Безопасность
-
актуальны ли еще статьи
https://habrahabr.ru/post/62814/например
>> стало возможным изменять путь к папке wp-content
и дрhttps://habrahabr.ru/post/98083/
http://sonikelf.ru/17-shagov-chtoby-zashhitit-vash-sajt-na-wordpress-ot-xakerov/
и почему в документации нет пункта Безопасность (не говоря уже о самом WP)?есть ли что-то более подробное и актуальное на эту тему?
p.s. плагины не предлагать, желательно изменения в коде или др.способ
ну а если без пл. никак — то — предлагайте, хотя основные уже видел и изучил
p.s.s. интересует все, на эту тему, как отдельный момент — защита файлов (это которые загружены для скачивания, а не сами ф.движка, но и они тоже — отдельной темой)
спасибо.- Тема изменена 8 лет, 4 месяца назад пользователем ☭Gu.
-
http://sonikelf.ru/17-shagov-chtoby-zashhitit-vash-sajt-na-wordpress-ot-xakerov/
Если бы 13й был первым — я бы сразу читать не стал.
Более унылого бреда сложно и придумать : 🙂Защитите файл .htaccessВыглядит немного странным, что кто-то будет менять этот файл, но это самое сердце вашей защиты, поэтому, лучше о нём позаботиться заранее. Заприте каждую дверь, какую сможете. Поместите туда код:
<files .htaccess> order allow, deny deny from all </files>
с 1 по 8й, и 12й — норм. Только..
1й давно на уровнен ВП решён — логин админа (вернее первого юзера. И вот над этим уже стоит подумать) задаётся при установке.
2й Не «необычный», а «безопасный». И данный там пример на 10 символов — не самый удачный.
4й и 5й заголовки отстой, но по тексту — всё верно (я только не согласен насчёт своих велосипедов. Нубам оно ни чему).11й. Здание префикса, отличного от
wp_
(сразу при установке ВП) — не столько безопасность, сколько удобство и снижение рисков случайно поломать. А то, что и как написано в этих фантазия — вероятность 99% поломать сайт.14й в такой редакции только навредит неопытным (а опытней и без этого знают)
16й ну просто рассмешил…
17й 100лет кочующий копипаст. 🙂- Ответ изменён 8 лет, 4 месяца назад пользователем SeVlad.
Так уж лучше как там написано в конце коментов накатить плагин https://wordpress.org/plugins/all-in-one-wp-security-and-firewall
А тут хорошее описание
http://wpnew.ru/sozdanie-bloga/razdel-4-plaginy/all-in-one-wp-security.html- Ответ изменён 8 лет, 4 месяца назад пользователем tolstiy275.
Так уж лучше как там написано в конце коментов накатить плагин
Это тоже спорный вопрос. Зависит и от сервера и от задач сайта и от многого другого.
И кроме «накатить» — нужно знать как его настроить. А если это знаешь — значит знаешь и как сделать без плага. Тем более что это как раз тот случай, когда не каждый плагин одинаково полезен.А тут хорошее описание
Продолжаете читать всякое, вместо изучения матчасти. 🙁 Вы же сисадмин. Безопасность серверов и сетей — это Ваша прямая обязанность. А Вы… в поисках зелёнки, вместо изучения причин болей в животе. 🙁
ЗЫ Я не знаю что там написано — дальше заголовка не читал. Может и хорошая статья по настройке плагина для конкретного сайта.ЗЫ2. Безопасность — это не волшебная таблетка. Это процесс. Постоянный и разный, зависящий от местных условий. Но базовые мероприятия конечно во многом сходные везде. Но их не достаточно.
- Ответ изменён 8 лет, 4 месяца назад пользователем SeVlad. Причина: ЗЫ2
все что ниже исключительно мое мнение и может не совпадать с таковым авторов с хабра или чьим либо еще
1. Переименуйте папку wordpress.
