Безопасность в WordPress

Как настроить блог на WordPress?

Несколько полезных советов, как защитить свой блог и спать спокойно.

Многие, наверное, помнят по горячим следам недавнюю заморочку с WordPress, когда была обнаружена дыра, позволяющая какому-нибудь пингвину спровоцировать автоматический сброс пароля к блогу. В принципе, зла от этого никакого не было, поскольку пароль сбрасывается только на админский ящик, и если пингвин его не знает и не имеет к нему доступа — то повода для беспокойства никакого. Однако Automattic потрудился и выпустил новую версию WordPress 2.8.4, в которой был предотвращен этот баг.

Программирование это темный лес, но всегда найдется человек, который придумает что-то, что поможет ему превзойти других. Поэтому этот случай привел меня к мысли о том, что неплохо было бы составить небольшую инструкцию по безопасности для WordPress, несколько советов, которые могли бы помочь Вам защитить свой блог от взлома или вреда. Кое-что я обмозговал сам, кое-что мне подсказал мой знакомый, Ryan Imel, который ведет популярный зарубежный блог Theme Playground.com. Ему — большое спасибо. А Вам — желаю воспользоваться хотя бы некоторыми советами и спать спокойно.

1. Обновляйте движок.
В этом совете нет ничего оригинального, однако это не повод о нем умолчать. Некоторые пользователи WordPress думают — зачем нужно обновляться, если у меня и так все хорошо работает? Ответ: безопасность.
Я начал статью как раз с хорошего примера — новая версия движка позволяет защитить блог от уязвимостей, которые злоумышленники откопали в старых версиях. Не секрет, что для взлома сайтов мошенники изучают используемые платформы и выпускают хакерские эксплойты, которые можно купить или скачать в сети. Важно вовремя обновиться, чтобы Ваша текущая версия вордпресса включала последние исправления и заплатки. В этом случае эксплойт будет бесполезен.

2. Обновляйте плагины.
Взломать блог можно не только через файлы движка, но и через плагины, которые Вы используете, — с помощью тех же самых эксплойтов. Однако обновленный плагин может содержать новые решения, которые предотвратят несанкционированный доступ к Вашему блогу. Кроме того значения, которое этот совет имеет для безопасности, также в нем есть и другой смысл — обновление плагинов позволяет снизить нагрузку на сайт. Старые версии могут конфликтовать с новой версией движка и нагнетать нагрузку на сервер.

Кстати, Ryan вообще советует удалять с сервера неиспользуемые темы и плагины…

3. Не участвуйте в подозрительных эстафетах.
В последнее время я вижу, как на некоторых блогах проходит так называемая эстафета — какая-то идея кочует с блога на блог и передается дальше. Одна из последних эстафет — публикация списка используемых плагинов. Я не советую Вам участвовать в такой эстафете, потому что тем самым Вы сами раскрываете пингвинам список своих плагинов, и ему остается только подобрать эксплойт. Конечно, информацию о Ваших плагинах можно увидеть даже в исходном коде страницы, однако, не о далеко не всех. Поэтому лучше не светить эти вещи.

4. Скрывайте директории сайта.
Не помешает Вам скрыть от прямого доступа содержимое директорий блога. Начиная с версии платформы 2.8, в директориях движка по умолчанию расположены чистые файлы index.php, которые помогают предотвратить просмотр содержимого директории. Если Вы по каким то причинам не можете обновиться до текущей версии, создайте пустой файл под названием index.php и загрузите его в такие директории, как
wp-content
themes и
plugins.

5. Скрывайте версию платформы.
Существующие эксплойты к WP отличаются по версиям, соответствующим версиям платформы. Пингвину будет трудно подобрать к Вам эксплойт, если он не знает версии Вашего движка. В обычном порядке узнать эту версию не составляет труда — достаточно открыть исходный код страницы.
<meta name=»generator» content=»WordPress 2.7″ />

Если Вы исключите вывод этого мета-нэйма в шапке, то пингвин не узнает вашу версию и не сможет подобрать к Вашему блогу эксплойт. Для того, чтобы устранить вывод этого тэга, откройте директорию Вашего текущего шаблона WP и вставьте в файл function.php следующий код:
remove_action(‘wp_head’,’wp_generator’);

Полезная мелочь, лично я собираюсь вставлять этот элемент во все шаблоны, которые я делаю на goodwinpress.ru.

6. Создайте действительно сложные пароли.
Тоже вполне обыденная вещь — такое ощущение, об этом было написано еще на скрижалях у Моисея, но толку мало )))) Большинство аккаунтов ломается обычным брутфорсом.
Когда у меня еще была постоянная работа, я от нечего делать решил проверить одну теорию. Включил кип и стал вбивать номера всех своих коллег по работе, а в качестве пароля набирал даты их рождения, например, 31011978 или 310178. Я был удивлен, но за несколько минут из 8 попыток я таким образом я получил доступ к icq 3 своих коллег, в том числе и главного бухгалтера ))) Разумеется, я делал это только в целях эксперимента и больше никогда не входил в чужие аккаунты. Однако это пример того, как обычный брутфорс помогает получить этот доступ. Поэтому никогда не используйте в качестве пароля дату рождения, имя любимого человека, номер телефона и прочие простые вещи. Простые пароли придумываются для того, чтобы их не забыть, однако, не ленитесь, придумайте пароль из латинских букв, цифр и спец символов, подлиннее, и запишите его хоть на последней странице паспорта, а еще лучше используйте для этого специальные менеджеры хранения паролей типа Kee Pass.

Как говорит Ryan, если Вы можете найти свой пароль в словаре, то это плохой пароль.

7. Изменение перфикса
Когда Вы создаете новый блог, то редактируете файл wp-config.php, в котором Вам предлагается изменить перфикс таблиц Вашей базы данных. По умолчанию этот перфикс устанавливается как wp_, и почти все пользователи не меняют его. А это значит, что почти во всех случаях злоумышленник может воспользоваться этим. Измените этот перфикс на что-нибудь другое, хоть просто поменяйте буквы местами, например pw_ ))) Перфикс должен быть коротким, пары латинских букв достаточно, можно добавить цифру, например wp1_ или wp9_ ,но желательно не просто wp_.

ВНИМАНИЕ: этот совет хорош тогда, когда Вы создаете новый блог. Ни в коем случае не меняйте это значение для уже существующего и наполненного блога.

8. Сокрытие файла wp-config.php
wp-config.php является ключем к базе данных и содержит данные доступа к ней. Оказывается, его можно передвинуть, чтобы обмануть того, кто попытается получить к нему доступ. WordPress Codex говорит о том, что файл wp-config.php можно без вреда переместить на один уровень вверх в иерархии Вашего сервера. Более подробно: codex.wordpress.org/Hardening_WordPress#Securing_wp-config.php

Узнать стоимость циркуляционного насоса grundfos вы можете на сайте vodokomfort.ru!

Оставьте комментарий