Комментарии 51
Некоторые способы достаточно изощренные, но должны пойти на пользу.
Некоторые способы могут показаться параноидальными, но как программист могу сказать, это то, что действительно может защитить ваш блог от взлома.
про ssl хорошо, не знал
1. С большой долей вероятности отпадет часть плагинов, т.к. частенько хардкодят путь к wp-content (тоже относится к 2.2)
10. Никто не застрахован от взлома кривых плагинов, более страшный вариант — кто-то ломанет доступ девелопера к SVN и зальет «обновления»
10. Никто не застрахован от взлома кривых плагинов, более страшный вариант — кто-то ломанет доступ девелопера к SVN и зальет «обновления»
Лучше создать блог «Я параноик» и публиковать это туда :D
Большая часть советов, увы, относится к категории "Security through obscurity" и является примером неправильного подхода к усилению безопасности.
К использованию можно рекомендовать только пункты 6, 9 и 10, которые трудно назвать оригинальными, не правда ли?
К использованию можно рекомендовать только пункты 6, 9 и 10, которые трудно назвать оригинальными, не правда ли?
что на счет 2 пункта? думаете стоит паренебрегать правильной(рекоммендуемой разработчиками) настройкой установочных файлов? а поверьте многие даже не подозревают что там есть такие поля…
установочных=конфигурационных
Рекомендованные разработчиками настройки не обязаны являться правильными. JFYI.
С советом включить SSL я согласен.
Совет менять префикс имени таблицы — классический пример STO. Самообман, ведущий к ощущению безопасности.
Что же до генерации уникальных ключей, то это должно защитить от чего конкретно? Вопрос без подвоха: я незнаком с исходниками последних версий wp.
С советом включить SSL я согласен.
Совет менять префикс имени таблицы — классический пример STO. Самообман, ведущий к ощущению безопасности.
Что же до генерации уникальных ключей, то это должно защитить от чего конкретно? Вопрос без подвоха: я незнаком с исходниками последних версий wp.
Соглашусь, что возможно вы правы и не все советы из списка значительно увеличивают безопасность. Но не соглашусь что всех их стоит списывать со счетов.
Что же до генерации уникальных ключей, то они должны усиливать шифрование информации в пользовательских кукисах, особенно для пользователей с привилегиями администратора и модератора. И чем-то еще. Подробности нужно смотреть в документации.
Что же до генерации уникальных ключей, то они должны усиливать шифрование информации в пользовательских кукисах, особенно для пользователей с привилегиями администратора и модератора. И чем-то еще. Подробности нужно смотреть в документации.
Ээээ. Какой еще самообман? Нестандартные имена вполне себе могут спасти, если обнаружена sql инъекция для которой разработчиками еще не выпущен хотфикс.
Спасибо, Вы привели хороший пример ложной уверенности. Практически все промышленные СУБД предоставляют средства доступа к метаданным. Соответственно, при наличии sql injection нет ничего катастрофически сложного в том, чтобы получить доступ к таблице, зная не ее полное имя, а только уникальный постфикс. Сложность и осуществимость зависят, разумеется, от характера sql injection.
У примеру, в MySQL можно начать с протаскивания примерно такого запроса:
Соответственно, человек, сменив префикс на уникальный, ощущает ложную безопасность и не будет так спешить ставить фикс.
Спасибо за пример.
У примеру, в MySQL можно начать с протаскивания примерно такого запроса:
select * from information_schema.tables where table_name like '%users'
Соответственно, человек, сменив префикс на уникальный, ощущает ложную безопасность и не будет так спешить ставить фикс.
Спасибо за пример.
НЛО прилетело и опубликовало эту надпись здесь
НЛО прилетело и опубликовало эту надпись здесь
*** К сожалению это до сих пор неприменимо к папке wp-admin.
Ну почему же? Если покопаться… ну, а если не копаться, то «Заменить» во всех файлах и все.
Ну почему же? Если покопаться… ну, а если не копаться, то «Заменить» во всех файлах и все.
если Вордпресс уже стоит есть ли возможность поменять префикс таблиц?
НЛО прилетело и опубликовало эту надпись здесь
а нет такого же руководства для joomla? или там все сложнее?
Насчёт префикса таблиц замечу, что если поставить свой некоторые плагины не работают или тема у меня одна падала от этого
Статья, на мой лично взгляд, тупейший бред для ламеров. Например, пункт 4 — кто-нибудь внятно способен объяснить, для чего это может быть нужно? Если файл wp-config.php находится в одном каталоге с index.php, само собой разумеется, что при обращении к нему «извне» (#$%) он будет обработан mod_php, и содержимое открыто не будет. Какой черт добавлять в .htaccess _лишнюю_ конфигурационную строку?
