Защита файла wp-config.php в nginx

Автор: Рудюк С . А. https://corp2.net E-Mail: rs@corp2.net В файле wp-config.php CMS WordPress хранит пароли и логины для доступа к базе данных. Это очень безопасная информация. Есть вероятность, что в момент отладки приложения или веб-сервера данный файл может быть доступен злоумышленникам, поэтому, рекомендуется защищать данный файл от доступа в веб-серверах. Защита в веб-сервере Apache указывается в файле .htaccess:

Защита в веб-сервере Nginx:

Автор: Рудюк С . А. https://corp2.net Разработка и создание сайтов, интернет-магазинов, веб-приложений, порталов, лэндингов, мобильных приложений (Киев)

Read more

Безопасность WordPress. 3 самых эффективных способа защиты от брутфорса

По статистике, около 19% от общего количества всех сайтов Интернета, работают на WordPress — это почти каждый пятый сайт. Успех платформы вполне логичен и закономерен, не зря еще 5 лет назад я сделал ставку именно на нее. Но сегодня речь пойдет не о преимуществах WordPress, а о его безопасности. Высокая популярность платформы активизировала злые силы, и вот уже на протяжении нескольких месяцев в Рунете идут массовые атаки на сайты, работающие на WordPress. Атаки настолько серьезные и настолько массовые, что не выдерживают даже самые мощные серверы. Хостинг-провайдеры, конечно, принимают меры, порой даже самые радикальные, вплоть до полной блокировки администраторских консолей WordPress. Поэтому, если вас еще не заблокировали, лучше самостоятельно провести ряд несложный действий по укреплению обороны вашего WordPress. В этой статье я расскажу о самых эффективных способах защиты вашего сайта именно от брутфорса (brute force) — метода подбора и взлома пароля путем перебора всех теоретически возможных вариантов. Так как все последние массовые атаки работают по этому методу. 1. Первое с чего нужно начать — это избавиться от пользователя admin. Если у вас нет пользователя admin, можете сразу переходить к пункту 2. В WordPress начиная с 3 версии это делается очень просто. Достаточно создать нового пользователя, наделить его администраторскими правами, а старого пользователя «admin» — удалить. При его удалении, WordPress предложит вам выбрать нового пользователя, который станет автором публикаций старого администратора. В старых версиях WordPress эта процедура проделывается с помощью пары SQL-запросов:

2. Очень важно обратить внимание на пароль администратора. Лучше если это будет хаотичная комбинация заглавных и строчных букв, знаков […]

Read more

Защита сайта от брутфорса без правки кода

Если Ваш сайт, написанный на базе популярного движка (WordPress, Joomla, Magento и др.), стал сильно тормозить, а в логах доступа сервера Вы видите множество обращений к странице логина или к странице администрирования, знайте — ваш сайт «нашли» боты-брутфорсеры и пытаются подобрать пароль администратора.Если с Вашим паролем всё нормально (он длинный и набран цифрами и буквами в разных регистрах), то Вы можете быть уверены, что брутфорсер его не подберёт. Но сам факт того, что происходит подбор, а тем паче то, что при этом страшно грузится сервер и расходуется трафик (особенно если на вашем хостинге он платный) откровенно говоря, напрягает. Ниже я расскажу как избавиться от этой проблемки очень простым и бескровным способом. Сперва предыстория. Проблемой я озаботился спустя некоторое время после того, как перешёл с «самодельного» движка на WordPress (впрочем, это мог бы быть любой другой более-менее распространённый движок). Запилил первый сайт и уже через неделю увидел в логах огромное количество запросов к странице логина. Поиски в интернете выводили на множество «рецептов», подавляющее большинство которых заключается в переименовании файла wp-login.php и его правке (поскольку адрес самой страницы неоднократно встречается в самом файле wp-login.php и других файлах движка. Но этот способ означает правку ядра WordPress. А это влечёт за собой невозможность получать регулярные автоматические обновления ядра, а также несовместимость с некоторыми плагинами. К тому же способ абсолютно не спасает против тех роботов, которые ищут «дыры» в админке и плагинах, обращаясь с хитроумными параметрами по адресам вида /wp-admin/* В общем, этот способ сразу был отвергнут. А идея моя заключается вот в чём. Нужно завести специальную […]

Read more

Как защитить контент? Подключаем «оригинальные тексты Яндекса»

