Поддержка Проблемы и решения Дайте несколько простеньких советов о базовой защите сайта

  • Слыхал, что нужно редактировать префикс «wp-» — это правда важно? Может, есть какие-то полезные плагины еще и т.д.

Просмотр 13 ответов — с 1 по 13 (всего 13)
  • Модератор Yui

    (@fierevere)

    ゆい

    что нужно редактировать префикс «wp-»

    овчинка выделки не стоит, потратите время, создадите достаточно неудобств себе, получите несовместимости с некоторыми не очень хорошо написаными плагинами.

    простенькие советы:
    1. не ставить темы и плагины из непроверенных источников
    2. вовремя обновлять плагины, темы и сам WP (хотя для WP на нормальных хостах работает автообновление)
    3. соблюдать «гигиену» на своем компьютере (вирусы и трояны могут воровать пароли и перехватывать трафик с компьютера администратора)
    4. использовать хороший хостинг.
    5. регулярно делать бэкапы и хранить их в надежном месте

    простенькие советы

    СПАСИБО!!

    Слыхал, что нужно редактировать префикс «wp-» — это правда важно?

    1. Не wp-, wp_. Мелочь, но..
    2. Редактировать на существующем сайте не нужно — это приведёт к проблемам. А вот при установке изменять стоит. Но это не ради безопасности, а для лучшего понимания какому сайту принадлежат таблицы. Ну и немного от случайных затираний данных.

    Модератор Yui

    (@fierevere)

    ゆい

    Не wp-, wp_. Мелочь, но..

    вот тут стоит определиться префикс чего именно,
    если таблиц в БД то wp_ изменить его стоит при установке, это мелочь, но тем не менее дает какую-то защиту от SQL иньекций, если таковые вдруг обнаружатся в установленном «добре»

    я при своем ответе восприняла это как префикс путей wp- (wp-content/ в первую очередь), да, можно колдовать с путями, и вообще убирать вплоть до wp-includes (что достаточно трудозатратно и паранойяльно),но (еще раз) овчинка обычно выделки не стоит

    вот тут стоит определиться префикс чего именно,

    Ну обычно речь про префикс базы «советуют». Я так и подумал.
    Чтобы файлы/каталоги переименовывать — это уже за гранью 🙂 (ну разве что встречается ересь про изменение адреса авторизации)

    Модератор Yui

    (@fierevere)

    ゆい

    есть любители пытаться скрыть факт использования WordPress в исходном коде страницы, не ограничивающие себя удалением тега meta generator

    ну разве что встречается ересь про изменение адреса авторизации

    А почему это ересь — изменение wp-login.php на произвольный?

    @fierevere, а в чем смысл менять префиксы? это защита только от дефолтных атак или что-то действительно серьезное произойдет?
    @raikoho, поставь плагин который после 3 неправильных вводов л\п — забанит на ~15 минут.
    @perdyllo, потому что любой адекватный человек все равно найдет страницу входа.

    Модератор Yui

    (@fierevere)

    ゆい

    getandgel , если для sql иньекции требуется знать таблицу, например wp_users, wp_usermeta чтобы создать аккаунт админа, то если был сменен префикс,то параметры по умолчанию не пройдут, т.к.таблицы будут иметь другие имена

    В принципе в паре плагинов такие дыры обнаруживали, боты, которые уязвимости ищут обходом сайтов измененный префикс таблицы точно не найдут.
    Как кстати и страницу входа, если ее изменили.

    WPS Hide Login Простой плагин для смены wp-login и wp-admin на произвольный.

    Отслеживал попытки входа в админку, оказалось боты брутфорс систематически пробуют зайти в админку. Поставил этот плагин и естественно больше никто не пыталя зайти 🙂 Плюс мне на главную трафик 🙂 Плагин переадресует с wp-login.php на главную.
    Есть решения смены адреса входа вручную, но решил плагином всеже пользоваться.

    Плюс мне на главную трафик

    Трафик от тупых ботов, несомненно, ценное приобретение 🙂

    Поделитесь, что, кроме нагрузки на сервер, Вы от этого получили?

    p.s. Прошу прощения за «тупых». Ошибся спросоння. Тупым ботам редиректы до фени.

    • Ответ изменён 2 года, 9 месяцев назад пользователем Юрий. Причина: p.s

    А почему это ересь — изменение wp-login.php на произвольный?

    К перечисленному коллегами я добавлю другую сторону — это ещё и тоже, что и локалхосты и запреты ПКМ/выделения контента при обращении за помощью.

    @fierevere, спасибо за ответ, но если мы говорим об этом серьезно — то это малоэффективные методы. Нормальные сканеры проверяют уязвимости не только на дефолтах.

Просмотр 13 ответов — с 1 по 13 (всего 13)
  • Тема «Дайте несколько простеньких советов о базовой защите сайта» закрыта для новых ответов.