Как защитить WordPress-блог

19 Янв 2008

Безопасность WordPressВопрос безопасности обычно возникает уже слишком поздно — когда тот самый жареный петух уже сделал свое черное дело, и блог уже в руках «других людей». Всё это многие уже проходили на LiveJournal, где до сих пор любят поугадывать ответы на «секретные вопросы».

А мы будем защищать самое ценное — свой блог на WordPress.

Пункт первый. У бесплатного движка есть недостаток — любой может скачать, поставить и изучить. И изучают, и находят ошибки. Регулярно. Не будем этого ждать — закроем админку Http-авторизацией средствами веб-сервера. Для этого нужно сгенерировать файл .htpasswd, что можно сделать утилитой htpasswd, обычно входящей в состав дистрибутива Apache. Синтаксис её такой:

htpasswd -mbc .htpasswd USER PASSWORD

Где USER — имя пользователя, а PASSWORD — его пароль. Можно поступить и проще — сгенерировать файл .htpasswd более наглядной программкой Htpasswd generator. Полученный файл кладется в папку wp-admin вместе с .htaccess со следующими инструкциями:

AuthUserFile /full/path/to/.htpasswd
AuthType Basic
AuthName “Access_Control”
Require valid-user

Вместо «/full/path/to/» нужно прописать полный путь до файла .htpasswd от корневого каталога. Всё, админку WP не зная этого пароля больше скорее всего никто не откроет. Ну а каким должен быть пароль я уже писал.

Важная поправка: существует плагин AskApache Password Protect, делающий это автоматически.

Пункт второй. Лишаем взломщика информации. В папке с темой есть файл header.php, из которого можно удалить строчку:

<meta name=”generator” content=”WordPress <?php bloginfo(’version’); ?>” />

Но лучше всего её поправить, скажем так:

<meta name=”generator” content=”Serendipity v.1.2-beta4” />

Военная хитрость, пусть развлекаются. Глядишь, после скупки эксплойтов к Serendipity, на WordPress сил и денег не останется… Также упоминания о платформе и версии могут быть в sidebar.php и footer.php — их тоже лучше убрать.

Пункт третий. Нужно знать врага в лицо, займемся аудитом. Плагин Login LockDown запишет все неудачные попытки входа в панель управления WP (с IP и прочей информацией), и заодно заблокирует попытки брутфорса.

Пункт четвертый. Нужно ли говорить о том, что e-mail админа блога должен быть хорошо защищен и находиться под присмотром? Нужно ли говорить о том, что выходящие патчи, заплатки и обновления к WP и плагинам нужно ставить? Надеюсь, не нужно. Вы избавили свой блог от угрозы взлома процентов на 90%.

Жилинский Владимир.






 

KMiNT21     .

Написано 19 января 2008 года в 10:49


В тему про .htaccess: http://blog.kmint21.com/2007/09/20/wordpress-password-protection/ (есть плагин специальный, так что пункт номер 1 упрощается)

 

Жилинcкий Владимир     .

Написано 19 января 2008 года в 14:25


Спасибо, важная поправка, внес в статью. Так действительно удобнее.

 

vova     .

Написано 20 января 2008 года в 04:24


А вот за подобную статью отдельное и огромное спасибо.

 

Gaver     .

Написано 20 января 2008 года в 07:46


а я вот поначалу не защищал свои ВП-блоги специальными мерами…однако после того как у друга увели очень пиаристый блог, пришлось принимать меры :)
без этого сейчас никак

 

Maestro     .

Написано 20 января 2008 года в 11:01


Спасибо, впервые услыша о плагине Login LockDown
Даже не думал, что такой существует.

 

Алексей     .

Написано 20 января 2008 года в 12:53


а вообще были прецеденты взлома блогов? может все это лишнее и достаточно реплицировать БД с инфой ежедневно?

 

Жилинcкий Владимир     .

Написано 20 января 2008 года в 13:04


Вообще были и есть… В ЖЖ это вообще норма — каждый день кого-то нагибают… В WP чаще всего iframe вставляется, но немного другим методом.
Я рекомендую такой метод: ежедневный бэкап базы на мейл плагином и сохранение файловой структуры при изменениях.

 

Алексей     .