Всем, здравствуйте! Пришло время смахнуть пыль со своих старых черновиков с заметками и окончательно закрепить «первую линию обороны» молодого сайта. Речь сегодня пойдет о таких понятиях, как «защита контента» и «оригинальные тексты Яндекса». Чтобы сразу же с разбегу внедриться в суть проблемы данной статьи, предлагаю кратко перенестись в материалы первой части моего опуса о том, как защитить в Гугл оригинальность статей. Предположим, Вы создатель и владелец молодого сайта. Большая часть Вашего времени уходит на написание и оформление уникальных статей (оригинальных текстов), обзоров, фотографий, диаграмм и прочих материалов именуемых «контентом». Если Ваши труды действительно интересные и полезные для мира сего, то рано или поздно Вы столкнетесь с такой «чумой XXI» века, как «незаконное копирование контента»… Зачем защищать уникальный контент на своем сайте? Система плагиата проста и до недавнего времени была очень эффективна – в один прекрасный день Вы публикуете на своем ресурсе новую удачную статью. Если Вы успели раннее попасть в поле зрения «пиратов» (воров контента), то в большинстве случаев происходит следующее… Из-за того, что сайт молодой – о мгновенной индексации новых материалов поисковыми системами не может быть и речи. Пока Ваша статья с оригинальным текстом находится «в подвисшем состоянии» (в Интернете она уже доступна, однако в базе данных поисковых систем и выдаче ее еще нет) она копируется и публикуется на другом более «старом» ресурсе. Если сайт вора трудится в Интернете уже довольно давно, имеет хорошие «пузомерки» (показатели тИЦ и PR), а также развитую систему аккаунтов в различных социальных сетях, то индексируется он намного быстрее новенького проекта. Поэтому в 99-ти случаях […]

Read more

Как защитить контент? Подтверждаем авторство в Google

Всем привет! Сегодня мы поговорим о таких важных для каждого начинающего сайтовода понятиях как «контент», «авторский контент», «защита контента» и «авторство Google» (Google Authorship). Начнем разбираться со всем по порядку… Как известно первое и одновременно лучшее средство для продвижения молодого сайта к будущим вершинам — это контент. Что означает это понятие? Если обратиться к всезнающей Википедии, то получим примерно следующее определение «контента»: Контент — это полезное содержимое сайта, информационное наполнение веб-сайта. Под этим термином обычно понимают любой вид информации (текстовый и мультимедийный), которой наполнен сайт. Попросту говоря контент – это наши тексты статей и обзоров, изображения (фотографии, картинки), аудиофайлы и видеофайлы. Даже наш собственный комментарий подходит под это понятие. Первый шаг для защиты уникального контента Для каждого контента есть очень важное условие – он должен быть качественным, уникальным, авторским и полезным для посетителей Вашего ресурса. Создание действительно качественного контента займет немало Ваших человекочасов или приличную сумму денег на толковых копирайтеров. Но этого мало… Мало обработать почву, засеять её семенами и вырастить цветущий сад. Рано или поздно любой красивый сад подвергнется атакам со стороны различных вредителей и недоброжелателей, поэтому сад наш (то бишь авторский контент на своем сайте) необходимо научиться защищать. От кого? Главным образом от наглых воров (еще их называют пиратами), которые копируют наши материалы и выдают их за свои собственные. Первым шагом на пути защиты контента станет подтверждение нашего авторства в крупнейших на территории СНГ поисковых системах: Яндекс (о настройке оригинальных текстов от Яндекса читайте здесь) и Гугл. Благо разработчики этих компаний пришли к пониманию важности идентифицировать автора и […]

Read more

Используем rel=nofollow и noindex для Yandex

В апреле, поисковик Yandex, обрадовал рунетовских веб-мастеров, включением поддержки атрибута rel=»nofollow» в ссылках. Какую пользу это нам — блоггерам принесет? Как правильно прописать атрибут rel=»nofollow» в ссылках и что теперь будет с <noindex>? Давайте попробуем разобраться в этих новинках Яндекса . Небольшая предыстория атрибута rel=nofollow Что такое rel=nofollow? Rel=» « — атрибут в ссылке <a>, указывающий отношение ссылки к целевой странице. Также, есть еще атрибут Rev=» «, указывающий отношение целевой страницы к ссылке, например (ссылка с rev=»sponsor» указывает, что это спонсорская ссылка). Но об этом в следующей статье. Nofollow — статус, говорящий о том,что вы не одобряете данную ссылку. Исходя из вышесказанного: Rel=nofollow — определяет отношение вашей ссылки к целевой странице как не одобряемое. Применительно к поисковикам, данный атрибут указывает индексирующим роботам, что по данной ссылке не следует переходить на целевую страницу. Rel=nofollow был введен и стандартизирован в 2005 году, в ответ на многочисленный ссылочный спам, присутствующий в блогах. Инициатором введения была поисковая система Google. Google, встречая ссылку с данным атрибутом, не следует по данной ссылке и не передает вес PR целевым страницам. Также, данные ссылки не учитывались в расчетах распределения ссылочного веса по ссылкам страницы. Но, так было до 2010 года. На данный момент, Google, также не передает ссылочный вес и не следует по ссылкам с rel=»nofollow», но вот ссылочный вес, внутри страницы, стал распределятся и на эти ссылки но впустую. То есть, если у вашей страницы PR-10 и 10 ссылок на странице, где 5 из них закрыты, то каждая открытая ссылка передавала по 2PR на целевую страницу. Теперь […]

