Безопасный блог на WordPress

07.02.2008

Читайте гостевой пост Дмитрия Донченко. Редкий случай, когда у меня в блоге освещаются технические моменты блоггинга. Тем более есть смысл прочитать и взять себе на заметку. Я уже взял.

***
Уже были случаи, когда блоги взламывали и дефейсили (на страничке взломанного блога пишут какую-нибудь гадость или размещают картинку, прописывают рекламные ссылки или еще как-нибудь «шалят»).

В худшем же случае вы можете лишиться всех записей, комментариев и вообще всей информации, которая хранится в базе данных блога. Либо в код блога пропишут вредоносный код, который будет забрасывать вирусы посетителям, ну и еще много всяких неприятностей может случится, если злоумышленники доберутся до вашего блога.

Для того, чтобы такого не случалось, предлагаю побеспокоиться о безопасности автономного блога на WordPress заранее:

  1. Вспомните, когда вы последний раз меняли пароль к панели администрирования вашего блога? Никогда? И еще, пароль к такой важной части вашего блога обязательно должен быть не короче 6 символов и содержать буквы и цифры. Желательно изменять его если не каждый месяц, то раз в 3 месяца точно.
  2. Ограничьте доступ к папке wp-admin. Тогда, даже если злоумышленник каким-то образом раздобыл ваш пароль, при правильно настроенном ограничении доступа попасть в панель администрирования у него не получится.
  3. Ограничение доступа может быть произведено по IP-адресу, если у вас статический IP-адрес, либо с помощью установки дополнительного пароля, на вход в директорию wp-admin. Для этого либо пропишите необходимые настройки в файле .htaccess либо воспользуйтесь плагином AskApache.
  4. Если по какой-то причине у вас не получается ограничить доступ к папке wp-admin по IP-адресу или дополнительному паролю, вы можете установить плагин Login Lockdown который регистрирует неудачные попытки авторизации и после заданного числа, блокирует IP-адрес.
  5. Попробуйте открыть ссылку вида: http://вашблог.ком/wp-content/plugins/, что вы видите? Правильно: вы видите список файликов и папочек, это ваши плагины. Данная информация облегчает задачу по взлому блога, т.к. некоторые из плагинов могут содержать уязвимости. Чтобы больше на ваши плагины никто не смотрел, запретите отображение содержимого папок в файле .htaccess, либо просто создайте пустой файл wp-content/plugins/index.html.
  6. Вы можете убрать строчку «< meta name=”generator” content=”WordPress ” />» из файла header.php в шаблонах блога, это затруднит идентификацию блога и поиск уязвимостей по версии блога, хотя если вы будете следовать следующему совету, эту строку можно не удалять.
  7. Следите за обновлениями плагинов и самого WordPress. Если до этого были найдены какие-то уязвимости, разработчики всегда пытаются исправить их в новых версиях. Сейчас следить за обновлениями не сложно, WordPress сам сообщает вам в панели администрирования, когда появляется новая версия. Ваша задача просто обновить блог.
  8. Сделайте ревизию плагинов и отключите те, которыми вы не пользуетесь.

Это основные советы, которые помогут вам избежать неприятностей и обезопасить свой блог от взлома. Уверен, что их можно дополнить и написать новые методы и способы, пишите!

43 комментария »
Закрыть
E-mail It