Советы 6 и 10 вообще очевиднее не придумаешь.
Такое чувство, что вы перевели статью, которую кто-то написал просто чтобы «добить» место на страницах журнала.
Советы 6 и 10 вообще очевиднее не придумаешь.
Такое чувство, что вы перевели статью, которую кто-то написал просто чтобы «добить» место на страницах журнала.
А вы? Как вы защищаете свой блог от взлома? Что используете для этого?
1. Фильтрация XSS (отдельная статья страниц на 5)
2. No direct access alowed (index.html)
3. No direct script access allowed (проверка переменной под дефайном)
4. mysqlrealescapestring
5. intval($page), substr($string,0,255)
6. NO GET
7. htmlspechialchars
8. Disable CGI|PHP для расшаренных папок(картинки и т.п.), субдомены
9. encrypt_cookie
10. Валидация кук с сессиями
Это если вкратце.
1. Фильтрация XSS (отдельная статья страниц на 5)
2. No direct access alowed (index.html)
3. No direct script access allowed (проверка переменной под дефайном)
4. mysqlrealescapestring
5. intval($page), substr($string,0,255)
6. NO GET
7. htmlspechialchars
8. Disable CGI|PHP для расшаренных папок(картинки и т.п.), субдомены
9. encrypt_cookie
10. Валидация кук с сессиями
Это если вкратце.
НЛО прилетело и опубликовало эту надпись здесь
А ограничение по диапазонам IP своего провайдера и мест использования — 99.99% защита
Остальной 0.01% приходится на случаи если взломщик в одной подсети
Остальной 0.01% приходится на случаи если взломщик в одной подсети
Паролить wp_admin через браузер не рекоммендую, ибо тогда флеш-аплодер требует авторизацию отдельно, при этом первая картинка в любом случае не обрабатывается → получается пустой.
НЛО прилетело и опубликовало эту надпись здесь
Рекомендую также удалять лишние файлы. Например, readme.html в корневой папке движка.
В одной из подобных статей (а возможно даже в комментариях к копиям этой же статьи на иных сайтах) активно рекомендовали скрывать отображение текущей версии движка. В том числе через плагины типа Replace WP-Version (http://wordpress.org/extend/plugins/replace-wp-version/). Мера конечно сомнительная, но допустим, что её можно тоже применить, как дополнение.
НО, нет смысла прятать демонстрацию версии WP, если можно обратиться к readme.html и получить эти данные:
www.vanilla-man.com/readme.html
wp-config.ru/readme.html
Этот файл вновь будет появляться всякий раз, как мы будем обновлять версию WP в авторежиме.
В одной из подобных статей (а возможно даже в комментариях к копиям этой же статьи на иных сайтах) активно рекомендовали скрывать отображение текущей версии движка. В том числе через плагины типа Replace WP-Version (http://wordpress.org/extend/plugins/replace-wp-version/). Мера конечно сомнительная, но допустим, что её можно тоже применить, как дополнение.
НО, нет смысла прятать демонстрацию версии WP, если можно обратиться к readme.html и получить эти данные:
www.vanilla-man.com/readme.html
wp-config.ru/readme.html
Этот файл вновь будет появляться всякий раз, как мы будем обновлять версию WP в авторежиме.
А кто как борется со спамом в комментариях? Как можно добавить дополнительные поля в форму для комментария? Может есть такие плагины? Посоветуйте пожалуйста! Спасибо!
В общем, советы по защиет одни и те же, только теперь вам стоит немного потратиться на человека, который за деньги проверит ваш сайт на наличие уязвимостей и сообщит вам результаты.
Хочу предложить Вам в помощь сайт hackmysite.ru для проверки защиты вашего ресурса — по сути фриланс биржа для людей обладающих умением взлома. От вас требуется разместить проект, указать тип уязвимости и бюджет. Дальше просто — ждать предложения выполнить проект от экспертов взлома. Проект молодой и ждёт своих клиентов!
Хочу предложить Вам в помощь сайт hackmysite.ru для проверки защиты вашего ресурса — по сути фриланс биржа для людей обладающих умением взлома. От вас требуется разместить проект, указать тип уязвимости и бюджет. Дальше просто — ждать предложения выполнить проект от экспертов взлома. Проект молодой и ждёт своих клиентов!
Зарегистрируйтесь на Хабре , чтобы оставить комментарий
10 шагов для защиты вашего WordPress блога