Безопасность блога на вордпресс
Страницы: 1
Безопасность блога на вордпресс
Когда готовил вордпресс к размещению на хостинге, естественно, думал я о этой самой безопасности. В результате кое-чего почитал, что-то попробовал. Несколько моментов зафиксирую тут, пригодится.

Кое-что скажу, перед тем как. Парадокс, блин. Про безопасность вордпресс, не пишет только ленивый, и я не исключение, и фигли не сделать рубильник глобальный, скрыть версию вордпресс? Это ж, основа, с чего начинается все. Ну ладно, поныл и начнем.

Не люблю я писать такое, тем более про безопасность. Мало того, что мне скучно, так еще не существует двух одинаковых параноиков, которые бы в понятие безопасность впихнули одно и то же. Но подкожный зуд диктует свои условия.

Понятно, что все мы грамотные до безумия, и слушать про унылую безопасность чего-то, будем, когда жареная птица уже клюв поломала в процессе. Мне приходилось наблюдать, как ломались, не взламывались, а просто ломались системы разной важности, и сделал я из этих наблюдений нехитрый вывод – лучше пошевелиться до, чем после. Всегда. И вордпресс тут не исключение. Про безопасность в интернете говорить не приходится, но в своем муравейнике мы можем попытаться снизить плотность негодяев на квадратный байт хоть чуть-чуть, чтоб потом не дергаться. Подергаемся сейчас.

А как дергаться? Честно говоря – непочатый край, этого дерганья. Я всерьез дергаться начал не от запроса «безопасность вордпресс», а от запроса «взломать вордпресс». Кое-какие наблюдения, соответственно опишу.

Если вы попросите на профильном форуме взломать блог на вордпресс, что у вас спросят в первую очередь? Версию у вас спросят. Логично, я бы тоже спросил. А как будут узнавать вашу версию? Про это все читали. Хук поставили, вызов убрали. Тогда пробуем ввести в браузер: блог/feed или зайти через линк агрегатора. Посмотреть на код страницы, поматюкаться, в случае чего. Я поматюкался, к примеру. Пошел, поглядел у других, кто красиво выдает рекомендации о повышении безопасности блога, с угрозами и предупреждениями. Голые короли. 10 из 10 взятых навскидку показывают версии. Скажу сразу, красивого решения я не нашел, если найдете – свистите и хлопайте в ладоши.

UPD: Случайно увидел, что в заголовке файла sitemap.xml, плагин Google Sitemap Generator пишет версию wordpress. Мне вот уже просто интересно, на кой?! Кому это нужно? Дурдом, мля.

Беглый взгляд на код страниц, рассказывает какие плагины стоят, и их родословную. Они вам в виде комментариев очень нужны в коде, ага. А вот фашистам нужны. Фашисты рецепт бяки выдают так: версия вордпресс, что атакуется, и код. Если с вордпресс мы слегка подсуетились, то многие бяки эксплуатируют уязвимости плагинов, так что светить их радостно везде, с точки зрения безопасности, не айс.

Что еще встречалось занятного?

блог/readme.html блог/wp-admin/upgrade.php блог/wp-includes/js/tinymce/wp-mce-help.php

Встретил один блог, вроде все серьезно, враг не пройдет.. И отдал ридми из корня. Там про версию ничего нет, угу.

Дальше видим обращение к служебным папкам, и дерганье файлов. Если папки не закрыты для доступа, то, заголовок отданной страницы wp-mce-help покажет вот что:

Предполагаю, что по этим данным вычислить особенности движка не проблема. Исходник странички выдаваемой по вызову upgrade показывает, приблизительно, то же. Какая ж это безопасность, если все мелкие балбесы об этом толкуют кругом? Прикройте нафиг. Закрывайте служебные папки не только от просмотра, засыпав их пустыми index, или внеся правила в .htaccess. Смотрите, что еще можно дернуть, паролируйте.

Кроме этого, пакостники рекомендуют друг другу смотреть на дизайн: блог/wp-login.php

Страницы визуально отличаются в ветках вордпресс. Недруги фотографируют вход, идут в Release Аrchive качать линейки и сравнивать. Этот файлик главный объект, на начальном этапе, подхода к вашему блогу. Фашистам жизнь будем усложнять. Попутно озадачим скрипты брутофорсные, пусть поциклят вхолостую.

Открываем wp-login чем угодно, что понимает правильную кодировку, и заменяем все вхождения wp-login на то, что нравится, например imba. Сохраняем файл и тут же его переименовываем в imba, после чего в .htacces, в корне вашего блога, вносим правило:

RewriteRule ^login$ блог/imba.php [NC,L]

Предполагается, что у вас хостинг c включенным модулем mod_rewrite. После этого, вход в админку вашего блога – блог/login, при этом обрабатывать вход будет imba. Подстрока подмены не обязательно должна быть «login». Хоть «ku-ku». В общем, пропишите себе в RewriteRule чего угодно, по вкусу. Если прописали, то малолетние балбесы будут получать 404 воочию, или в ответ скрипту.

