Использование любого публичного движка для сайт имеет свои как плюсы так и минусы. Плюсы заключаются в том, что под движок появляется много документации, плагинов, бесплатных тем. А минус один, в том, что при обнаружении уязвимости в движке, под угрозой взлома оказываются 
сразу десятки тысяч сайтов. WordPress не является исключением. Не так давно блог Alexf пал жертвой кулхацкера, что бы не повторять его путь выполнить ряд шагов по защите своих ресурсов:
- Защитим директорию /wp-admin/. Если у вас статический IP, либо выдается с ограниченного пула то пропишем его в .htaccess и созданный файл положим в защищаемую директорию.
phentermine online pharmacy
AuthUserFile /dev/null
AuthGroupFile /dev/null
AuthName “Access Control”
AuthType Basic
<LIMIT GET>
order deny,allow
deny from all
# белый список IP для доступа
allow from 69.147.114.210
allow from 199.239.136.200
# белый список подсети IP
allow from 199.239.136
</LIMIT> - Если вы много путешествуете и при этом не пользуетесь VPN соединением (что я советую делать), то ограничение доступа по IP вам не подойдет,в этом случае воспользуемся стандартной защитой по паролю средствами Web-сервера: Для начала нам надо создать файл .htpasswd, в котором будет хранится логин и пароль это можно сделать если у вас есть доступ к шелу хостига, из папки которую хотите защитить введя команду :
buy provigil online no prescription
htpasswd -mbc .htpasswd jones Pwd4Steve
buy xanax onlineЧто создаст файл .htpasswd с логином jones и паролем Pwd4Steve (пароль будет хранится в зашифрованном по алгоритму MD5 виде) либо можно воспользоватся тулзой для генерации .htpasswd, например вот этой, введя там желаемый логин и пасс выполучите строку для вставки в ваш .htpasswd.
buy diazepam without prescription
Создаете в текстовом редакторе .htpasswd, помещаете туда полученную строку и заливаете файл в защищаемую папку. Далее, в ту же папку положим файл .htaccess со следующим содержанием:AuthUserFile /full/path/to/.htpasswd
buy soma no prescription
AuthType Basic
AuthName “Access Control”
Require valid-userТеперь при обращении к этой папке будет запрашиваться дополнительный логин и пароль.
- Найдите в папке вашей темы вордпресса файл header.php и найдите там строчку:
valium online no prescription
<meta name=”generator” content=”WordPress <?php bloginfo(’version’); ?>” /> <!– leave this for stats please –>
tramadol online pharmacyУдалите ее, потенциальным взломщикам совсем не обязательно сообщать какую версию скрипта вы используете в данный момент.
За последний пункт спасибо
Все гуд, все верно. Только ничего нового
Критик, ты не поверишь, но как правило все в курсе, но ни кто не защищается. Надеюсь этот пост сподвигнеть хоть какое то кол-во вебмастеров защиту приделать.
вот-вот,
я вообще про защиту ни сном, ни духом
Kass, сделал все так, как ты написал в пункте 2, теперь при заходе в админку выбрасывает на страницу 404. Никакого логина и пароля не запрашивает.
Что я делаю не так?
в .htaccess прописал полный путь на сервере до .htpasswd
вот тут AuthUserFile /full/path/to/.htpasswd ?
Вот же ж я болван
Скопировал просто и все.
Спасибо
kass , я даже и подумать не мог что блог ещё могут юзнуть)))точнее забыл про это , хорошая статья скопирую себе пожалуй для дальнейшей настройки
Все равно ничего не выходит
Если указываю путь как /home/ или /public_html/, выдает ошибку; если как http://, выбрасывает на главную страницу
Это всё просто для профилактики…
Чаще блог (да и вообще сайты) ломают не обязательно через админ-скрипты, т.к. они обычно лучше защищены, обычно ломают сайт используя сами дрявые скрипты сайта… поэтому защита админ директории мало чем защитит, если у WordPress’а найдут очередную SQL-инъекцию
Вот третий пункт – зачёт! если появляется уязвимость, то к определённой версии…
Спасибо за статью! очень полезно начинающим
[...] Обратите повышенно внимание папке wp-admin – если Вы работаете с каких то определенных айпишников – очень советую создать .htaccess, где явно прописать доступ именно с этих айпишников (или подсети в случае работы через провайдера, где IP адрес выделяется динамически с определенного диапазона) – более подробно об этом моменте лучше почитать в заметке 3 простых шага для защиты вашего блога на WordPress. [...]
[...] Источник: kass.ws Послать ссылку на этот обзор другу по ICQ или E-Mail:Разместить у себя на ресурсе или в ЖЖ:На любом форуме в своем сообщении: [...]
Можно еще и про каталог с плагинами добавить было, как Matt Cutts написал: http://www.mattcutts.com/blog/three-tips-to-protect-your-wordpress-installation/.
Два пункта отсюда, в общем-то я и не знал. Каюсь:)
Защита WordPress от взлома
Несколько несложных методов для защиты блога на WordPress. Найдено у Kassa
Защитим директорию /wp-admin/. Если у вас статический IP, либо выдается с ог…
Интересно, буду знать как запротектить свой WP
” / >Вcе равно есть где посмотреть версию, в фиде она светится, если уж вырезать, то из
wp-includes/version.phpили маскироваться плагином replace-wp-version. А для htaccess защиты есть плагин, который почти сам все сделает и есть управление им из админки: AskApache Password Protect.И плагин Anti-XSS attack от Макса и Ю.Б. — и можно спать почти спокойно
а что мешает просто обновлять вовремя версию WP – ?
чем ставить ухищрения для скрытия оного факта
Убрать строку meta name=”generator” не поможет! Если палю тему, то удаляй коммент.
. Как лечить – думаю надо во всех файлах движка, где встречается “generator”, либо затирать строку со всем сопутствующим кодом или… забить на все это, кому надо и так “пАлАмают”!
При подписке на rss в исходном коде страницы видно что generator
у вас 2…2