Модератор
Yui
(@fierevere)
永子
а что интересно заставляет думать что WP при начальной установке лишен безопасности настолько что заставляет помимо знаменитой «5 минутной» установки производить еще какие-то действия и ставить плагины?
имхо все остальное «на любителя» и должно использоваться по ситуации
Модератор
Юрій
(@yube)
а что интересно заставляет думать…
Знакомство с Джумлой, я предполагаю 🙂
Наглая брехня? Я спрашиваю у практиков, главное конечно получать удовольствие, но не таким же образом, восстанавливая сайты?
http://goo.gl/gsXFOl
если у вас логин admin с паролем 123, то никакие плагины безопасности вас не спасут. а если судить по этому форуму, то больше проблем пользователям доставляют именно сами плагины безопасности, а не мифические хакеры.
если у вас всегда последняя версия движка и вы вовремя обновляете плагины, то никаких дополнительных настроек безопасности не требуется. за исключением, конечно, установки сложных паролей на все и вся.
то больше проблем пользователям доставляют именно сами плагины безопасности,
а ещё большие — темы с помоек. 🙂
ЗЫ. Cifeg, показывайте нормальные ссылки, а не редиректные. (Это кстати, напрямую относится к вопросам безопасности)
Форум подглюкивает, раз 5 редактировал пока нормально сылка не записалась.
Ну вы предлагаете ничего не делать. Но если есть какие-либо вкусняшки для WordPress, то сами по себе они могут быть источником проблем безопасности, — здесь уже ничего не сделать, только «вовремя обновлять» все что обновляется?
Модератор
Yui
(@fierevere)
永子
абсолютного средства нет. даже в софте который по 20 лет используется практически везде порой находят дыры ну просто эпического масштаба ( да это намек на CVE-2014-6271 )
Если захотят сломать — сломают, вопрос лишь средств и времени.
Относитесь к этому проще, самое лучше средство защиты — иметь актуальные бэкапы, лучше несколько, с возможностью отследить изменения и восстановить.
В остальном же, обычный регулярно обновляемый WP вполне соответствует необходимому уровню, темы-плагины с официального каталога. Кстати недавно взломали iThemes (платные темы)
Если допекают боты с брютфорсами админки — плагин limit login attempts
Впрочем боты тупы, могут час долбиться и ловить 301 на другой url http://storage7.static.itmages.ru/i/14/0925/h_1411669131_7867512_4d04a6355c.png
раз 5 редактировал пока нормально сылка не записалась.
Я не про «нормально записалась», а про нормальные ссылки. Что бы человек видел куда переходит. НЕ через редиректы!
Надеюсь, теперь понятно.
У меня просто весь текст в ссылку пошел, не знаю что опаснее ).
Ну так из вопроса выбора — средства/время — пускай ломают 500 лет, если больше нечего делать, но не 500 минут! Здесь уже 90% отвалятся, главное что бы не было мучительно больно за время долгого восстановления сайта.
какая-то истерия пошла со взломами и защиты от злобных какеров
хоть бы кто спросил про защиту от DoS 🙂
защиту от DoS 🙂
DOS сама давно умерла 🙂
А вот DDoS — это совсем другое дело 🙂
Но защита от этого — в наше время понятие больше маркетинговое, нежели техническое. И к ВП уж точно отношения не имеет.
Модератор
Yui
(@fierevere)
永子
термин DoS (Denial of Service) тоже имеет право на жизнь,
если скажем у жертвы WP 3.9.1 или более ранний, то даже с одного атакующего адреса можно вызвать отказ в обслуживании ( http://www.breaksec.com/?p=6362 )
так что «Distributed» т.е. множественные источники атаки иногда совсем не требуются
то даже с одного атакующего адреса можно вызвать отказ в обслуживании
Так то смотря какой хостер 🙂
Модератор
Yui
(@fierevere)
永子
в случае дефектов в ПО — любой хостер, который вовремя не обновил это ПО (или клиент хостера)
для xml атак по ссылке хватит EDGE соединения, хостер может быть весьма и весьма крутым, т.к. там при минимальных затратах на атаку обьемы пожираемой памяти на сервере достигают десятков гигабайт.
Yui, я о том, что после прошлогодних событий многие хостеры ограничили кол-во запросов с 1 ИП в ед. времени.
(ЗЫ. Аглицкого не знаю, потому оценить что там по ссылке не могу.)