Имхо, лучше статью дополнить. На данный момент у неё около нулевая ценность. Про анализ конкурентов - два слово и "не расскажу". Про дизайн - три слова и три принципа.
DAU similarweb не покажет, если только сам сайт не является продуктом. К тому же, similarweb очень плохо умеет отделять новый заход на сайт одного и того же пользователя от захода на сайт абсолютно нового пользователя. К тому же, цифры сильно приблизительны, поэтому не подходят для сравнения между ответами двух похожими сервисами типа SimilarWeb и Alexa - то есть нужно использовать цифры либо только similarweb либо только Alexa.
Зачем нужна отдельная утилита, если можно выпустить новую фичу в рамках обновлений Windows 10 и Windows 11? Или может это уже запланировали, просто как такой быстрый патч - отдельная утилита, чтобы пользоваться вот прям сейчас.
О, спасибо! Я продакт и хочется отойти от ненавистных "кол-во маленьких букв, кол-во больших букв, кол-во спец. символов" - клиенты хоть и требуют, но колются об эти списки требований к паролям. А нам с ребятами хочется сделать более безопасно и удобно для клиентов - пришли к выводу, что можно сделать настройку с минимальными требованиями сложности пароля по энтропии, но клиентам об этом только в доках скажем - не надо им знать как всё работает. Просто выведем "минимально требуемая сила паролей - очень слабый, слабый, нормальный, сильный, очень сильный".
Ну когда вы пишите коммерческий софт, то вам будут прилетать требования сложности пароля. Мы с ребятами пока думаем, чтобы простынку из настроек "кол-во маленьких букв, кол-во больших букв" превратить в скроллер парольной энтропии. Правда и тут встаёт затык с правильным подсчётом энтропии в либах - попробуйте прочекать пароли типа "passwordpassword" и "ааааааааааааа" в таких энтропийных калькуляторах - они вас разочаруют.
Да я сам продакт, просто в своё время заколебался с этим всем))
Если по пунктам (пример Ubuntu и стека LEMP), то нужно каждое решение в стеке LEMP + Wordpress захарденить, а именно:
L: 1. Нужно захарденить саму ОС (тут помогут CIS Benchmarks и моя любимая утилита Lynis). Конечно же настраиваем Firewall и харденим SSH . Для SSH можно ещё заобфускейтить хендшейк - тыц - как приятное последствие - злоумышленникам придётся ещё и догадаться до magic word, которое может быть вполне рандомным паролем 64 символа (удачи им) 2. Устанавливаем и настраиваем Crowdsec и баунсерами к nginx и файерволу. 3. Можно скриптами захарденить систему. Например тык и тык
E: 1. Применяем systemd service hardening для Nginx (вот статья, чтобы по максимуму засендбоксить - Nginx вообще сможет работать без рут.) 2. Решаем, будем ли использовать WAF на веб-сервере типа modsecurity, либо плагины в самом Wordpress (последнее предпочтительнее). Особенно отпетые параноики установят VPS и вставят туда Snort в режиме IPS с проксированием трафика на VPS c веб-сервером, а на веб-сервер зафигачат туда NAXSI 3. Можно ещё использовать вот такую сборочку Nginx в контейнере 4. Использовать какой-нибудь генератор конфиг файлов типа DO 5. Настроить баунсер Crowdsec для nginx
M: 1. При установке использовать sudo mysql_secure_installation 2. Прошерстить гайды типа такого
P: 1. Чёртов PHP - используй Snuffleupagus и усиленно кури его гайды, ибо можно накосячить 2. Спросить у более опытных людей, что ещё можно сделать с PHP
Wordpress: Дежурное правило - чем меньше плагинов, тем секьюрнее; чем меньше тем установлено, тем лучше. Но, блин, устанавливать всё равно нужно плагины для секьюрити.
Тут я уже устал писать, но нужно: 1. Используй WP Security Ninja и устрани все траблы. Я его потом сносил, ибо дежурное правило. 2. Установи WAF плагин 3. Безопасно храни пароли с помощью Argon2id - можно с помощью плагина , но дежурное правило 4. На куки нужно установить Cookie Flags and Prefixes 5. Взять сканеры Mozilla Observatory и Hardenize и добиться там высоких оценок 6. Вбить в гугл wordpress online security scanner и проверить всеми найденными сканерами. Вообще, самое эффективное решение - взять Burp Security suite , но это дорого и профессионально 7. Куча всего другого, .что я уже не помню
Ребята, оригинал статьи - банальщина, которая из каждого утюга по Wordpress звучит. Особый фейспалм от последнего совета про SSL сертификат - спасибо, капитан Очевидность.
