Вопрос безопасности обычно возникает уже слишком поздно – когда тот самый жареный петух уже сделал свое черное дело, и блог уже в руках “других людей”. Всё это многие уже проходили на LiveJournal, где до сих пор любят поугадывать ответы на “секретные вопросы”.

А мы будем защищать самое ценное – свой блог на WordPress.

Пункт первый. У бесплатного движка есть недостаток – любой может скачать, поставить и изучить. И изучают, и находят ошибки. Регулярно. Не будем этого ждать – закроем админку Http-авторизацией средствами веб-сервера. Для этого нужно сгенерировать файл .htpasswd, что можно сделать утилитой htpasswd, обычно входящей в состав дистрибутива Apache. Синтаксис её такой:

htpasswd -mbc .htpasswd USER PASSWORD

Где USER – имя пользователя, а PASSWORD – его пароль. Можно поступить и проще – сгенерировать файл .htpasswd более наглядной программкой Htpasswd generator. Полученный файл кладется в папку wp-admin вместе с .htaccess со следующими инструкциями:

AuthUserFile /full/path/to/.htpasswd
AuthType Basic
AuthName “Access_Control”
Require valid-user

Вместо “/full/path/to/” нужно прописать полный путь до файла .htpasswd от корневого каталога. Всё, админку WP не зная этого пароля больше скорее всего никто не откроет. Ну а каким должен быть пароль я уже писал.

Важная поправка: существует плагин AskApache Password Protect, делающий это автоматически.

Пункт второй. Лишаем взломщика информации. В папке с темой есть файл header.php, из которого можно удалить строчку:

<meta name=”generator” content=”WordPress <?php bloginfo(’version’); ?>” />

Но лучше всего её поправить, скажем так:

<meta name=”generator” content=”Serendipity v.1.2-beta4” />

Военная хитрость, пусть развлекаются. Глядишь, после скупки эксплойтов к Serendipity, на WordPress сил и денег не останется… Также упоминания о платформе и версии могут быть в sidebar.php и footer.php – их тоже лучше убрать.

Пункт третий. Нужно знать врага в лицо, займемся аудитом. Плагин Login LockDown запишет все неудачные попытки входа в панель управления WP (с IP и прочей информацией), и заодно заблокирует попытки брутфорса.

Пункт четвертый. Нужно ли говорить о том, что e-mail админа блога должен быть хорошо защищен и находиться под присмотром? Нужно ли говорить о том, что выходящие патчи, заплатки и обновления к WP и плагинам нужно ставить? Надеюсь, не нужно. Вы избавили свой блог от угрозы взлома процентов на 90%.

Жилинский Владимир.

Знакомый скинул ссылку на свой новый сервис файлообмена – fileGU.RU (ФайлГуру). Ничего нового я для себя там не нашел – обычное файловое хранилище, но есть приятные особенности – быстрая скорость скачивания и отсутствие премиумов. Сразу решил расспросить его о тонкостях сервиса и о бизнес-модели.

Ребята из одной немецкой компании решили сделать проект для своего портфолио и тем самым “убить двух зайцев” – во-первых, разработка проектов не только в Германии, но и в России, а так же моделирование и
программирование системы распределенного хранения файлов. Оказалось, что особенность этой системы заключается в том, что она сама себя мониторит, и в случаях перегрузки, автоматически реплицирует, часто запрашиваемые, файлы на несколько серверов находяшихся в различных ДЦ. После спада нагрузки, она опять удаляет ненужные копии файлов, освобождая тем самым место на дисках под новые.

Некоторые данные об этом файлообменнике:

• позволяет загрузить файл размером до 1Гб.
• суммарная пропускная способность сети составляет на данный момент 5Гбит/сек.
• суммарный размер свободного места составлет 6Тб.

В данный момент, сайт не содержит рекламы, позже там появится контекстная реклама, но разработчики обещают не перегружать сайт баннерами, поп-апами и Flash-рекламой. Зря мы всё-таки тогда совместный проект забросили. ))

Жилинский Владимир.

