Безопасный блог на WordPress
Читайте гостевой пост Дмитрия Донченко. Редкий случай, когда у меня в блоге освещаются технические моменты блоггинга. Тем более есть смысл прочитать и взять себе на заметку. Я уже взял.
***
Уже были случаи, когда блоги взламывали и дефейсили (на страничке взломанного блога пишут какую-нибудь гадость или размещают картинку, прописывают рекламные ссылки или еще как-нибудь «шалят»).
В худшем же случае вы можете лишиться всех записей, комментариев и вообще всей информации, которая хранится в базе данных блога. Либо в код блога пропишут вредоносный код, который будет забрасывать вирусы посетителям, ну и еще много всяких неприятностей может случится, если злоумышленники доберутся до вашего блога.
Для того, чтобы такого не случалось, предлагаю побеспокоиться о безопасности автономного блога на WordPress заранее:
- Вспомните, когда вы последний раз меняли пароль к панели администрирования вашего блога? Никогда? И еще, пароль к такой важной части вашего блога обязательно должен быть не короче 6 символов и содержать буквы и цифры. Желательно изменять его если не каждый месяц, то раз в 3 месяца точно.
- Ограничьте доступ к папке wp-admin. Тогда, даже если злоумышленник каким-то образом раздобыл ваш пароль, при правильно настроенном ограничении доступа попасть в панель администрирования у него не получится.
- Ограничение доступа может быть произведено по IP-адресу, если у вас статический IP-адрес, либо с помощью установки дополнительного пароля, на вход в директорию wp-admin. Для этого либо пропишите необходимые настройки в файле .htaccess либо воспользуйтесь плагином AskApache.
- Если по какой-то причине у вас не получается ограничить доступ к папке wp-admin по IP-адресу или дополнительному паролю, вы можете установить плагин Login Lockdown который регистрирует неудачные попытки авторизации и после заданного числа, блокирует IP-адрес.
- Попробуйте открыть ссылку вида: http://вашблог.ком/wp-content/plugins/, что вы видите? Правильно: вы видите список файликов и папочек, это ваши плагины. Данная информация облегчает задачу по взлому блога, т.к. некоторые из плагинов могут содержать уязвимости. Чтобы больше на ваши плагины никто не смотрел, запретите отображение содержимого папок в файле .htaccess, либо просто создайте пустой файл wp-content/plugins/index.html.
- Вы можете убрать строчку «< meta name=”generator” content=”WordPress ” />» из файла header.php в шаблонах блога, это затруднит идентификацию блога и поиск уязвимостей по версии блога, хотя если вы будете следовать следующему совету, эту строку можно не удалять.
- Следите за обновлениями плагинов и самого WordPress. Если до этого были найдены какие-то уязвимости, разработчики всегда пытаются исправить их в новых версиях. Сейчас следить за обновлениями не сложно, WordPress сам сообщает вам в панели администрирования, когда появляется новая версия. Ваша задача просто обновить блог.
- Сделайте ревизию плагинов и отключите те, которыми вы не пользуетесь.
Это основные советы, которые помогут вам избежать неприятностей и обезопасить свой блог от взлома. Уверен, что их можно дополнить и написать новые методы и способы, пишите!
Еще интересно почитать
 |
|
07.02.2008 в 09:56
По-моему, первым пунктом должен быть:
0. Регулярно выполняйте резервное копирование базы данных. Тогда в случае взлома вам будет, к чему вернуться
07.02.2008 в 12:40
пункт 5, у меня пишут, что нет прав
пункт 7, обновлялся до 2.3.3 вчера после 2-х часов после выпуска обновления
07.02.2008 в 16:05
2Сергей: Безусловно вопрос резервного копирования очень важен, но как быть если взлом уже случился, и он был скрытый, т.к. в какой-то из ваших постов, вписали код с вирусом или еще чем-то гадким. И после этого вы сделали резервную копию уже поломанного блога. Врачи говорят, что лучше профилактика чем лечение
2IDW: Значит настройки по запрету индексов есть где-то в настройках сервера который обслуживает ваш блог. Тем лучше для вас
07.02.2008 в 18:41
палю тему статья про взлом вордпресса была в хакере
07.02.2008 в 23:18
Хороша подборка, даже не знаю что и добавить, но регулярное резервное копирование всегда помогает. Сразу из панели управления сайтом можно делать бекпы, или бекапы по расписанию, тоже удобная штука с отправкой файла бекапа на почту, например gmail.