не имеет никакого смысла, если можно определить cms и путь к данным, ценность переименования сводится к 0
2. Усовершенствуйте файл wp-config.php
Ключи безопасностик счастью на новых установках инсталлер делает все это автоматом, если конечно человек не лезет править конфиг руками
Префикс таблиц имеет смысл менять ибо если вдруг где-то как-то обнаружится возможность SQL иньекции — это осложнит жизнь, ну и защитит от ботов взломщиков
SSL — по возможности да.Переместите файл wp-config.php
если он читабелен вебсервером и не блокируется .htaccess — имеет смысл, иногда бывает отваливается php handler, тогда файлы отдаются открытым текстом
5. Удалите учетную запись администратора
сейчас на свежих установках запись admin не создается, однако никто не мешает ботам получить логины ВП и тыкаться по ним
6. Выберите сильный пароль.
очевидно. рекомендация общего плана
7. Защитите папку «wp-admin».
по возможности
8-9-10 — да
вторая статья по сути про то же самое, но в целом использовать то что там написано — стоит, особенно фильтрацию нехороших запросов на уровне вебсервера, до PHP
прятать версии — малоосмысленный шаг, если версии ПО актуальны, точно также как и защита от хотлинкинга имеет смысл только в том случае, когда загрузки ваших картинок с других ресурсов пожирают слишком много трафика. Ватермарка может обеспечить неплохую рекламу сайту если кто-то где-то дал ссылку на картинку на вашем сайте.
sonikelf.ru/17-shagov
опять про то же самое
Избегайте бесплатных тем
Используйте только доверенные сайты, вроде WordPress.orgну конечно же )
Бойтесь плагинов
вредный совет в таком ключе, плагин плагину рознь…
подробного полно, актуального не очень — везде будут жевать и пережевывать одно и то же, потому-что какие-то новые подходы и принципиально новые вези тут не появятся, некоторые будут терять актуальность, как «admin» например
для ленивых конечно есть плагины, но по-моему бездумно их ставить, непонятно как настраивать или не настраивать вообще и считать что сайт в безопасности — вредно и глупо
PS:
собственно это и мотивировало меня доделать уже до готовности перевод iThemes Seccurity aka better wordpress security на русский, чтобы люди хоть на русском видели где и какие галочки тыкать, ну и предупреждения само собой, а то потом приходят на форум, заблокировав сами себяhttps://translate.wordpress.org/locale/ru/default/wp-plugins/better-wp-security
т.к. плагин достаточно интенсивно обновляют, то нужно поддерживать актуальность перевода,
если кто-то решится помочь — очень хорошо.PPS: еще нигде в этих статьях ничего не сказано про безопасность хостинга в целом и компьютера администратора, разве что — «используйте сфтп если он есть» и «проверьте свой компьютер на вирусы»
Этого мало, безопасность — комплексная вещь, если на хостинге стоит что-то древнее самосборное и необновляемое по 5 и более лет, о какой безопасности может идти речь? Если на одном сервере от одного пользователя могут работать на дырявой старой PHP старые дырявые скрипты…Ну и еще такой момент — статьи , особенно на популярные темы на хабре пишутся ради кармы, так что писали , пишут и будут писать одно и то же в небольших вариациях
iThemes Seccurity aka better wordpress security
Решил я глянуть что это за плагин, многими неоднократно восхваляемый. Когда-то давно, наверно. я его уже видел (как и многие другие), но то уже не считается. 😉
И первое же что меня с ходу.. напугало.. да-да именно напугало — это АПИ-ключ. Безопасность сайта (по сути локальной системы) и какой-то ключ, запрашиваемый/проверяемый извне?! Мож и параноик, но «безопасность» и «слив данных куда бы то ни было» — для меня эти вещи несовместимые.Ну всё же бегло глянул на функционал. Как я предполагал — плагин на 99% решает то, что должен решать сервер и пользователь (в конфиге/хтацессе и др). Правда, я не думал что настолько всё… плохо. Честно-честно.
