Как защитить WordPress-блог

28 комментариев

Безопасность WordPressВопрос безопасности обычно возникает уже слишком поздно – когда тот самый жареный петух уже сделал свое черное дело, и блог уже в руках “других людей”. Всё это многие уже проходили на LiveJournal, где до сих пор любят поугадывать ответы на “секретные вопросы”.

А мы будем защищать самое ценное – свой блог на WordPress.

Пункт первый. У бесплатного движка есть недостаток – любой может скачать, поставить и изучить. И изучают, и находят ошибки. Регулярно. Не будем этого ждать – закроем админку Http-авторизацией средствами веб-сервера. Для этого нужно сгенерировать файл .htpasswd, что можно сделать утилитой htpasswd, обычно входящей в состав дистрибутива Apache. Синтаксис её такой:

htpasswd -mbc .htpasswd USER PASSWORD

Где USER – имя пользователя, а PASSWORD – его пароль. Можно поступить и проще – сгенерировать файл .htpasswd более наглядной программкой Htpasswd generator. Полученный файл кладется в папку wp-admin вместе с .htaccess со следующими инструкциями:

AuthUserFile /full/path/to/.htpasswd
AuthType Basic
AuthName “Access_Control”
Require valid-user

Вместо “/full/path/to/” нужно прописать полный путь до файла .htpasswd от корневого каталога. Всё, админку WP не зная этого пароля больше скорее всего никто не откроет. Ну а каким должен быть пароль я уже писал.

Важная поправка: существует плагин AskApache Password Protect, делающий это автоматически.

Пункт второй. Лишаем взломщика информации. В папке с темой есть файл header.php, из которого можно удалить строчку:

<meta name=”generator” content=”WordPress <?php bloginfo(’version’); ?>” />

Но лучше всего её поправить, скажем так:

<meta name=”generator” content=”Serendipity v.1.2-beta4” />

Военная хитрость, пусть развлекаются. Глядишь, после скупки эксплойтов к Serendipity, на WordPress сил и денег не останется… Также упоминания о платформе и версии могут быть в sidebar.php и footer.php – их тоже лучше убрать.

Пункт третий. Нужно знать врага в лицо, займемся аудитом. Плагин Login LockDown запишет все неудачные попытки входа в панель управления WP (с IP и прочей информацией), и заодно заблокирует попытки брутфорса.

Пункт четвертый. Нужно ли говорить о том, что e-mail админа блога должен быть хорошо защищен и находиться под присмотром? Нужно ли говорить о том, что выходящие патчи, заплатки и обновления к WP и плагинам нужно ставить? Надеюсь, не нужно. Вы избавили свой блог от угрозы взлома процентов на 90%.

Жилинский Владимир.



Chaos Constructions 2007

10 комментариев

Chaos Constructions Antique 2007

Внимание! Публикация уже устарела: совсем скоро Chaos Constructions 2010.


Отличная новость ! Фестивалю CC`07 – быть! Преодолев все трудности, фестиваль Chaos Constructions Antique’2007 ($CCA7) состоится 25 и 26 августа всё в том же культурно-выставочном центре “ЕВРАЗИЯ” (Санкт-Петербург, ул.Капитана Воронина,13. В 5 минутах ходьбы от метро Лесная).

В этом году фестиваль проходит под знаком “возвращения к истокам” – слово Antique в названии не случайно. Судя по всему, будет поднято из глубин памяти то время, когда программы были маленькими, а компьютеры – большими.

Что такое Chaos Constructions?

  • Люди. Такие же гики, как и мы. Зарегистрировалось уже около 400 человек. Поводов для общения обещают предостаточно.
  • Техника. Большое количество реально интересных устройств всех эпох и религий.
  • Демо. Большие экраны, видеоролики, демо, фильмы на компьютерную тематику. Интервью, рассказы об интересных программных и аппаратных решениях.
  • Конкурсы. Серьёзные и просто забавные, для профи и для всех желающих.
  • Атмосфера. Для тех, кто придёт со своими компьютерами будет бесплатно предоставлен доступ в Интернет (Wi-Fi) и 220 вольт.

На сайте CC`07 уже открыта регистрация посетителей и участников, есть список часто задаваемых вопросов – FAQ, а ещё я рекомендую ознакомиться с блогом Random – организатора фестиваля. Нужно ли говорить, что я буду?

Жилинский Владимир.




© 2007-2010 Блог интернет-разработчика, автор — Zhilinsky.ru.
При использовании информации ссылка на источник обязательна.