09.02.2008 в 01:22
5. Можно наверное и индекс.пхп добавить, тем более что его пример есть в папке wp-content.
зы. фраза типа «пропишите необходимые настройки в файле .htaccess» мне почти ни о чем не говорит:) можно было бы чуть поподробней расписать.
09.02.2008 в 01:42
Прошу прощения за дезинформацию, индекс.пхп в п.5 не сработает.
09.02.2008 в 11:45
Хорошая информация, в заметки и в работу! куча народа сидит и гадит другим ради собственного морального удовлетворения
09.02.2008 в 21:53
статья правильная в целом, тока я рекомендовал бы читать первоисточник wordpress.org
12.02.2008 в 03:40
Я бы к этому еще добавил: «Подходите ответственно к выбору провайдера». Вы можете очень хорошо защитить свой блог всеми вышеописанными способами, но если кто-то сломает провайдера, то они вам не помогут.
12.02.2008 в 05:21
прекрасные советы, спасибо, но, как уже написали выше –
самый главный совет почему-то упустили – банальный регулярный backup. и все хакеры со своими пакостями идут лесом.
12.02.2008 в 14:12
А если хостинг отберут?
Или домен спионерят? Пока будете разбираться, все скажут что вас больше нет, и все дела.
12.02.2008 в 15:51
Про бэкап действительно нужно было написать, судя из комментов. Просто счел это настолько банальным пунктом, что не стал его описывать.
А что значит хостинг отберут или домен спионерят?
12.02.2008 в 23:09
Статья интересная и познавательная, все 8 пунктов, пятый пункт хоть и дезинформация, стоят того, чтобы их прочитать и принять советы.
13.02.2008 в 00:50
5-й пункт, совсем не дезинформация.
Попробуйте в разных блогах открывать эту папочку, я думаю что найдутся те у которых она не закрыта.
02.03.2008 в 07:29
Огромное спасибо за советы. Через .htaccess разрешил доступ к wp-admin только для моего IP и сплю спокойно.
23.06.2008 в 23:15
[...]должен быть не короче 6 символов и содержать буквы и цифры. Желательно изменять его если не каждый месяц, то раз в 3 месяца точно. [...]
C этим даже у мя проблемки…
28.07.2008 в 12:52
Спасибо!!! Советы очень ценные!!!
03.10.2008 в 10:51
Спасибо большое!
22.01.2009 в 18:56
Хороший дизайн у Вас
22.01.2009 в 19:02
Спасибо!
01.02.2009 в 14:46
Спасибо вам!!!
07.04.2009 в 18:15
у меня ещё никогда блог не взламывали
я вообще не представляю, каким образом его можно взломать
да и мне незачем беспокоиться, потому что сервера то не мои, а хостера
07.04.2009 в 18:26
Опасаться нужно не за сервера, а за данные Вашего блога, потому как при взломе, злоумышленники могут:
1. Удалить все записи.
2. Вставить в шаблон ссылки на вирусные сайты и тп.
В последнюю очередь боятся будут хостеры
20.05.2009 в 22:15
Мне кажется достаточно просто обновлять вордпресс, а остальное имхо параноя
05.06.2009 в 18:58
а на Linux сервер это не более безопасно?
27.06.2009 в 01:59
Никогда бы не подумал, что все так серьезно… Спасибо за информацию.
Пункт #5 надо будет обязательно выполнить.
27.06.2009 в 17:10
Полезные советы! Но еще не забывайте про права доступа. Лишние 777 на всех папках явно еще одна дырка для хакера. Лучше вообще не ставить больше, чем 755 на папки и 666 на файлы. а wp-config.php вообще безопасней всего поставить 644.
30.06.2009 в 05:59
Спасибо за наводку на Login Lockdown – прежде не слышал, поставил
12.07.2009 в 00:48
а я бы вам не рекомендовал торопиться с обновлением. новые версии пошли еще хуже старых, и в смысле защищенности тоже.
04.08.2009 в 23:24
Спасибо за совет!
20.08.2009 в 20:04
Здравствуйте. Дмитрий Донченко РЕСПЕКТ тебе доступно обьясняешь !!!
21.10.2009 в 10:48
помоему данная статья достоина того что задуматься и вспомнить о безопасности
22.10.2009 в 11:07
Да безопасность превыше всего.
24.10.2009 в 10:33
подскажите как в хитачес прописать доступ только по одному айпишнику?
23.11.2009 в 11:48
Сложно сказать это в двух словах, поищите в интернете по любому есть.