Перейти к содержимому


Партнерская программа Kredov

Безопасность на вес золота. Как её усилить на WordPress?

#1 snakers555

snakers555
  • Пользователь
  • 48 сообщений
  • Репутация: 4
0

Отправлено 13 Ноябрь 2012 - 14:24

Здравствуйте! Сегодня я в очередной раз пишу о безопасности на WordPress. Надеюсь она вам будет очень полезна. Предыдущие статьи о безопасности можете почитать здесь и здесь. Ну а теперь давайте без всяких лирических вступлений перейдем непосредственно к делу :)

1.Добавьте секретные коды в файл wp-config.php

При помощи этих кодов проверяется правильность доступа. Хочу заранее предупредить, что при их изменении удаляются файлы cookie, поэтому вам снова придется залогиниться. Где же их взять? Просто перейдите на сайт wordpress.org, скопируйте сгенерированные ключи и вставьте их в свой файл wp-config.php, который находится в корне сайта.

Изображение

2.Отключите сообщение об ошибке авторизации

При не правильном вводе данных, во время авторизации WordPress по умолчанию выводит сообщение об ошибке.

Изображение

А это некий бонус для взломщиков, если это можно так назвать. Поэтому не будьте такими щедрыми :D. Чтобы убрать вывод ошибки, надо в functions.php прописать следующие строки:

add_filter(‘login_errors’,create_function(‘$a’, "return null;"));

3.Удалите файлы readme.html и license.txt.

Зачем это нужно, спросите вы? В license.txt дается вся информация о том, что такое WordPress, защита прав собственности, открытый исходный код и так далее. В файле readme.html указывается версия вашего WordPress и его установка. Злоумышленники ни в коем случае не должны знать информацию о вашем WordPress. Эти 2 файла находятся в корне вашего сайта. Чтобы их удалить, просто воспользуйтесь любым ftp клиентом. Также, чтобы взломщики не узнали версию вашего WordPress нужно удалить специальную строку кода в файле header.php.

Для этого перейдите в "Консоль" --> "Внешний вид" --> "Редактор" --> "header.php" и найдите строчку:

<meta name=”generator” content=”wordpress” <?php bloginfo (‘version’); ?” />


4.Плагин, который защитит ваш блог от вредоносных запросов в URL.

Хакеры часто используют вредоносные запросы, чтоб найти и атаковать слабые места блога. WordPress конечно же имеет хорошую защиту, но не плохо бы было ему помочь. Для этого скачайте плагин BBQ (Block Bad Queriec). Затем активируйте его.

Что делает данный плагин?

Долго думаю расписывать не стоит его функции. Вкратце - данный плагин по заверениям разработчиков может блокировать большую часть опасных запросов (в частности предупреждает sql инъекции и другие "пакостные" запросы)

Думаю это не так сложно :D

5.Используйте FTP клиент FileZilla.

Данная программа считается более надежной в плане защиты пароля при доступе к вашему хостингу. Скачать её вы можете здесь.

6.Закройте доступ к файлу wp-config.php и .htaccess

Для начала откройте сам файл .htaccess, он находится в корне сайта. Если у вас его нет, то создайте его и загрузите на сервер. Затем, в файле .htacces пропишите следующее:

<Files wp-config.php>
order allow,deny
deny from all
</Files>

Так мы запретили доступ к файлу wp-config.php. Теперь давайте сделаем тоже самое для .htacces:



<Files .htaccess>
order allow,deny
deny from all
</Files>


7. Включите поддержку SSL при работе с админкой

SSL – это криптографический протокол. При использовании его, все передаваемые данные между браузером и сервером шифруются. Для того, что бы активировать SSL шифрование, нужно в файл wp-config.php добавить следующую строчку:

define('FORCE_SSL_LOGIN', true);

Все, шифрование успешно настроено.

8.Защищаем картинки от показа на чужих сайтах

Итак, возможно вы знаете, что некоторые люди берут картинки прямо с наших с вами серверов, скромно забывая при этом про слово «трафик». А представьте, что будет, если ссылки на наши картинки попадут на какой-нибудь очень популярный ресурс, с посещаемостью до 500 тысяч хотя бы. Да наш сервер просто ляжет. Давайте защитимся от таких злодеев, их еще называют личеры. Нам снова понадобится .htacces. Пропишите в нем следующее:


RewriteEngine On

RewriteCond %{HTTP_REFERER} !^http://(.+.)?mysite.ru/ [NC]

RewriteCond %{HTTP_REFERER} !^$

RewriteRule .*.(jpe?g|gif|bmp|png)$ /images/nohotlink.jpg [L]


Замените ?mysite.ru/ на адрес вашего сайта
Замените /images/nohotlink.jpg на название вашей картинки с лозунгом «личер идёт на… прогулку»

9. Баним спамеров и ботов

Не знаю как Вам, но лично мне очень надоедают спамеры и боты. Конечно нет 100% защиты от спам-скриптов, постоянно меняющих прокси, но немного облегчить жизнь вполне можно.