Что еще занятного рекомендуют фашисты друг другу.. После получения версии, смотря что они собираются делать дальше, иногда им необходимо открыть путь, т.е. узнать структуру расположения вашего вордпресс. Паразиты часто пытаются узнать это сформировав кривой запрос, который вызовет ошибку. Когда phр начинает орать, он покажет полные пути расположения вашего движка. Мы значит, озабоченные прочтением статей про безопасность папки переименовываем, блоги двигаем, а они на все готовенькое от препроцессора идут. Доколе?! Попробуйте закрыть вывод ошибок в phр.ini, втулите туда: display_errors = Off

Если нет доступа к этому файлу, запретите через .htaccess: php_flag display_errors off

Это рекомендуют собаководы от рhр, для улучшения безопасности. Жизнь эта строчка мерзавцам осложняет существенно, впрочем, нам также. Но для себя включать можно.

Что нужно сказать в заключении. Немного банальностей. Безопасность такая штука, которой можно заниматься вечно, это да. Если не прет это дело, то и не надо, но явные дыры не позакрывать глупо, тем более что это от силы полчаса займет. Кое-какие из этих методов лобовые, и не красивые. Кроме того рассчитаны на определенный характер использования вордпресс, вы можете свой использовать по-другому, и у вас вылезут бока просто на ровном месте. Но не делать так как здесь, это не значит не делать ничего. С точки зрения здравого смысла, это ослабление безопасности, а потому чет сделать не помешает.

Кроме того, понимайте – если нужно будет, сломают. Вот если конкретно закажут вас, то сломают. Все что описано выше, это заборчик для пионеров, которым Раневская первая указала дорогу, и мы поддержим ее начинания.

Поэтому бэкап наше все, и кроме этого очень непростой доступ к почте, на которую опирается ваш домен и связь с хостингом. Пароль поставьте человеческий, символов десяток, с разными регистрами. Злобно на плагины поглядите, все ли так нужны? В общем, творчески дуль напихайте всем, кто к вам через хитрые места в гости хочет зайти, пусть побродят в потемках.

Ладно, чет я разговорился. Мелким балбесам напакостили, и с чувством выполненного долга можно заниматься любимыми занятиями.

Будем! И да минёт нас.
Не согласны с моим постом? Опровергните. А сраться много мозгов не надо
З.Ы. Ваш тест на знания
©

Прогон по твиттеру, постинг в 1500 аккунтов
Постинг в твиттер аккаунты, для ускорения индексации ваших сайтов, сателлитов, дорвеев.

Цитата
Алексей Алексеев пишет:
Открываем wp-login чем угодно, что понимает правильную кодировку, и заменяем все вхождения wp-login на то, что нравится, например imba. Сохраняем файл и тут же его переименовываем в imba, после чего в .htacces, в корне вашего блога, вносим правило:

RewriteRule ^login$ блог/imba.php [NC,L]
я не парюсь этим я в htaccess закрываю доступ к этому файлу со всех ипов кроме моего.
И во время брута (а брутить будут железно) вместо 404 ошибки сайт будет отдавать 403
Торопись успеть!!!!


Летние скидки на прогоны - Дешевле только бесплатно ◄ !


Продвижение сателлитами


Цитата
Алексей Алексеев пишет:
Кроме того, понимайте – если нужно будет, сломают.
Меняйте каждый месяц и не парьтесьsmile:)
Страницы: 1
Похожие темы:
Читают тему (гостей: 1, пользователей: 0, из них скрытых: 0)
Новые темыОбъявленияСвободное общение
10:35 Исчезли блоки со страниц 
08:50 Статьи проиндексированы но в выдаче их нет 
08:40 22 сентября 2017 : Текстовый апдейт и обновление базы 
04:11 Апдейт ТИЦ 15 августа 2017 
00:11 Перелинковка страниц 
22:01 Прогон по Твиттеру 
21:19 Ищу шаблон! SOS! 
09:54 Крупные новостные (СМИ) площадки, Яндекс Новости, Google News, анонсы, хорошая посещаемость. 
09:50 Глобальное обновление! Более 1000 площадок под размещение вечных статей + супер АКЦИЯ! 
08:25 рерайтер, копирайт, перевод (англо-рус, рус-англ) 
07:23 Сервис услуг в YouTube, Вконтакте, Instagram, Twitter, Facebook, Одноклассники, Google+ 
07:15 Наполнение сайта контентом - перевод, рерайт, копирайт 
22:16 Majento SiteAnalyzer - бесплатная программа для аудита и анализа сайта 
20:32 Англоязычный женский сайт 
09:55 Не работает опера VPN, что делать? 
09:18 Осторожно! Криптовалюта 
09:04 google adsense просел доход. 
05:27 Создание сайта 
01:39 Кто нибудь работал с recreativ.ru? 
01:35 Странное явление Яндекс директа 
20:25 Делимся понравившейся музыкой