Написано 20 января 2008 года в 14:29


ниче се…а интересно iframe блокировку моно сделать в вордпрессе в поле для комменирования? я как то через визуальный редактор вставил ifrmae для Google Map — в результате пост стал не редактируемым )) пришлось удалить…

 

Жилинcкий Владимир     .

Написано 20 января 2008 года в 14:31


Млин… Работает…

 

iPhone-любитель     .

Написано 20 января 2008 года в 15:45


Полезная информация даже при том, что вордпрессом не пользуюсь.

 

Жилинcкий Владимир     .

Написано 20 января 2008 года в 15:55


Разобрался. Короче в WP ифрейм в коментах может использовать только админ. У остальных по дефолту режется.

 

Защита WordPress и о защите публичных CMS в целом     .

Написано 20 января 2008 года в 19:18


[…] .htpasswd — об этом методе хорошо написано в статье Как защитить WordPress-блог чтобы не мучаться в ручную Вам поможет плагинчик WordPress […]

 

Poster     .

Написано 20 января 2008 года в 22:37


Стоит еще и убирать ссылки типа «Вход» :-)
Пробовал зайти в Вашу админку — htaccess пароля не спрашивает

 

Жилинcкий Владимир     .

Написано 21 января 2008 года в 09:09


Ну и что ? =)

 

Maksus     .

Написано 22 января 2008 года в 15:00


Владимир, вот вы изменили генератор, а толку? Всё равно видно, что вы юзаете WordPress. А выдают строки вида , в которых есть «wp-content».

 

Жилинcкий Владимир     .

Написано 22 января 2008 года в 16:25


Да, но во-первых теперь непонятно какая версия, а во-вторых, если будет найдена какая-то уязвимость движка, то автоматическим поиском по мета-тегам блог не зацепит.

 

Банд эрос     .

Написано 23 января 2008 года в 16:33


Все же любые способы защите лучше, чем отсутствие хоть каких-либо. Спасибо за советы, будем пробовать обороняться.

 

Клевый сеошник     .

Написано 24 января 2008 года в 05:17


Спасибо приму к сведению.

 

Сергей Владимирович     .

Написано 26 января 2008 года в 10:06


Не прошло и 5 минут после прочтения статьи как я убрал информацию о версии вордпресса у себя. Спасибо.

 

Ярослав Сергеевич     .

Написано 29 января 2008 года в 14:55


Давно думаю над защитой своего блога. Вы натолкнули на дельные мысли. Спасибо

 

Gert     .

Написано 1 февраля 2008 года в 12:53


Да безопасность привыше всего

 

latteo     .

Написано 1 февраля 2008 года в 16:41


Для .htaccess использую
order deny,allow
deny from all
allow from my_ip
allow from hosting_ip

и пароли вводить не надо:)
Хотя конечно прилепив сюда еще и пароль будет «больше» безопасности

 

BLOOGLE » Blog Archive » Как защитить WordPress-блог     .

Написано 6 февраля 2008 года в 17:15


[…] Читаем статью здесь.  […]

 

gofk     .

Написано 29 февраля 2008 года в 13:21


Спасибо за статью. Полезная информация, есть над чем поразмыслить на досуге.

 

Lecactus     .

Написано 14 апреля 2008 года в 10:25


Одно БОЛЬШОЕ уточнение: то что мы скрываем в коде страницы версию WP — это полдела. Достаточно подписаться на фид блога, или сымитировать подписку переходом по ссылке типа site.ru/feed как мы получим в RSS строчку вроде такой
http://wordpress.org/?v=2.3.3

 

Виктор     .

Написано 13 мая 2008 года в 12:44


Довольно удобно, надо взять на заметку, благодарю!

 

смошник     .

Написано 28 мая 2008 года в 16:53


Очень хорошее и полезное сообщение. Сам недавно искал в интернете данную тему и все обсуждения связанные с ней. Но только тут нашел хороший и качественный и что немаловажно полезный материал. Спасибо автору блога за предоставленную информацию.

 


[…] статье использованы материалы с сайтов: zhilinsky.ru streha.ru kgayzer.info Спасибо авторам!) В рубриках: CMS, […]

Оставить комментарий:

You must be logged in to post a comment.

© 2007-2010 Блог интернет-разработчика, автор — Zhilinsky.ru.
При использовании информации ссылка на источник обязательна.