Когда готовил вордпресс к размещению на хостинге, естественно, думал я о этой самой безопасности. В результате кое-чего почитал, что-то попробовал. Несколько моментов зафиксирую тут, пригодится.
Кое-что скажу, перед тем как. Парадокс, блин. Про безопасность вордпресс, не пишет только ленивый, и я не исключение, и фигли не сделать рубильник глобальный, скрыть версию вордпресс? Это ж, основа, с чего начинается все. Ну ладно, поныл и начнем.
Не люблю я писать такое, тем более про безопасность. Мало того, что мне скучно, так еще не существует двух одинаковых параноиков, которые бы в понятие безопасность впихнули одно и то же. Но подкожный зуд диктует свои условия.
Понятно, что все мы грамотные до безумия, и слушать про унылую безопасность чего-то, будем, когда жареная птица уже клюв поломала в процессе. Мне приходилось наблюдать, как ломались, не взламывались, а просто ломались системы разной важности, и сделал я из этих наблюдений нехитрый вывод – лучше пошевелиться до, чем после. Всегда. И вордпресс тут не исключение. Про безопасность в интернете говорить не приходится, но в своем муравейнике мы можем попытаться снизить плотность негодяев на квадратный байт хоть чуть-чуть, чтоб потом не дергаться. Подергаемся сейчас.
А как дергаться? Честно говоря – непочатый край, этого дерганья. Я всерьез дергаться начал не от запроса «безопасность вордпресс», а от запроса «взломать вордпресс». Кое-какие наблюдения, соответственно опишу.
Если вы попросите на профильном форуме взломать блог на вордпресс, что у вас спросят в первую очередь? Версию у вас спросят. Логично, я бы тоже спросил. А как будут узнавать вашу версию? Про это все читали. Хук поставили, вызов убрали. Тогда пробуем ввести в браузер: блог/feed или зайти через линк агрегатора. Посмотреть на код страницы, поматюкаться, в случае чего. Я поматюкался, к примеру. Пошел, поглядел у других, кто красиво выдает рекомендации о повышении безопасности блога, с угрозами и предупреждениями. Голые короли. 10 из 10 взятых навскидку показывают версии. Скажу сразу, красивого решения я не нашел, если найдете – свистите и хлопайте в ладоши.
UPD: Случайно увидел, что в заголовке файла sitemap.xml, плагин Google Sitemap Generator пишет версию wordpress. Мне вот уже просто интересно, на кой?! Кому это нужно? Дурдом, мля.
Беглый взгляд на код страниц, рассказывает какие плагины стоят, и их родословную. Они вам в виде комментариев очень нужны в коде, ага. А вот фашистам нужны. Фашисты рецепт бяки выдают так: версия вордпресс, что атакуется, и код. Если с вордпресс мы слегка подсуетились, то многие бяки эксплуатируют уязвимости плагинов, так что светить их радостно везде, с точки зрения безопасности, не айс.
Что еще встречалось занятного?
блог/readme.html блог/wp-admin/upgrade.php блог/wp-includes/js/tinymce/wp-mce-help.php
Встретил один блог, вроде все серьезно, враг не пройдет.. И отдал ридми из корня. Там про версию ничего нет, угу.
Дальше видим обращение к служебным папкам, и дерганье файлов. Если папки не закрыты для доступа, то, заголовок отданной страницы wp-mce-help покажет вот что:
Предполагаю, что по этим данным вычислить особенности движка не проблема. Исходник странички выдаваемой по вызову upgrade показывает, приблизительно, то же. Какая ж это безопасность, если все мелкие балбесы об этом толкуют кругом? Прикройте нафиг. Закрывайте служебные папки не только от просмотра, засыпав их пустыми index, или внеся правила в .htaccess. Смотрите, что еще можно дернуть, паролируйте.
Кроме этого, пакостники рекомендуют друг другу смотреть на дизайн: блог/wp-login.php
Страницы визуально отличаются в ветках вордпресс. Недруги фотографируют вход, идут в Release Аrchive качать линейки и сравнивать. Этот файлик главный объект, на начальном этапе, подхода к вашему блогу. Фашистам жизнь будем усложнять. Попутно озадачим скрипты брутофорсные, пусть поциклят вхолостую.
Открываем wp-login чем угодно, что понимает правильную кодировку, и заменяем все вхождения wp-login на то, что нравится, например imba. Сохраняем файл и тут же его переименовываем в imba, после чего в .htacces, в корне вашего блога, вносим правило:
RewriteRule ^login$ блог/imba.php [NC,L]
Предполагается, что у вас хостинг c включенным модулем mod_rewrite. После этого, вход в админку вашего блога – блог/login, при этом обрабатывать вход будет imba. Подстрока подмены не обязательно должна быть «login». Хоть «ku-ku». В общем, пропишите себе в RewriteRule чего угодно, по вкусу. Если прописали, то малолетние балбесы будут получать 404 воочию, или в ответ скрипту.
