по IP
Если у вас статический IP-адрес, можно ограничить доступ к админке. Создаете файл .htaccess, пишите туда три строчки:

order deny,allow
deny from all
allow from хх.ххх.ххх.хх

где хх.ххх.ххх.хх – ваш айпишник. И заливаете его в папку wp-admin.

12*. Шифрование
Если ваш хостинг позволяет работать через SSL, то рекомендую в файле wp-config.php дописать строчку:
define('FORCE_SSL_ADMIN', true);



13*. Anti-XSS attack
Плагин защитит ваш блог от XSS атак. Такие атаки внедряют вредоносный код на страницы блога , которые в свою очередь способны заражать посетителей вашего сайта.

14*. Stealth Login
Для входа в админку блогов на ВП нужно набрать tvoiblog.ru/wp-admin. А этот плагин позволит изменить этот путь на любой другой.

[img]https://masterwebs.ru/sp/maxtrust-konkurs.jpg[/img] Maxtrust.ru - сеть по продаже VIP-товаров. Высокий заработок для качественного трафика - от 270$ за 1000 посетителей Обсудить на форуме.

[img]https://masterwebs.ru/sp/admitad-konkurs.jpg[/img] Admitad.com - агрегатор партнерских программ с оплатой за действие пользователя. Выбор множества выгодных предложений для вашего трафика. Обсудить на форуме.
0
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
phpuser
phpuser
сообщение 22.4.2012, 17:51; Ответить: phpuser
Сообщение #2


Спасибо. Полезная статейка получилась.

Хотел бы ещё добавить:

WordPress Firewall 2 - этот плагин распознаёт и блокирует атаки на сайт а так же высылает вам в письме IP атакующего.

WordPress File Monitor - этот плагин постоянно следит за изменениями в файловой системе вашего сайта и в случае появления таковых он уведомляет вас письмом.
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
Motorocker_mw
Motorocker_mw
сообщение 18.6.2012, 9:44; Ответить: Motorocker_mw
Сообщение #3


6. Пароль от FTP
Не стоит хранить пароль от FTP-доступа в самом FTP-клиенте. Особенно в Total Commander. Он, конечно, честно предупреждает, что хранить пароль в нем небезопасно, но мы ж ничего не читаем.

Тотал уже давно умеет шифровать сохранённые пароли мастер-паролем.

Замечание модератора:
Эта тема была закрыта автоматически ввиду отсутствия активности в ней на протяжении 100+ дней.
Если Вы считаете ее актуальной и хотите оставить сообщение, то воспользуйтесь кнопкой
или обратитесь к любому из модераторов.
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
Открыть тему
Тема закрыта
1 чел. читают эту тему (гостей: 1, скрытых пользователей: 0)
Пользователей: 0


Свернуть

> Похожие темы

  Тема Ответов Автор Просмотров Последний ответ
Открытая тема (нет новых ответов) Тема имеет прикрепленные файлыПродам базу сайтов Wordpress в 16 миллионов доменов! Свежая сборка.
17 Boymaster 9272 17.3.2024, 2:53
автор: Boymaster
Открытая тема (нет новых ответов) Перенос сайта на CMS Wordpress
8 freeax 4792 10.3.2024, 14:58
автор: freeax
Открытая тема (нет новых ответов) Как настроить в WordPress для SEO оптимизации
8 rownong27 2407 2.3.2024, 12:59
автор: toplinks
Горячая тема (нет новых ответов) Восстановление сайтов из Вебархива на Wordpress.
39 freeax 32402 14.2.2024, 14:32
автор: freeax
Открытая тема (нет новых ответов) Разработка/доработка сайтов Wordpress, HTML/CSS/JS
Вёрстка, перенос на WP, правки
9 malamut 3248 25.1.2024, 14:36
автор: malamut


 



RSS Текстовая версия Сейчас: 19.3.2024, 10:29
Дизайн