3 простых шага для защиты вашего блога на WordPress
January 18th 2008 @ 7:43 am Статьи

Использование любого публичного движка для сайт имеет свои как плюсы так и минусы. Плюсы заключаются в том, что под движок появляется много документации, плагинов, бесплатных тем. А минус один, в том, что при обнаружении уязвимости в движке, под угрозой взлома оказываются Защита wordpress от взломасразу десятки тысяч сайтов. WordPress не является исключением. Не так давно блог Alexf пал жертвой кулхацкера, что бы не повторять его путь выполнить ряд шагов по защите своих ресурсов:

  1. Защитим директорию /wp-admin/. Если у вас статический IP, либо выдается с ограниченного пула то пропишем его в .htaccess и созданный файл положим в защищаемую директорию. phentermine online pharmacy

    AuthUserFile /dev/null
    AuthGroupFile /dev/null
    AuthName “Access Control”
    AuthType Basic
    <LIMIT GET>
    order deny,allow
    deny from all
    # белый список IP для доступа
    allow from 69.147.114.210
    allow from 199.239.136.200
    # белый список подсети IP
    allow from 199.239.136
    </LIMIT>

  2. Если вы много путешествуете и при этом не пользуетесь VPN соединением (что я советую делать), то ограничение доступа по IP вам не подойдет,в этом случае воспользуемся стандартной защитой по паролю средствами Web-сервера: Для начала нам надо создать файл .htpasswd, в котором будет хранится логин и пароль это можно сделать если у вас есть доступ к шелу хостига, из папки которую хотите защитить введя команду : buy provigil online no prescription

    htpasswd -mbc .htpasswd jones Pwd4Steve

    buy xanax online

    Что создаст файл .htpasswd с логином jones и паролем Pwd4Steve (пароль будет хранится в зашифрованном по алгоритму MD5 виде) либо можно воспользоватся тулзой для генерации .htpasswd, например вот этой, введя там желаемый логин и пасс выполучите строку для вставки в ваш .htpasswd.
    Создаете в текстовом редакторе .htpasswd, помещаете туда полученную строку и заливаете файл в защищаемую папку. Далее, в ту же папку положим файл .htaccess со следующим содержанием:

    buy diazepam without prescription

    AuthUserFile /full/path/to/.htpasswd
    AuthType Basic
    AuthName “Access Control”
    Require valid-user

    buy soma no prescription

    Теперь при обращении к этой папке будет запрашиваться дополнительный логин и пароль.

  3. Найдите в папке вашей темы вордпресса файл header.php и найдите там строчку: valium online no prescription

    <meta name=”generator” content=”WordPress <?php bloginfo(’version’); ?>” /> <!– leave this for stats please –>

    tramadol online pharmacy

    Удалите ее, потенциальным взломщикам совсем не обязательно сообщать какую версию скрипта вы используете в данный момент.

tramadol online pharmacybuy ambien online buy klonopin online without prescription buy valium online no prescription xanax online pharmacy buy ambien no prescription valium online without prescription buy ambien without prescription ambien online pharmacy buy phentermine no prescription -kass
Добавь в закладки: del.icio.us reddit.com technorati.com news2.ru moemesto.ru bobrdobr.ru memori.ru

Похожие посты:

comments are closed
  1. January 18th, 2008 | 07:59 | #1

    За последний пункт спасибо

  2. January 18th, 2008 | 08:32 | #2

    Все гуд, все верно. Только ничего нового ;)

  3. kass
    January 18th, 2008 | 08:38 | #3

    Критик, ты не поверишь, но как правило все в курсе, но ни кто не защищается. Надеюсь этот пост сподвигнеть хоть какое то кол-во вебмастеров защиту приделать.

  4. January 18th, 2008 | 09:52 | #4

    вот-вот,

    я вообще про защиту ни сном, ни духом :)

  5. January 18th, 2008 | 10:14 | #5

    Kass, сделал все так, как ты написал в пункте 2, теперь при заходе в админку выбрасывает на страницу 404. Никакого логина и пароля не запрашивает.