Что еще занятного рекомендуют фашисты друг другу.. После получения версии, смотря что они собираются делать дальше, иногда им необходимо открыть путь, т.е. узнать структуру расположения вашего вордпресс. Паразиты часто пытаются узнать это сформировав кривой запрос, который вызовет ошибку. Когда phр начинает орать, он покажет полные пути расположения вашего движка. Мы значит, озабоченные прочтением статей про безопасность папки переименовываем, блоги двигаем, а они на все готовенькое от препроцессора идут. Доколе?! Попробуйте закрыть вывод ошибок в phр.ini, втулите туда: display_errors = Off
Если нет доступа к этому файлу, запретите через .htaccess: php_flag display_errors off
Это рекомендуют собаководы от рhр, для улучшения безопасности. Жизнь эта строчка мерзавцам осложняет существенно, впрочем, нам также. Но для себя включать можно.
Что нужно сказать в заключении. Немного банальностей. Безопасность такая штука, которой можно заниматься вечно, это да. Если не прет это дело, то и не надо, но явные дыры не позакрывать глупо, тем более что это от силы полчаса займет. Кое-какие из этих методов лобовые, и не красивые. Кроме того рассчитаны на определенный характер использования вордпресс, вы можете свой использовать по-другому, и у вас вылезут бока просто на ровном месте. Но не делать так как здесь, это не значит не делать ничего. С точки зрения здравого смысла, это ослабление безопасности, а потому чет сделать не помешает.
Кроме того, понимайте – если нужно будет, сломают. Вот если конкретно закажут вас, то сломают. Все что описано выше, это заборчик для пионеров, которым Раневская первая указала дорогу, и мы поддержим ее начинания.
Поэтому бэкап наше все, и кроме этого очень непростой доступ к почте, на которую опирается ваш домен и связь с хостингом. Пароль поставьте человеческий, символов десяток, с разными регистрами. Злобно на плагины поглядите, все ли так нужны? В общем, творчески дуль напихайте всем, кто к вам через хитрые места в гости хочет зайти, пусть побродят в потемках.
Ладно, чет я разговорился. Мелким балбесам напакостили, и с чувством выполненного долга можно заниматься любимыми занятиями.
Будем! И да минёт нас.
Кое-что скажу, перед тем как. Парадокс, блин. Про безопасность вордпресс, не пишет только ленивый, и я не исключение, и фигли не сделать рубильник глобальный, скрыть версию вордпресс? Это ж, основа, с чего начинается все. Ну ладно, поныл и начнем.
Не люблю я писать такое, тем более про безопасность. Мало того, что мне скучно, так еще не существует двух одинаковых параноиков, которые бы в понятие безопасность впихнули одно и то же. Но подкожный зуд диктует свои условия.
Понятно, что все мы грамотные до безумия, и слушать про унылую безопасность чего-то, будем, когда жареная птица уже клюв поломала в процессе. Мне приходилось наблюдать, как ломались, не взламывались, а просто ломались системы разной важности, и сделал я из этих наблюдений нехитрый вывод – лучше пошевелиться до, чем после. Всегда. И вордпресс тут не исключение. Про безопасность в интернете говорить не приходится, но в своем муравейнике мы можем попытаться снизить плотность негодяев на квадратный байт хоть чуть-чуть, чтоб потом не дергаться. Подергаемся сейчас.
А как дергаться? Честно говоря – непочатый край, этого дерганья. Я всерьез дергаться начал не от запроса «безопасность вордпресс», а от запроса «взломать вордпресс». Кое-какие наблюдения, соответственно опишу.
Если вы попросите на профильном форуме взломать блог на вордпресс, что у вас спросят в первую очередь? Версию у вас спросят. Логично, я бы тоже спросил. А как будут узнавать вашу версию? Про это все читали. Хук поставили, вызов убрали. Тогда пробуем ввести в браузер: блог/feed или зайти через линк агрегатора. Посмотреть на код страницы, поматюкаться, в случае чего. Я поматюкался, к примеру. Пошел, поглядел у других, кто красиво выдает рекомендации о повышении безопасности блога, с угрозами и предупреждениями. Голые короли. 10 из 10 взятых навскидку показывают версии. Скажу сразу, красивого решения я не нашел, если найдете – свистите и хлопайте в ладоши.
UPD: Случайно увидел, что в заголовке файла sitemap.xml, плагин Google Sitemap Generator пишет версию wordpress. Мне вот уже просто интересно, на кой?! Кому это нужно? Дурдом, мля.