На Яндекс.Погоде есть ползунок “доставка погоды“, правее и ниже от центра страницы. Он показывает, в каких городах сейчас температура, установленная на ползунке.
При выборе темпереатуры +40 градусов яндекс загадочно намекает, что традиционные закуски — салат «оливье» и селедка «под шубой», а при выборе +50 градусов – открыто заявляет:

Вы жжоте!

А тем временем SMOPro опубликовали топ лучших конкурсов блогосферы.
По-моему, они здорово лажанулись с этим топом – моего конкурса конкурентов нет, а активность на нем и шуму от него было больше, чем от многих из этого топа.

Жилинский Владимир.

Прикрутил к блогу партнерскую панель для регистрации доменов по довольно выгодным ценам.

Цены на данный момент такие:

.RU - 300 рублей (~12$)

А так же: .SU – 500 рублей (~22$) и COM, NET, ORG, BIZ, NAME, INFO, MOBI, EU, WS – 400 рублей (~16$). Домены регистрируются на имя и паспортные данные клиента в автоматическом режиме. Оплата производится с помощью WebMoney и смежных сервисов. Панель управления и регистрация – здесь: Регистрация доменов.

Да, я знаю, что если очень постараться – можно оптом выкупить дешевле, но средняя цена на домены .RU у регистраторов и хостеров держится на отметке 600 рублей. Я предлагаю в 2 раза дешевле.

Жилинский Владимир.

В поисках хорошего хостинга с большим дисковым пространством (нужно 10 Gb) перекопал множество российских и не российских компаний, но к каждому в интернете были какие-то претензии и ругань в их адрес.

Но на ловца, как водится, и зверь бежит. Попросили подбить информацию по хостингу ISPserver.com. Как ни странно, негативных отзывов в сети практически нет, и даже на капризном и циничном форуме оптимизаторов только хорошие отзывы в их адрес. Расположение серверов очень грамотное – на выбор – Америка, Россия или Бельгия. Кто знает, тот поймёт почему именно так, и почему это грамотно.

ISPserver предлагает обычный (виртуальный хостинг), виртуальные сервера (VDS), выделенные сервера, а так же предлагает свое фирменное ПО для управления серверами, которое тоже, кстати, хвалят и судя по всему покупают. Вот теперь думаю – потратить лишние 12 баксов на VDS или ограничиться 10Gb-тарифом виртуального хостинга? Посоветуйте, что-ли.

Пока, кстати, пользуюсь Majordomo.ru (не для этого сайта, для остальных) и вцелом тоже доволен – стабильность приличная. Только места мало…

В общем, на этих ребят и их цены стоит хотя-бы просто посмотреть. Тем более, что “посмотреть” можно бесплатно и даже VDS на пять дней. Когда попробую с ними работать – обязательно отпишусь о результатах.

ISPserver.com: виртуальный хостинг и виртуальные сервера (VDS).

SMOPro: Стоит ли фрилансеру вести блог ? КОНЕЧНО !

Жилинский Владимир.

19 февраля в Санкт-Петербурге пройдёт однодневное мероприятие под названием “Создание защищенной ИТ-инфраструктуры с помощью Microsoft Forefront“.

На этом однодневном мероприятии Рональд Бикелар (Ronald Beekelaar) представит подробный технический обзор продуктов Forefront Client Security, Server Security и Edge Security.

Рональд Бикелар — независимый консультант с обширным опытом в области безопасности на платформе Windows Server, проектирования сетевой инфраструктуры и технологий виртуальных машин, обладатель статусов MCSE, MCT и MVP со специализацией Windows Security. Рональд часто выступает на международных отраслевых мероприятиях, в том числе на Microsoft TechEd, где он рассказывает о таких продуктах и технологиях как IPSec, ISA Server и Virtual Server.

Регистрация на мероприятие премодерируется, но сходить было бы весьма интересно – послушать байки о сетевой безопасности, так сказать, из первых рук.

SMOPro: Пиарить блог? Легко!

Жилинский Владимир.