    Что я делаю не так?

  6. kass
    January 18th, 2008 | 11:00 | #6

    в .htaccess прописал полный путь на сервере до .htpasswd

    вот тут AuthUserFile /full/path/to/.htpasswd ?

  7. January 18th, 2008 | 11:05 | #7

    Вот же ж я болван :)

    Скопировал просто и все.

    Спасибо

  8. January 18th, 2008 | 14:35 | #8

    kass , я даже и подумать не мог что блог ещё могут юзнуть)))точнее забыл про это , хорошая статья скопирую себе пожалуй для дальнейшей настройки

  9. January 19th, 2008 | 00:16 | #9

    Все равно ничего не выходит :(

    Если указываю путь как /home/ или /public_html/, выдает ошибку; если как http://, выбрасывает на главную страницу

  10. January 19th, 2008 | 14:30 | #10

    Это всё просто для профилактики…

    Чаще блог (да и вообще сайты) ломают не обязательно через админ-скрипты, т.к. они обычно лучше защищены, обычно ломают сайт используя сами дрявые скрипты сайта… поэтому защита админ директории мало чем защитит, если у WordPress’а найдут очередную SQL-инъекцию

    Вот третий пункт – зачёт! если появляется уязвимость, то к определённой версии…

  11. January 20th, 2008 | 05:54 | #11

    Спасибо за статью! очень полезно начинающим

  12. pingback

    [...] Обратите повышенно внимание папке wp-admin – если Вы работаете с каких то определенных айпишников – очень советую создать .htaccess, где явно прописать доступ именно с этих айпишников (или подсети в случае работы через провайдера, где IP адрес выделяется динамически с определенного диапазона) – более подробно об этом моменте лучше почитать в заметке 3 простых шага для защиты вашего блога на WordPress. [...]

  13. pingback

    [...] Источник: kass.ws Послать ссылку на этот обзор другу по ICQ или E-Mail:Разместить у себя на ресурсе или в ЖЖ:На любом форуме в своем сообщении: [...]

  14. January 21st, 2008 | 04:16 | #14

    Можно еще и про каталог с плагинами добавить было, как Matt Cutts написал: http://www.mattcutts.com/blog/three-tips-to-protect-your-wordpress-installation/. :)

  15. January 21st, 2008 | 04:53 | #15

    Два пункта отсюда, в общем-то я и не знал. Каюсь:)

  16. trackback

    Защита WordPress от взлома

    Несколько несложных методов для защиты блога на WordPress. Найдено у Kassa
    Защитим директорию /wp-admin/. Если у вас статический IP, либо выдается с ог…

  17. January 23rd, 2008 | 23:24 | #17

    Интересно, буду знать как запротектить свой WP

  18. February 1st, 2008 | 09:40 | #18

    ” / >
    Вcе равно есть где посмотреть версию, в фиде она светится, если уж вырезать, то из wp-includes/version.php или маскироваться плагином replace-wp-version. А для htaccess защиты есть плагин, который почти сам все сделает и есть управление им из админки: AskApache Password Protect.
    И плагин Anti-XSS attack от Макса и Ю.Б. — и можно спать почти спокойно :)

  19. February 4th, 2008 | 04:38 | #19

    а что мешает просто обновлять вовремя версию WP – ? :)

    чем ставить ухищрения для скрытия оного факта

  20. April 27th, 2008 | 13:59 | #20

    Убрать строку meta name=”generator” не поможет! Если палю тему, то удаляй коммент.
    При подписке на rss в исходном коде страницы видно что generator
    у вас 2…2 :-) . Как лечить – думаю надо во всех файлах движка, где встречается “generator”, либо затирать строку со всем сопутствующим кодом или… забить на все это, кому надо и так “пАлАмают”!