Eugene1

показал, как можно «сдергивать» куки, то он сразу перестал открывать другие сайты/вкладки в браузере, когда залогинен на своем сайте. Надеюсь вы не из этой кагорты?

Боюсь, что из этой 🙁
Я почему-то считал, что куки можно сдёрнуть только через ява-скрипт, а он, в свою очередь, ограничен в своих возможностях браузером (если конечно речь не об hta). Браузер не должен JS допускать до других доменов. Поэтому если CMS фильтрует текст через htmlspetialchars(), то уязвимости не должно быть. Раскройте мне глаза чуть шире, а то заинтриговали, да и вообще, для меня тема эта сейчас весьма актуальна.

Поставьте нормальный плагин

1) Какой конкретно плагин явлется нормальным?
2) Как вы отсеиваете нормальные плагины от ненормальных? — подскажите способ.
3) Существуют и другие мнения на данном форуме, в частности мне давали уже ссылки на объёмистые описания комплексных мер безопасности необходимых для функционирования WP. Для осмысления и реализации этх мер нужны недели, если не месяцы. Почитав, я уже начал всерьёз задумываться о том, что создание в DreamWeaver страниц по шаблону является явно менее трудоёмким делом. Тем более, что скрипты и другие рецепты безопасности, как выяснилось, в большинстве своём не работают прямо из коробки. Надо ковырять код содержащий тысячи строк.

К сожалению, правдивой информации о том, сколько требуется времени для настройки WP мне не удалось найти. Первым делом я просто попался на официальную удочку о пятиминутной установке — в результате через пару дней сайт был взломан, хотя я не хранил пароль на компьютере и не делал совсем уж очевидных ошибок. Здесь на форуме меня сориентировали на месяцы работы.
Возможно истина лежит посередине, просто её не спешат открыть. Например, существует «волшебный» плагин, название которого хранится в глубокой тайне…

Поймите, я новичок в WP, единственное, что я успел понять на своей практике — это то, что официальная документация носит рекламный характер, пряча истиное положение дел «под ковёр». Во множестве блогов пишут тоже где как. Такое впечатление, что WP можно изучать только методом тыка.

Если у вас есть свой метод настройки WP, оправдавший себя в течение пары лет, поделитесь им, пожалуйста!

Юрий, спасибо!

Попробуйте формат
allow from 88.26.91

Вот так?

order deny,allow
deny from all
allow from 88.26.91

Так тоже не пускает.

То: Юрий Volontaire
Стал штудировать сайты по вашей ссылке: http://ru.wordpress.org/hosting/
Первым идёт hostland, но там техподдержка пишет что:

Все запускается от имени пользователя

то есть заморочек с правами на папки у меня не будет и дополнительной безопасности тоже. Вы, как мне показалось, этого не одобряете (но в то же время рекомендуете — ссылку даёте) — можете разъяснить подробней?

Кроме того они пишут:

на наших серверах заблокирован ICMP траффик

Что, это должно меня радовать? Ну, публиковали бы хоть отчёты какие-нибудь по Up-time, а то сильно уж засекреченные…

Или я не с той стороны на них смотрю?

Нажимаю на «Править», а мен перебрасывает на:
http://ru.forums.wordpress.org/

Но безопасность надо обеспечивать, образно говоря, на уровне забора, а не закрывая шкафчики на ключик.

Вашими устами, да мёд бы пить!
Я прочитал уже довольно много текстов в том числе по ссылке в этой теме, и далее по ссылкам того сайта.
Но с «забором» у меня ассоциируется только закрытие wp-admin по диапазону IP.
Ну, может быть ещё систематическая проверка файлов по их CRC.
Всё — остальное выглядит довольно мелко, как шкафчики.
Или забор — это так, для красного словца. Всё на шкафчиках основывается?