Мой личный вердикт: плагин хорош для неграмотных, тк простыми движениям позволяет повысить уровень безопасности сайта по нек параметрам. Но при этом по большому счёту является вредным, так как создаёт ненужную нагрузку и имеются немалые потенциальные риски по др. параметрам (особенно для тех же неграмотных).
для основного функционала api ключ там не нужен был,
я конечно же ставила плагин, чтобы не переводить такого «монстра» вслепуюНовое! Повысьте уровень безопасности своего сайта, активировав функцию iThemes — Защита от взлома методом полного перебора.
аналог JetPack Protect похоже они добавили в последние 2 мес, в JetPack тоже по сути есть и эквивалент апи ключа, и «слив» данных о всех попытках входа
Альтернатива — локальный банлист и «утопление» попыток авторизации, но централизованные списки конечно тоже имеют право на жизньКак я предполагал — плагин на 99% решает то, что должен решать сервер и пользователь (в конфиге/хтацессе и др)
а ожидалось что-то иное? магии не бывает тут, есть рецепты для ленивых
- Ответ изменён 8 лет, 4 месяца назад пользователем Yui.
а ожидалось что-то иное?
Да особо и нет — я ж так и сказал, что почти всё как и ожидалось. Только не думал что настолько.
А жутьпак — это… боль. 😉
Я бы лично не допустил в репо много плагинов, которые вообще не работают локально и пересылают данные на сайты разрабов (а то и тупо в ифрейме «работают»). Но жутьпак от разработчиков же делает тоже самое..
ЗЫ, разные виджеты СЦ и коды счётчиков не в счёт 😉много плагинов, которые вообще не работают локально
У Jetpack есть и локальный режим: https://jetpack.com/support/development-mode/
У Jetpack есть и локальный режим: https://jetpack.com/support/development-mode/
Ну это конечно хорошо, но всё же в целом в репо множество плагинов, которые гоняют данные к себе. Ещё как-то можно понять бекапы и картинки на CDN — это осознанное решения пользователя где что хранить, но галереи [не]работающие через сайт разработчика. Или опросники или.. не помню уже что, но тоже аналогично работающие. При этом это незаметно, если не углубятся или не разрабатывать локально/с ограничениями (на несуществующих доменах, на закрытых сайтах) — они просто в ифрейме показывают. В админке в тч, эмулируя нормальную работу.
Да и те же бекапы.. Множество бекапных плагинов, как оказалось, просто не работают локально. При том, что локальные бекапы — основной их функционал. Т.е. они требуют соединения с внешними сайтами (разработчиков). Вот зачем.. заставляет задуматься. О безопасности.
define('WP_HTTP_BLOCK_EXTERNAL', true);
на случай глобальной паранойи… даже чистое ядро WP рапортует статистику версий wp,php,mysql
а также список установленых тем и плагинови еще как бы не к WP, но все равно, виджеты соцсетей, кнопки лайк, они тоже «стучат» о всех ваших посетителях, а еще загрузку сайта замедляют, достаточно сильно
на случай глобальной паранойи… даже чистое ядро WP рапортует статистику версий wp,php,mysql
Да это не страшно 🙂 Как и плагины СЦ и тп (тут проблема другого плана — тормоза и траффик прежде всего)
Я не о том же.
Я говорю, что в репо множество плагинов по сути не рабочих (локально) и потенциально опасных. Галереи, бекаппы, ФАКи и пр, для чего абсолютно не нужны внешние сайты. Тем более на слив инфы и нередко, доступа к серверу. Вот это бы хотелось если не ограничивать, то хоть как-то выделять их.ЗЫ.
WP_HTTP_BLOCK_EXTERNAL
не поможет (если ифрейм) или как раз приведёт к неработоспособности многих плагинов.- Ответ изменён 8 лет, 4 месяца назад пользователем SeVlad.
хоть как-то выделять их
вот за это руками и ногами «за»
- Тема «Безопасность» закрыта для новых ответов.