Нет информации о релокейте wp-config.php , нет инфы о харденинге БД и PHP бека (использовании Snuffleupagus и просто редактировании конфигов, ибо создатели PHP не думают о секьюрности по умолчанию), о релокейте панели логина с /wp-login на что-то другое, о ханейпотах (логин-панель перекидываем на другой URL, но оставляем живой пустой URL /wp-login. Любого клиента, кто будет стучаться на /wp-login , можно банить на Х дней тем же Fail2Ban, потому что он точно бот), об интеграции с Crowdsec , который отлично дополняет WAF.
Таких примочек в Wordpress много и статья была бы огонь, если бы была про такие штуки, а не банальщину.
Не хотел бы быть редиской, который катит бочку на воздыхателей, но come on.
Если это демо позиционируется как игра, то гляньте под спойлер и сравните с теми же Death Stranding, Cyberpunk и Detroit. Моментами картинка хороша, но моментами прямо видна 3D графика а-ля Final Fantasy: The Spirits Within.
А если позиционируется, как эдакий игровой фильм, то он вообще не идёт ни в какое сравнение с Final Fantasy Kingsglaive. А картинку с анимационными актёрами заблюрить, чтобы не были видны недостатки, и я могу.
Имхо, лучше статью дополнить. На данный момент у неё около нулевая ценность. Про анализ конкурентов - два слово и "не расскажу". Про дизайн - три слова и три принципа.
Отличная статья, спасибо вам!
DAU similarweb не покажет, если только сам сайт не является продуктом. К тому же, similarweb очень плохо умеет отделять новый заход на сайт одного и того же пользователя от захода на сайт абсолютно нового пользователя. К тому же, цифры сильно приблизительны, поэтому не подходят для сравнения между ответами двух похожими сервисами типа SimilarWeb и Alexa - то есть нужно использовать цифры либо только similarweb либо только Alexa.
Производительность сайта узнавать чтобы что?
Не то чтобы пользовался NAS, но чтобы войти в хранилище в локалке, нужно авторизовываться в облаке - какой-то сюр, господа
Зачем нужна отдельная утилита, если можно выпустить новую фичу в рамках обновлений Windows 10 и Windows 11? Или может это уже запланировали, просто как такой быстрый патч - отдельная утилита, чтобы пользоваться вот прям сейчас.
Вы правы, что должно было насторожить. Однако верификация продавцов - это задача платформы. Если задача не было выполнена - это косяк платформы.
Да маленькая она для сеньёра
Текст сложен - изобилует канцелярщиной, плохо структурирован и похож на поток сознания.
Антивирус Касперского на компах тоже умеет сканировать трафик и имеет веб-антивирус, смысл тогда в шлюзе?
О, спасибо! Я продакт и хочется отойти от ненавистных "кол-во маленьких букв, кол-во больших букв, кол-во спец. символов" - клиенты хоть и требуют, но колются об эти списки требований к паролям. А нам с ребятами хочется сделать более безопасно и удобно для клиентов - пришли к выводу, что можно сделать настройку с минимальными требованиями сложности пароля по энтропии, но клиентам об этом только в доках скажем - не надо им знать как всё работает. Просто выведем "минимально требуемая сила паролей - очень слабый, слабый, нормальный, сильный, очень сильный".
Ну когда вы пишите коммерческий софт, то вам будут прилетать требования сложности пароля. Мы с ребятами пока думаем, чтобы простынку из настроек "кол-во маленьких букв, кол-во больших букв" превратить в скроллер парольной энтропии. Правда и тут встаёт затык с правильным подсчётом энтропии в либах - попробуйте прочекать пароли типа "passwordpassword" и "ааааааааааааа" в таких энтропийных калькуляторах - они вас разочаруют.
