За последний месяц форум посетило человек. Реклама на форуме

Если это ваш первый визит, рекомендуем почитать справку по форуму. Для размещения своих сообщений необходимо зарегистрироваться. Для просмотра сообщений выберите раздел.



Защищаем свой бложиг на WP [WordPress]


Ответ
Старый 26.04.2011, 18:25 Автор темы   #1
Ganss
Пользователь
 
Аватар для Ganss
О пользователе
 
Мужской Пол: Мужской
Регистрация: 26.04.2011
Сообщений: 38
Получено:
+1 -1
Отдано:
+0 -0
Репутация: Ganss is an unknown quantity at this point 0
По умолчанию

Защищаем свой бложиг на WP [WordPress]


Всем привет! Сегодня мы поговорим о том, как защитить функционирующий на движке Wordpress сайт от посягательств свирепых и страшных хакеров, взламывающих на раз-два любой уязвимый веб-ресурс. Почему нами была выбрана именно эта система управления контентом? Ответ прост: она крайне популярна и востребована среди пользователей интернета. По статистическим данным компании "Яндекс" более 70% отечественных блоггеров для публикации своих художественных нетленок используют Wordpress, а это значит, что практически каждый них рискует стать жертвой сетевых злоумышленников.
Следуя прописной истине "предупрежден - значит вооружен ", начнем повествование с поиска уязвимостей в Wordpress. Отыскать таковые несложно. Необходимо всего лишь подключить к системе управления контентом разработанное Майклом Торбертом расширение WP Security Scan, скопировав на диск компьютера архив wp-security-scan.2.3.zip (70 кбайт) и затем распаковав его в папку wp-content/plugins сервера, на котором установлен Wordpress.
В результате активации надстройки в панели управления Wordpress появится новый раздел Security, открывающий доступ к инструменту для поиска так называемых "дыр" в системе публикаций. Модуль WP Security Scan обеспечивает разностороннюю проверку сайта, акцентируя внимание пользователя на различных уязвимостях и важных моментах, касающихся информационной безопасности веб-ресурса. Он сканирует права доступа к файловым объектам на сервере и сравнивает их с требуемыми значениями, анализирует префикс таблиц в базе данных (позволяя изменить его на любой другой) плюс выполняет массу других полезных задач. Для пущей безопасности блога в надстройке WP Security Scan разработчиком реализован доступный на вкладке Password Tool механизм проверки паролей на стойкость ко взлому.
Кто привык не останавливаться на достигнутом и подходить к безопасности своего блога со всей серьезностью, может воспользоваться рекомендациями Мэтта Каттса, инженера всемирно известной компании Google. Перво-наперво Мэтт советует ограничить доступ к админке Wordpress, создав в директории wp-admin файл .htaccess следующего содержания:
PHP код:
Order Deny,Allow
Deny from all
allow from 91.78.242.135
allow from 202.5.120.126
allow from 
[разрешенный IP-адрес
Данная инструкция внесет некоторые корректировки в настройки веб-сервера и позволит работать с администраторской панелью Wordpress только тем пользователям, IP-адреса которых перечислены в списке.
Далее мудрый специалист предлагает создать пустой файл index.html в директории wp-content/plugins. Сей нехитрый трюк позволит заблокировать возможность получения извне сведений об установленных в системе плагинах, которые тоже могут содержать различного рода уязвимости и лазейки для взлома CMS. Можно поступить иначе и запретить просмотр содержимого директорий путем добавления строки Options All -Indexes в расположенный в корне блога файл .htaccess.
Также Мэтт Каттс рекомендует для сокрытия используемой версии Wordpress удалить из файла header.php строку:
PHP код:
<meta name="generator" content="WordPress <?php bloginfo(’version’); ?>" />
и подписаться на RSS-ленту сообщества разработчиков системы публикаций, чтобы всегда быть в курсе последних новостей, касающихся безопасности блога, доступных для него обновлений, патчей и заплаток. Естественно, инсталляцию последних ни при каких условиях нельзя оставлять на потом, даже в случае, если они устраняют мелкие, на первый взгляд, вполне безобидные "дыры" в системе. Сетевые злоумышленники не дремлют - помните об этом.
1. Существует еще один способ отключения отображения используемой версии системы управления сайтом в генерируемом ею HTML-коде. Суть его заключается в добавлении строки:
PHP код:
<?php remove_action('wp_head''wp_generator'); ?>
в файл functions.php, расположенный в папке со скриптами, отвечающими за внешнее оформление блога. Готово)

Ganss вне форума   Ответить с цитированием
Реклама
Реклама на форуме

Ответ

Социальные закладки


Похожие темы
Тема Автор Раздел Ответов Последнее сообщение
Проверь свой паспорт! Mario Это просто интересно 17 16.09.2012 18:24

Присутствуют
Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
 
Опции темы

Ваши права в разделе
Вы не можете создавать новые темы
Вы не можете отвечать в темах
Вы не можете прикреплять вложения
Вы не можете редактировать свои сообщения

BB коды Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.

Быстрый переход


Текущее время: 20:48. Часовой пояс GMT +4.
Powered by vBulletin
Лицензия зарегистрирована на: novoros.com


проверка доступности сайта