• Как в WordPress провести первичную настройку безопасности? Есть какие либо «стандартные» действия на эту тему?
    Как я понимаю могут быть разные пути решения этой проблемы — первая группа — настройка из самого WordPress, вторая — бесплатные и платные плагины, третья — нанять сисадмина, использующего помимо знаний 1 и 2 группу.
    Накидайте по 3-5 решений из первых двух групп для настройки (стандартных или наиболее известных), которые используются в движке?

Просмотр 15 ответов — с 1 по 15 (всего 29)
  • Модератор Yui

    (@fierevere)

    永子

    а что интересно заставляет думать что WP при начальной установке лишен безопасности настолько что заставляет помимо знаменитой «5 минутной» установки производить еще какие-то действия и ставить плагины?

    имхо все остальное «на любителя» и должно использоваться по ситуации

    Модератор Юрій

    (@yube)

    а что интересно заставляет думать…

    Знакомство с Джумлой, я предполагаю 🙂

    Наглая брехня? Я спрашиваю у практиков, главное конечно получать удовольствие, но не таким же образом, восстанавливая сайты?

    http://goo.gl/gsXFOl

    если у вас логин admin с паролем 123, то никакие плагины безопасности вас не спасут. а если судить по этому форуму, то больше проблем пользователям доставляют именно сами плагины безопасности, а не мифические хакеры.

    если у вас всегда последняя версия движка и вы вовремя обновляете плагины, то никаких дополнительных настроек безопасности не требуется. за исключением, конечно, установки сложных паролей на все и вся.

    то больше проблем пользователям доставляют именно сами плагины безопасности,

    а ещё большие — темы с помоек. 🙂

    ЗЫ. Cifeg, показывайте нормальные ссылки, а не редиректные. (Это кстати, напрямую относится к вопросам безопасности)

    Форум подглюкивает, раз 5 редактировал пока нормально сылка не записалась.
    Ну вы предлагаете ничего не делать. Но если есть какие-либо вкусняшки для WordPress, то сами по себе они могут быть источником проблем безопасности, — здесь уже ничего не сделать, только «вовремя обновлять» все что обновляется?

    Модератор Yui

    (@fierevere)

    永子

    абсолютного средства нет. даже в софте который по 20 лет используется практически везде порой находят дыры ну просто эпического масштаба ( да это намек на CVE-2014-6271 )

    Если захотят сломать — сломают, вопрос лишь средств и времени.
    Относитесь к этому проще, самое лучше средство защиты — иметь актуальные бэкапы, лучше несколько, с возможностью отследить изменения и восстановить.

    В остальном же, обычный регулярно обновляемый WP вполне соответствует необходимому уровню, темы-плагины с официального каталога. Кстати недавно взломали iThemes (платные темы)

    Если допекают боты с брютфорсами админки — плагин limit login attempts
    Впрочем боты тупы, могут час долбиться и ловить 301 на другой url http://storage7.static.itmages.ru/i/14/0925/h_1411669131_7867512_4d04a6355c.png

    раз 5 редактировал пока нормально сылка не записалась.

    Я не про «нормально записалась», а про нормальные ссылки. Что бы человек видел куда переходит. НЕ через редиректы!
    Надеюсь, теперь понятно.

    У меня просто весь текст в ссылку пошел, не знаю что опаснее ).

    Ну так из вопроса выбора — средства/время — пускай ломают 500 лет, если больше нечего делать, но не 500 минут! Здесь уже 90% отвалятся, главное что бы не было мучительно больно за время долгого восстановления сайта.

    какая-то истерия пошла со взломами и защиты от злобных какеров
    хоть бы кто спросил про защиту от DoS 🙂

    защиту от DoS 🙂

    DOS сама давно умерла 🙂
    А вот DDoS — это совсем другое дело 🙂
    Но защита от этого — в наше время понятие больше маркетинговое, нежели техническое. И к ВП уж точно отношения не имеет.

    Модератор Yui

    (@fierevere)

    永子

    термин DoS (Denial of Service) тоже имеет право на жизнь,
    если скажем у жертвы WP 3.9.1 или более ранний, то даже с одного атакующего адреса можно вызвать отказ в обслуживании ( http://www.breaksec.com/?p=6362 )
    так что «Distributed» т.е. множественные источники атаки иногда совсем не требуются

    то даже с одного атакующего адреса можно вызвать отказ в обслуживании

    Так то смотря какой хостер 🙂

    Модератор Yui

    (@fierevere)

    永子

    в случае дефектов в ПО — любой хостер, который вовремя не обновил это ПО (или клиент хостера)

    для xml атак по ссылке хватит EDGE соединения, хостер может быть весьма и весьма крутым, т.к. там при минимальных затратах на атаку обьемы пожираемой памяти на сервере достигают десятков гигабайт.

    Yui, я о том, что после прошлогодних событий многие хостеры ограничили кол-во запросов с 1 ИП в ед. времени.
    (ЗЫ. Аглицкого не знаю, потому оценить что там по ссылке не могу.)

Просмотр 15 ответов — с 1 по 15 (всего 29)
  • Тема «Первичная настройка безопасности» закрыта для новых ответов.