Спасибо! Я тот самый пресловутый бизнес-заказчик PO, которому всегда нужны сроки. Попробую этот способ сам
Да я сам продакт, просто в своё время заколебался с этим всем))
Если по пунктам (пример Ubuntu и стека LEMP), то нужно каждое решение в стеке LEMP + Wordpress захарденить, а именно:
L:
1. Нужно захарденить саму ОС (тут помогут CIS Benchmarks и моя любимая утилита Lynis). Конечно же настраиваем Firewall и харденим SSH . Для SSH можно ещё заобфускейтить хендшейк - тыц - как приятное последствие - злоумышленникам придётся ещё и догадаться до magic word, которое может быть вполне рандомным паролем 64 символа (удачи им)
2. Устанавливаем и настраиваем Crowdsec и баунсерами к nginx и файерволу.
3. Можно скриптами захарденить систему. Например тык и тык
E:
1. Применяем systemd service hardening для Nginx (вот статья, чтобы по максимуму засендбоксить - Nginx вообще сможет работать без рут.)
2. Решаем, будем ли использовать WAF на веб-сервере типа modsecurity, либо плагины в самом Wordpress (последнее предпочтительнее). Особенно отпетые параноики установят VPS и вставят туда Snort в режиме IPS с проксированием трафика на VPS c веб-сервером, а на веб-сервер зафигачат туда NAXSI
3. Можно ещё использовать вот такую сборочку Nginx в контейнере
4. Использовать какой-нибудь генератор конфиг файлов типа DO
5. Настроить баунсер Crowdsec для nginx
M:
1. При установке использовать
sudo mysql_secure_installation2. Прошерстить гайды типа такого
P:
1. Чёртов PHP - используй Snuffleupagus и усиленно кури его гайды, ибо можно накосячить
2. Спросить у более опытных людей, что ещё можно сделать с PHP
Wordpress:
Дежурное правило - чем меньше плагинов, тем секьюрнее; чем меньше тем установлено, тем лучше. Но, блин, устанавливать всё равно нужно плагины для секьюрити.
Тут я уже устал писать, но нужно:
1. Используй WP Security Ninja и устрани все траблы. Я его потом сносил, ибо дежурное правило.
2. Установи WAF плагин
3. Безопасно храни пароли с помощью Argon2id - можно с помощью плагина , но дежурное правило
4. На куки нужно установить Cookie Flags and Prefixes
5. Взять сканеры Mozilla Observatory и Hardenize и добиться там высоких оценок
6. Вбить в гугл
wordpress online security scannerи проверить всеми найденными сканерами. Вообще, самое эффективное решение - взять Burp Security suite , но это дорого и профессионально7. Куча всего другого, .что я уже не помню
Ребята, оригинал статьи - банальщина, которая из каждого утюга по Wordpress звучит. Особый фейспалм от последнего совета про SSL сертификат - спасибо, капитан Очевидность.
Нет информации о релокейте
wp-config.php, нет инфы о харденинге БД и PHP бека (использовании Snuffleupagus и просто редактировании конфигов, ибо создатели PHP не думают о секьюрности по умолчанию), о релокейте панели логина с/wp-loginна что-то другое, о ханейпотах (логин-панель перекидываем на другой URL, но оставляем живой пустой URL/wp-login. Любого клиента, кто будет стучаться на/wp-login, можно банить на Х дней тем же Fail2Ban, потому что он точно бот), об интеграции с Crowdsec , который отлично дополняет WAF.Таких примочек в Wordpress много и статья была бы огонь, если бы была про такие штуки, а не банальщину.
О, прикольно. Я просто подвязал OSSEC на сервере мне слать уведомления через ТГ бота - удобная вещь.
Не хотел бы быть редиской, который катит бочку на воздыхателей, но come on.
Если это демо позиционируется как игра, то гляньте под спойлер и сравните с теми же Death Stranding, Cyberpunk и Detroit. Моментами картинка хороша, но моментами прямо видна 3D графика а-ля Final Fantasy: The Spirits Within.
А если позиционируется, как эдакий игровой фильм, то он вообще не идёт ни в какое сравнение с Final Fantasy Kingsglaive. А картинку с анимационными актёрами заблюрить, чтобы не были видны недостатки, и я могу.
Кликай сюда
Да, там в IRC каналах некоторых 2 с половиной гика, которые заходят раз в год
Говорили, что 45% всех найденных уязвимостей в JIT было
Мне, как человеку, врубившем почти все mitigations Windows Security на MS Edge, которые его не ломают, эта новость нравится :)
Единственное место, где рекрутер Лиза чувствует себя Ваней с Тиндера - это Linkedin. Добаляешь всех пачками, а 90% тебя игнорят