Вопрос безопасности обычно возникает уже слишком поздно — когда тот самый жареный петух уже сделал свое черное дело, и блог уже в руках «других людей». Всё это многие уже проходили на LiveJournal, где до сих пор любят поугадывать ответы на «секретные вопросы».

А мы будем защищать самое ценное — свой блог на WordPress.

Пункт первый. У бесплатного движка есть недостаток — любой может скачать, поставить и изучить. И изучают, и находят ошибки. Регулярно. Не будем этого ждать — закроем админку Http-авторизацией средствами веб-сервера. Для этого нужно сгенерировать файл .htpasswd, что можно сделать утилитой htpasswd, обычно входящей в состав дистрибутива Apache. Синтаксис её такой:

htpasswd -mbc .htpasswd USER PASSWORD

Где USER — имя пользователя, а PASSWORD — его пароль. Можно поступить и проще — сгенерировать файл .htpasswd более наглядной программкой Htpasswd generator. Полученный файл кладется в папку wp-admin вместе с .htaccess со следующими инструкциями:

AuthUserFile /full/path/to/.htpasswd
AuthType Basic
AuthName “Access_Control”
Require valid-user

Вместо «/full/path/to/» нужно прописать полный путь до файла .htpasswd от корневого каталога. Всё, админку WP не зная этого пароля больше скорее всего никто не откроет. Ну а каким должен быть пароль я уже писал.

Важная поправка: существует плагин AskApache Password Protect, делающий это автоматически.

Пункт второй. Лишаем взломщика информации. В папке с темой есть файл header.php, из которого можно удалить строчку:

<meta name=”generator” content=”WordPress <?php bloginfo(’version’); ?>” />

Но лучше всего её поправить, скажем так:

<meta name=”generator” content=”Serendipity v.1.2-beta4” />

Военная хитрость, пусть развлекаются. Глядишь, после скупки эксплойтов к Serendipity, на WordPress сил и денег не останется… Также упоминания о платформе и версии могут быть в sidebar.php и footer.php — их тоже лучше убрать.

Пункт третий. Нужно знать врага в лицо, займемся аудитом. Плагин Login LockDown запишет все неудачные попытки входа в панель управления WP (с IP и прочей информацией), и заодно заблокирует попытки брутфорса.

Пункт четвертый. Нужно ли говорить о том, что e-mail админа блога должен быть хорошо защищен и находиться под присмотром? Нужно ли говорить о том, что выходящие патчи, заплатки и обновления к WP и плагинам нужно ставить? Надеюсь, не нужно. Вы избавили свой блог от угрозы взлома процентов на 90%.

Жилинский Владимир.

Внимание! Публикация уже устарела: совсем скоро Chaos Constructions 2010.

Отличная новость ! Фестивалю CC`07 — быть! Преодолев все трудности, фестиваль Chaos Constructions Antique’2007 ($CCA7) состоится 25 и 26 августа всё в том же культурно-выставочном центре «ЕВРАЗИЯ» (Санкт-Петербург, ул.Капитана Воронина,13. В 5 минутах ходьбы от метро Лесная).

В этом году фестиваль проходит под знаком «возвращения к истокам» — слово Antique в названии не случайно. Судя по всему, будет поднято из глубин памяти то время, когда программы были маленькими, а компьютеры — большими.

Что такое Chaos Constructions?

• Люди. Такие же гики, как и мы. Зарегистрировалось уже около 400 человек. Поводов для общения обещают предостаточно.
• Техника. Большое количество реально интересных устройств всех эпох и религий.
• Демо. Большие экраны, видеоролики, демо, фильмы на компьютерную тематику. Интервью, рассказы об интересных программных и аппаратных решениях.
• Конкурсы. Серьёзные и просто забавные, для профи и для всех желающих.
• Атмосфера. Для тех, кто придёт со своими компьютерами будет бесплатно предоставлен доступ в Интернет (Wi-Fi) и 220 вольт.

На сайте CC`07 уже открыта регистрация посетителей и участников, есть список часто задаваемых вопросов — FAQ, а ещё я рекомендую ознакомиться с блогом Random — организатора фестиваля. Нужно ли говорить, что я буду?

Жилинский Владимир.