Беглый взгляд на код страниц, рассказывает какие плагины стоят, и их родословную. Они вам в виде комментариев очень нужны в коде, ага. А вот фашистам нужны. Фашисты рецепт бяки выдают так: версия вордпресс, что атакуется, и код. Если с вордпресс мы слегка подсуетились, то многие бяки эксплуатируют уязвимости плагинов, так что светить их радостно везде, с точки зрения безопасности, не айс.
Что еще встречалось занятного?
блог/readme.html блог/wp-admin/upgrade.php блог/wp-includes/js/tinymce/wp-mce-help.php
Встретил один блог, вроде все серьезно, враг не пройдет.. И отдал ридми из корня. Там про версию ничего нет, угу.
Дальше видим обращение к служебным папкам, и дерганье файлов. Если папки не закрыты для доступа, то, заголовок отданной страницы wp-mce-help покажет вот что:
Предполагаю, что по этим данным вычислить особенности движка не проблема. Исходник странички выдаваемой по вызову upgrade показывает, приблизительно, то же. Какая ж это безопасность, если все мелкие балбесы об этом толкуют кругом? Прикройте нафиг. Закрывайте служебные папки не только от просмотра, засыпав их пустыми index, или внеся правила в .htaccess. Смотрите, что еще можно дернуть, паролируйте.
Кроме этого, пакостники рекомендуют друг другу смотреть на дизайн: блог/wp-login.php
Страницы визуально отличаются в ветках вордпресс. Недруги фотографируют вход, идут в Release Аrchive качать линейки и сравнивать. Этот файлик главный объект, на начальном этапе, подхода к вашему блогу. Фашистам жизнь будем усложнять. Попутно озадачим скрипты брутофорсные, пусть поциклят вхолостую.
Открываем wp-login чем угодно, что понимает правильную кодировку, и заменяем все вхождения wp-login на то, что нравится, например imba. Сохраняем файл и тут же его переименовываем в imba, после чего в .htacces, в корне вашего блога, вносим правило:
RewriteRule ^login$ блог/imba.php [NC,L]
Предполагается, что у вас хостинг c включенным модулем mod_rewrite. После этого, вход в админку вашего блога – блог/login, при этом обрабатывать вход будет imba. Подстрока подмены не обязательно должна быть «login». Хоть «ku-ku». В общем, пропишите себе в RewriteRule чего угодно, по вкусу. Если прописали, то малолетние балбесы будут получать 404 воочию, или в ответ скрипту.
Что еще занятного рекомендуют фашисты друг другу.. После получения версии, смотря что они собираются делать дальше, иногда им необходимо открыть путь, т.е. узнать структуру расположения вашего вордпресс. Паразиты часто пытаются узнать это сформировав кривой запрос, который вызовет ошибку. Когда phр начинает орать, он покажет полные пути расположения вашего движка. Мы значит, озабоченные прочтением статей про безопасность папки переименовываем, блоги двигаем, а они на все готовенькое от препроцессора идут. Доколе?! Попробуйте закрыть вывод ошибок в phр.ini, втулите туда: display_errors = Off
Если нет доступа к этому файлу, запретите через .htaccess: php_flag display_errors off
Это рекомендуют собаководы от рhр, для улучшения безопасности. Жизнь эта строчка мерзавцам осложняет существенно, впрочем, нам также. Но для себя включать можно.
Что нужно сказать в заключении. Немного банальностей. Безопасность такая штука, которой можно заниматься вечно, это да. Если не прет это дело, то и не надо, но явные дыры не позакрывать глупо, тем более что это от силы полчаса займет. Кое-какие из этих методов лобовые, и не красивые. Кроме того рассчитаны на определенный характер использования вордпресс, вы можете свой использовать по-другому, и у вас вылезут бока просто на ровном месте. Но не делать так как здесь, это не значит не делать ничего. С точки зрения здравого смысла, это ослабление безопасности, а потому чет сделать не помешает.
Кроме того, понимайте – если нужно будет, сломают. Вот если конкретно закажут вас, то сломают. Все что описано выше, это заборчик для пионеров, которым Раневская первая указала дорогу, и мы поддержим ее начинания.
Поэтому бэкап наше все, и кроме этого очень непростой доступ к почте, на которую опирается ваш домен и связь с хостингом. Пароль поставьте человеческий, символов десяток, с разными регистрами. Злобно на плагины поглядите, все ли так нужны? В общем, творчески дуль напихайте всем, кто к вам через хитрые места в гости хочет зайти, пусть побродят в потемках.
Ладно, чет я разговорился. Мелким балбесам напакостили, и с чувством выполненного долга можно заниматься любимыми занятиями.
Будем! И да минёт нас.