Для этих целей я использую плагин, который называется AntiSpam Bee

Что он делает?

Принцип действия данного плагина очень прост – он прячет форму для комментирования от спам-ботов. Они просто не понимают, куда данный комментарий нужно вставлять. Также данный плагин ничего не сохраняет в базу данных, поэтому не создается особая нагрузка на сервер.

А какие существуют еще методы борьбы со спамом? На самом деле их много. Но все они в последнее время стали малоэффективны. Например сейчас различные капчи спаммеры обходят без всяких проблем. Теги noindex/nofollow для ссылок в комментариях тоже особого эффекта не дают. Комментарии только для зарегистрированных пользователей это вообще бред на мой взгляд. Во-первых, спаммера и это не остановит. Во-вторых, многим пользователям это не нравится. По этому, выбор за вами.

10.Изменяем адрес страницы авторизации

По умолчанию страница входа в админку блога находится по адресу: вашблог.ru/wp-login, об этом знает каждый. В том числе и злоумышленники. Чтобы изменить адрес страницы авторизации, воспользуйтесь плагином Hide Login.

11.Не забывайте устанавливать обновления

Это очень важно, ведь с каждой новой версией разработчики исправляют все дыры и слабые места, которые были в прошлых сборках и на которых не безопасно оставаться.

На этом все, дорогие друзья. Не пренебрегайте советами по усилению безопасности, потому что когда вы одумаетесь, может быть уже поздно. Надеюсь это моя не последняя статья про безопасность, так как все что знал уже рассказал. До встречи!

С Уважением, Александр Сидоренко


При поддержке: SeoPult - система автоматизированного продвижения сайтов и управления контекстной рекламой. Обсудить на форуме.

Изображение

 

 

Сообщение отредактировал snakers555: 15 Ноябрь 2012 - 19:34

  • 0

#2 Jean

Jean
  • Пользователь PRO
  • 1 237 сообщений
  • Репутация: 218

Отправлено 13 Ноябрь 2012 - 16:14

snakers555, А оформить пост не хотите?
  • 0
Научу вас Seo оптимизировать и продвигать сайт, стоимость от 150р час, теория+практика
Консультирую по Интернет рекламе


#3 razzor

razzor
  • Пользователь
  • 489 сообщений
  • Репутация: 57

Отправлено 13 Ноябрь 2012 - 17:20

кое-как прочитал, инфа-то полезная!
  • 0

#4 snakers555

snakers555
    Topic Starter
  • Пользователь
  • 48 сообщений
  • Репутация: 4

Отправлено 13 Ноябрь 2012 - 21:14

snakers555, А оформить пост не хотите?


Все исправил, просто предпросмотр не работает, пришлось сырой публиковать, чтоб хоть как-то изменения просматривать, думал сразу с html тегами сохранится
  • 0

#5 vervekin

vervekin
  • Пользователь
  • 38 сообщений
  • Репутация: 10

Отправлено 14 Ноябрь 2012 - 20:42

Мне кажется, статью можно было бы чуть улучшить.

У вас в статье более 2-х ссылок на ваш сайт. По-моему, правила конкурса ограничивают в этом.

Пункт 4. Давая ссылку на скачивание плагина, неплохо было бы вкратце описать его. Получается, что читатель, ткнув по ссылке, закачивает на свой компьютер "кота в мешке", да еще и с вашего сайта. Вообще, в таких случаях проще и правильнее оставлять ссылку на официальную страницу плагина.

Пункт 8. Заголовок в контексте написанного в этом пункте корректнее звучал бы "Защищаем картинки от показа на чужих сайтах". И какое отношение к безопасности сайта имеет показ вашей картинки на чужом ресурсе? Возможно превышение допустимой нагрузки, но нарушение безопасности?.. Кстати, Google воспринимает транслируемую чужим ресурсом вашу картинку как ссылку на ваш сайт. Этот пункт можно утрировать и перефразировать, получится что-то типа "Не рекомендую оставлять ссылки на свой сайт на очень популярных ресурсах с посещаемостью до 500 тысяч. Ваш сервер просто ляжет".