Вы когда-нибудь интересовались, по каким словам ваш сайт или блог находят люди, приходящие с поисковиков? Иногда от души ржу, просматривая статистику, собранную плагином WP-ShortStat. Но пока мы смеёмся, умные люди используют этот подарок разработчиков браузеров – переменную HTTP_REFERER, в которой всегда содержится эта информация.

Использовать её можно разными путями. В одном из них уже, кажется, с концами запутался Евгений Сергеев, разрабатывая свой “Умный эпиграф“, переоценивший способности рядового блогера.

Некоторые онлайн-магазины используют эти данные для простейших поведенческих механизмов. Например, пользователю, пришедшему по запросу “купить телевизоры”, всё его время пребывания на сайте будет показываться реклама спецпредложений по продаже телевизоров. Это значительно увеличивает конверсию посетителей в покупатели.

Основной поток посетителей (с ПС) любого сайта можно разделить на ветви по нескольким ключевым словам и сделать сайт динамическим в зависимости от того, что искал пользователь. Вот простейший PHP-скрипт для определения ключевых слов, по которым на ваш сайт пришли с Yandex, Google, Altavista,Mail.ru, Rambler и Yahoo.

<?php
if (!is_empty($ref = $_SERVER['HTTP_REFERER']))
{
// $ref="http://go.mail.ru/search?q=%C6%E8%EB%E8%ED%F1%EA%E8%E9"; // проверили, работает.
$uri = parse_url($ref);
$host = isset($uri['host'])?strtolower($uri['host']):'';
parse_str($a = $uri['query'],$query);
if (preg_match('~\.yandex\.ru$~',$host)) {$search_query = $query['text'];}
elseif (preg_match('~\.google~',$host)){$search_query = $query['q'];}
elseif ($host == 'www.altavista.com') {$search_query = $query['q'];}
elseif ($host == 'go.mail.ru') {$search_query = $query['q'];}
elseif ($host == 'www.rambler.ru') {$search_query = $query['words'];}
elseif (preg_match('~\.search.yahoo.com~',$host)) {$search_query = $query['p'];}
else {$search_query = '';}
require("a.charset.php");
$search_query = charset_x_win($search_query);
}
echo $search_query;
?>

Переменную $search_query вместо отображения можно сравнивать с чем-нибудь и на основе результата строить какую-то динамику. Функция charset_x_win из класса a.charset.php просто приводит фразу к правильной русской кодировке. Кстати, если немного поколдовать – можно ещё получить номер страницы выдачи, с которой пришёл пользователь.

А Павел Воронин тем временем написал весьма интересную серию статей о создании стартапа.

Жилинский Владимир.

Wikia Search в своей первой публичной альфа-версии была запущена утром 7 января, о чем заранее сообщил Джимми Уэльс от лица компании Wikia.

Wikia Search – это новая разработка поисковой системы, opensource-решение для организации релевантного поиска на основе свободных программ – Grub в качестве паука (crawler) и Nutch в качестве индексатора.

В Wikia Search используется современные технологии поисковых систем, новые алгоритмы поиска и сортировки данных, индексаторы, фильтры. Впервые в истории поисковых систем (насколько мне известно) исходные коды открыты и доступны для скачивания. Это сделано для того, чтобы программисты смогли усовершенствовать новый поисковик или настроить его под свои конкретные задачи.

Этот проект призван уменьшить зависимость от таких коммерческих поисковых систем, как Google или Yahoo, хотя по словам всё того же Джимми Уэльса, 2-3% от общего числа поисковых запросов в течение ближайшего одного-двух лет будет успехом для проекта.

В разработке Wikia Search основной упор делается на поддержку сообщества. На данный момент пользователей просят сообщать о найденных ошибках в работе поисковика и составлять “краткие описания” для поисковых запросов, в которых может содержаться полезная и уточняющая “человеческая” информация. В дальнейшем роль людей будет только увеличиваться, судя по мелькающим частям будущих механизмов голосования за результаты выдачи и поиска по проверенным сайтам.

Жилинский Владимир.