Поддержка Разное О безопасности WordPress

  • Решено suspended

    (@wikicms)


    Последние полгода читаю форумы «некультурных» людей, которые занимаются взломом и заметил одну особенность. Сам по себе движок WP более менее устойчив к атакам, но плагины и Темы оставляют желать лучшего. Заметил еще одну особенность, что даже занимавшиеся взломом только джумлы, например, спокойно перешли только на WP. И это не радует, ведь разработчики плагинов и Тем не так активно обновляют свои творения в свете последних данных об уязвимостях. Я примерно посчитал соотношение как и через что в основном «ломают» юзеров, получилось примерно так:
    30-40% Через заражение компьютера жертвы, то бишь «сам виноват»
    20-30% Известные уязвимости плагинов и Тем
    20% Специально оставленные дыры в плагинах и Темах
    10% Сторонние сервисы, типа тизеров и т.п. (в основном реклама)
    И остальное — низкий уровень знаний самих юзеров, делающих неосознанные глупости… Как-то так.
    Вот, хочу услышать Ваши соображения, примеры, как кто пытается защититься, или хотя бы минимизировать риск взлома.

    Начну с установки. Где-то неделю назад попал на форум, где обсуждался взлом во время установки WP. Основан на том, что если бот во время установки окажется по этому адресу, то как сами понимаете, логин и пароль в легкую попадают к хакерам. Даже описан дорк (вариант запроса) через гугл. Как я понял они выдергивают это из кеша гугла. Работает он или нет, точно не знаю, но с этого дня перед установкой WP я сначала закидываю robots.txt Disallow: / и хоть у меня динамический IP, я блокирую доступ через сеть класса C

    Order Deny,Allow
    Deny from all
    Allow from 100.100.100.

    Максимально закрываю доступ к сайту на время установки.

Просмотр 15 ответов — с 1 по 15 (всего 17)
  • Автор suspended

    (@wikicms)

    Например, последние новости, что ломают хакеры и как, можно посмотреть здесь _www.exploit-db.com Список дырявых плагинов и Тем там всегда представлен.
    Также интересный блог (англ) _blog.unmaskparasites.com

    Добрый день,
    Я не совсем знаю поэтому спрашеваю, это не влияет на поиск ?

    Что не влияет? Не совсем понял. Ведь я же написал

    закрываю доступ к сайту на время установки

    Речь идет о свежей установки (новом сайте). Потом убираете «закрывалку» и все.

    =======
    После установки многие совершают ошибку не создают файл robots.txt А он крайне необходим, например блокировать от поисковых роботов файлы логов — доступа и ошибок. Но и при запрете их индексировать многие совершают ошибку, например файл называется access.log, и многие именно это имя пишут в robots.txt, что согласитесь, упрощает задачу для взломщика. Лучше написать
    Disallow: /access
    тогда будут закрыты все файлы начинающиеся со слова access, единственный недостаток: страницы или поста с таким слагом не должно быть. Или поговорить с хостером, чтобы убрал файлы логов из папки public_html (htdocs).

    Извините не знаю Вашего имени.

    А есть ресурс где об этом написанно по подробнее ? Действительно важно ! или Вы сможете написать по детально что надо сделать до и после, у Вас хорошо получается объяснять -))) коротко и понятно -))

    Спасибо за теплые слова. Ресурса еще нет, только создаю. Думаю (надеюсь), что скоро будет :/
    Я об этом сообщу в твиттере (https://twitter.com/wikicms)

    Предлагаю помощь и а также стану подопытным кроликом -)))
    Поскольку являюсь новичком задавая вопрос о robots.txt знал очень мало а, значит стоит написать по подробнее. -))

    стану подопытным кроликом

    Хех :)) Подопытный кролик это я :)) Остальным только читать придется 🙂
    ===
    Лучше напишите мне на мыло spam собчак wikicms.org
    А то всю ветку заспамим 🙂

    Закрывать через .htaccess сервер на время установки это ты уже совсем перестраховался.
    Другое дело если залил установку на хост то надо довести ее до конца, а не бросать на неделею или месяц.
    после установки ставим средства раннего предупреждения
    http://blog.portal.kharkov.ua/2008/06/27/belavir/
    наверно есть еще какие-то варианты

    а вот со сторонними плагинами и темами эт да большая проблема тут как грица на свой страх и риск

    robots.txt А он крайне необходим

    🙂 Как бэ да, если забыть что его наличие носит рекомендательный характер для ПС 😉

    А вот с динамическим ИП я чёт не понял.. Как Allow from 100.100.100. может помочь закрыть ото всех, кроме себя? Если я не ошибаюсь — и запись-то не верная- где последнее число.

    задавая вопрос о robots.txt знал очень мало а, значит стоит написать по подробнее

    Всё уже написано до нас 🙂 А лучше — первоисточник.

    Да, после установки среди ОЧЕНЬ НЕМНОГИХ необходимых плагов я с недавнего времени ставлю wordpress file monitor plus. Чего и всем рекомендую 😉 Как вариант — можно использовать независимый от CMS скрипт.

    и запись-то не верная

    Почему неверная? Это равнозначно диапазону 100.100.100.0 - 100.100.100.255

    Это равнозначно диапазону 100.100.100.0 — 100.100.100.255

    Ой ли? 😉
    0 — означает «широковещательный» диапазон — от 1 до 255.
    А в ИП-адресе не может быть ПУСТЫХ значений.
    Т.е. желаемый диапазон ИП (открыть для всей подсети) должен выглядеть так: ххх.ххх.ххх.0
    Но повторюсь — оно никак не влияет на доступ с динамическим ИП.

    (И вообще зачем открывать для 100-й сети, если только это не для образца были цифры.)

    ЗЫ. Надо пригласить в топик ЮБ 😉

    оно никак не влияет на доступ с динамическим ИП

    🙂 И вернемся на пять месяцев назад:

    и хоть у меня динамический IP, я блокирую доступ

    именно таким образом

    Order Deny,Allow
    Deny from all
    Allow from 100.100.100.

    То бишь лучше сказать: разрешаю только из свой подсети…
    http://masterhost.ru/support/doc/apache/#access-denied-ip

    То бишь лучше сказать: разрешаю только из свой подсети…

    Ну замысел-то понятен, я вот в реализации засомневался.
    Возможно оно и так будет работать, но везде (в тч и на мастерхосте) написано без последней точки:
    ххх.ххх.ххх

    А насчет динамики — такое более-менее спасает\помогает если твой пров. имеет только один диапазон. А если это нац. оператор (Укртелеком, например) — то это всё практически бестолку 🙂

    ЗЫ. Надо пригласить в топик ЮБ 😉

    А смысл? Только чтобы нагуглил ссылку http://httpd.apache.org/docs/1.3//mod/mod_access.html ? 🙂

Просмотр 15 ответов — с 1 по 15 (всего 17)
  • Тема «О безопасности WordPress» закрыта для новых ответов.