Пункт 9 тоже весьма спорный. Речь идет о модеме и динамическом IP, в котором меняются только последние цифры. У меня, например, нет модема, как и у многих. Я буквально не смогу воспользоваться вашим советом. Второй момент: IP у меня динамический, и он при каждом подключении меняется полностью - не только в последних цифрах. Если я просто уберу "последние символы до точки" в .htaccess, на свой блог я уже зайти не смогу?

Возможно, мой комментарий окажется полезен.
  • 0

#6 snakers555

snakers555
    Topic Starter
  • Пользователь
  • 48 сообщений
  • Репутация: 4

Отправлено 15 Ноябрь 2012 - 19:37

vervekin, спасибо за такой объективный отзыв. Рад был выслушать критику, подправил некоторые пункты. А на счет защиты картинок от показа на чужих сайтах, то мне кажется что в какой то степени это относится и к безопасности. Выполнив этот шаг пользователь обезопасит свой сервер от перегрузок :)
  • 0

#7 vervekin

vervekin
  • Пользователь
  • 38 сообщений
  • Репутация: 10

Отправлено 15 Ноябрь 2012 - 20:20

Ну тогда ловите еще :)

Пункт, где вы предлагаете удалить из корневой директории сайта файл readme.html, в котором содержится версия Wordpress и последний пункт, где вы настоятельно рекомендуете всегда устанавливать обновления, как бы взаимоисключают друг друга. Вам не кажется? Если у всех всегда будет последняя версия движка, какой смысл скрывать ее номер?

И еще. В правилах конкурса сказано; "Написать полезную, интересную и подробную статью на выбранную тему, которая в данном виде ранее до этого нигде не публиковалась". Ваша же статья давно проиндексирована Яндексом, дабы не быть голословным, ссылка http://webexpertu.ru...eyo-usilit.html Уверен, что копипаст или рерайт, пусть даже и вашей статьи, здесь вряд ли прокатит.
  • 0

#8 Jean

Jean
  • Пользователь PRO
  • 1 237 сообщений
  • Репутация: 218

Отправлено 15 Ноябрь 2012 - 21:13

vervekin, Ага я тоже заметил что уже ни раз копируют статьи, но вроде как с своих сайтов админ не против.
Хотя в конкурс не вдавался, только читаю.
  • 0
Научу вас Seo оптимизировать и продвигать сайт, стоимость от 150р час, теория+практика
Консультирую по Интернет рекламе


#9 Belov

Belov
  • Пользователь
  • 6 сообщений
  • Репутация: 0

Отправлено 16 Ноябрь 2012 - 10:31

Про конкурс, вообще, ничего не знаю. Я тут - новенький. Но статья, по-моему полезная и интересная, я что-то даже для себя новое углядел, а что-то делаю как раз обычно.
  • 0

#10 snakers555

snakers555
    Topic Starter
  • Пользователь
  • 48 сообщений
  • Репутация: 4

Отправлено 16 Ноябрь 2012 - 20:22

Ну тогда ловите еще :)

Пункт, где вы предлагаете удалить из корневой директории сайта файл readme.html, в котором содержится версия Wordpress и последний пункт, где вы настоятельно рекомендуете всегда устанавливать обновления, как бы взаимоисключают друг друга. Вам не кажется? Если у всех всегда будет последняя версия движка, какой смысл скрывать ее номер?

И еще. В правилах конкурса сказано; "Написать полезную, интересную и подробную статью на выбранную тему, которая в данном виде ранее до этого нигде не публиковалась". Ваша же статья давно проиндексирована Яндексом, дабы не быть голословным, ссылка http://webexpertu.ru...eyo-usilit.html Уверен, что копипаст или рерайт, пусть даже и вашей статьи, здесь вряд ли прокатит.


Правилами то не запрещено свои статьи выставлять на конкурс. К тому же автором являюсь я, так что не вижу в этом нарушений и администратор бы в противном случае откланил статью от участия в конкурсе

Пункт, где вы предлагаете удалить из корневой директории сайта файл readme.html, в котором содержится версия Wordpress и последний пункт, где вы настоятельно рекомендуете всегда устанавливать обновления, как бы взаимоисключают друг друга. Вам не кажется? Если у всех всегда будет последняя версия движка, какой смысл скрывать ее номер?


А кто узнает, что у Вас последняя версия стоит?? знаю людей, которые вообще не обновляются
  • 0

robot

robot
  • Пользователь PRO
  • 2 652 сообщений
  • Репутация: 85


Оформление форума – IPBSkins.ru