Read more

Настройка кеширования страниц в PHP: XCACHE

Значительного прироста производительности веб-сервера можно достичь, если использовать акселератор PHP-кода. Для его установки необходимо выполнить команду:

Настраиваем кеш: Файл настройки /etc/php5/apache2/conf.d/xcache.ini.

Также можно указать число ядер вашего процессора:

понятно, что это для 2-х процессоров. Источник: http://help.ubuntu.ru/wiki/web-server Разработка и создание сайтов, интернет-магазинов, веб-приложений, порталов, лэндингов, мобильных приложений (Киев)

Read more

Разгоняем WordPress до скорости света

Скорость и отказоустойчивость – одни из тех факторов, что неизменно влияют на популярность вашего ресурса, ведь даже с лучшим в мире контентом медленно работающий сайт будет раздражать читателей и рано или поздно вы их потеряете. В этой статье мы будем оптимизировать самый популярный блоговый движок — WordPress, работающий на PHP. А заодно рассмотрим несколько общих моментов в оптимизации сайтов. 1 Тестируем текущую скорость Чтобы узнать изменилось ли что-нибудь после нашей оптимизации, не помешает замерять для начала текущую скорость загрузки страниц блога, чтоб было с чем сравнивать. Есть несколько инструментов, которые помогут сделать это: 1.1 Pingdom Pingdom проводит быстрое и наглядное тестирование скорости загрузки всех элементов на странице и представляет результаты в виде удобной диаграммы, где можно посмотреть, какие элементы сайта загружаются медленнее чем необходимо и прочие проблемные области. Бенчмарк одного довольно известного ресурса. 1.2 YSlow YSlow– плагин для Firefox, который встраивается в, пожалуй лучший плагин для веб разработчика, Firebug. Он анализирует более 20 факторов, которые влияют на скорость работы сайта и оценивает общую производительность по 100 бальной системе, а каждый отдельный элемент оценкой от A до F. 1.3 Количество запросов и время их выполнения Вставив небольшой кусок PHP кода, можно вывести в футер количество запросов к БД и время, затраченное на их выполнение. <?php echo get_num_queries(); ?> queries in <?php timer_stop(1); ?> seconds.   2 Web Hosting Хотите верьте, хотите — нет, но веб хостинг одна из важнейших деталей, влияющих на производительность блога. Не вдаваясь в подробности, вот очень простая характеристика наиболее популярных типов хостинга, которая поможет вам примерно оценить нагрузку […]

Read more

Правила Mod_Rewrite для плагина WordPress WP Super Cache

Автор: Рудюк С . А. https://corp2.net E-Mail: rs@corp2.net Для корректной работы плагина WP Super Cache при включенной опции (которая рекомендуется по умолчанию) mod_rewrite необходимо в .htaccess сайта внести такие изменения:

Автор: Рудюк С . А. https://corp2.net Разработка и создание сайтов, интернет-магазинов, веб-приложений, порталов, лэндингов, мобильных приложений (Киев)

Read more

Попытка создать почти идеальный htaccess №2

Конфиг .htaccess:

  Используемые модули mod_headers mod_setenvif mod_deflate mod_filter mod_expires mod_rewrite mod_autoindex Анализ демонстрационной версии блога на фреймворке Yii инструментом Google PageSpeed Tool (кликабельно) До использования .htaccess: После использования .htaccess: А так же график загрузки и демонстрация работы сжатия До: После:   Количество передаваемых данных уменьшилось на 84,27 килобайт (меньше в 2.6 раз). Так же мы получаем более тонкое управление кэшированием и некоторые фиксы. Источник: http://habrahabr.ru/sandbox/55709/ Разработка и создание сайтов, интернет-магазинов, веб-приложений, порталов, лэндингов, мобильных приложений (Киев)

Read more
1 17 18 19 20 21 36