Ещё 10 уловок для защиты WordPress’a

На сегодняшний день WordPress как никогда популярен. Блоги, мини-сайты, а то и целые порталы — всё это строится на основе такого удобного движка-конструктора как WordPress. Но за удобностью и лёгкостью освоения кроются, прежде всего, вопросы, связанные с безопасностью вашего сайта. Большая распространённость — большее внимание злоумышленников. В этой статье описаны десять простых уловок, которые позволят сделать ваш сайт на WordPress’e ещё более защищённым и позволят спокойнее спать по ночам. 1. Защищаем WordPress от XSS-инъекций В чём проблема? Программисты всегда стараются защитить GET- и POST- запросы, однако, иногда этого недостаточно. Необходимо защитить блог от XSS-инъекций и попыток модификации переменных GLOBALS и _REQUEST. Что делаем? Этот код блокирует использование XSS-инъекций и попытки модифицировать переменные GLOBALS и _REQUEST. Вставьте код в ваш файл .htaccess, расположенный в корне сайта. (И не забывайте бэкапить этот файл перед внесением любых изменений).

Как это работает? Код позволяет проверять все запросы. Если запрос содержит тег или попытку модифицировать значение переменных GLOBALS и _REQUEST, он просто блокирует его и выдаёт пользователю 403-ю ошибку.   2. Убираем показ лишней информации В чём проблема? Если при попытке зайти в админку WordPress’a вы ошибётесь с логином или паролем, вежливый движок скажет вам об этом. Ну а зачем злоумышленнику знать, что пароль, который он пытается подобрать – неверен? Давайте просто уберём вывод этой информации и чуток запутаем его. Что делаем? Открываем functions.php, лежащий в папке с активной темой нашего блога (wp-content/themes/название-вашей-темы/) и добавляем следующий код:

сохраняем файл. Вуаля – больше никаких сообщений. Как это работает? С помощью этого хука мы переписываем […]

Read more

Защита файла wp-config.php в nginx

Автор: Рудюк С . А. https://corp2.net E-Mail: rs@corp2.net В файле wp-config.php CMS WordPress хранит пароли и логины для доступа к базе данных. Это очень безопасная информация. Есть вероятность, что в момент отладки приложения или веб-сервера данный файл может быть доступен злоумышленникам, поэтому, рекомендуется защищать данный файл от доступа в веб-серверах. Защита в веб-сервере Apache указывается в файле .htaccess:

Защита в веб-сервере Nginx:

Автор: Рудюк С . А. https://corp2.net Разработка и создание сайтов, интернет-магазинов, веб-приложений, порталов, лэндингов, мобильных приложений (Киев)

Read more

Безопасность WordPress. 3 самых эффективных способа защиты от брутфорса

По статистике, около 19% от общего количества всех сайтов Интернета, работают на WordPress — это почти каждый пятый сайт. Успех платформы вполне логичен и закономерен, не зря еще 5 лет назад я сделал ставку именно на нее. Но сегодня речь пойдет не о преимуществах WordPress, а о его безопасности. Высокая популярность платформы активизировала злые силы, и вот уже на протяжении нескольких месяцев в Рунете идут массовые атаки на сайты, работающие на WordPress. Атаки настолько серьезные и настолько массовые, что не выдерживают даже самые мощные серверы. Хостинг-провайдеры, конечно, принимают меры, порой даже самые радикальные, вплоть до полной блокировки администраторских консолей WordPress. Поэтому, если вас еще не заблокировали, лучше самостоятельно провести ряд несложный действий по укреплению обороны вашего WordPress. В этой статье я расскажу о самых эффективных способах защиты вашего сайта именно от брутфорса (brute force) — метода подбора и взлома пароля путем перебора всех теоретически возможных вариантов. Так как все последние массовые атаки работают по этому методу. 1. Первое с чего нужно начать — это избавиться от пользователя admin. Если у вас нет пользователя admin, можете сразу переходить к пункту 2. В WordPress начиная с 3 версии это делается очень просто. Достаточно создать нового пользователя, наделить его администраторскими правами, а старого пользователя «admin» — удалить. При его удалении, WordPress предложит вам выбрать нового пользователя, который станет автором публикаций старого администратора. В старых версиях WordPress эта процедура проделывается с помощью пары SQL-запросов:

2. Очень важно обратить внимание на пароль администратора. Лучше если это будет хаотичная комбинация заглавных и строчных букв, знаков […]

Read more

Приложение SECUREit в Lenovo S860

Автор: Рудюк С . А. https://corp2.net E-Mail: rs@corp2.net Нужно признать, что телефон Lenovo S860 (black) оправдал все мои надежды: – Данный телефон дешевле, чем телефоны Samsung Galaxy – мне он обошелся около 3 тыс. грн. – В нем вставляется 2 SIM-карты. – Параметры его конкурируют даже с одно-симковыми телефонами Samsung Galaxy. – Высокое время реальной автономной работы в активном режиме эксплуатации 2-3 дня. – Большой удобный экран. – Есть дополнительное программное обеспечение SECUREit – для защиты информации на телефоне. С помощью SECUREit можно отслеживать трафик, производить удаленную блокировку и удаление данных с телефона, снимать задачи, оптимизировать процессы. защищаться от спама и  т.п.                                 Автор: Рудюк С . А. https://corp2.net Разработка и создание сайтов, интернет-магазинов, веб-приложений, порталов, лэндингов, мобильных приложений (Киев)

Read more

Резервное копирование информации между серверами. Защита информации от рейдеров

Автор: Рудюк С . А. https://corp2.net E-Mail: rs@corp2.net В сегодняшнее псевдо-правовое время, никто не может быть спокоен за безопасность техники и информации на ней. Даже если Вы запрячете информацию в бункер, к Вам могут прийти право-охранительные органы, взломать двери и достать оттуда всю технику. И сделать этом могут без выдвижения обвинения, а лиш назвав Вас “свидетелем”. При этом, свидетелем какого дела и почему изымается – могут не объяснять. Адвокатов – могут не пускать. Подобные ситуации в Украине – не редкость. И в последнее время, в связи с происходящей неразберихой в стране – участились. Изъятие информации – это один из самых серьезных и самых дешевых способов удара по предприятию. Многие компании, после таких действий вынуждены распускать персонал и закрывать свою деятельность. Т.к. даже начислить зарплату или отчитаться в налоговой не могут – вся информация “изъята”. Что же делать, если работать приходится в псевдо-прововом государстве ? Храните информацию распределенно по всему миру, синхронизируйте её между собой, храните в недоступных местах для потенциальных рейдеров и рекетиров. В данной статье рассказывается, как построить распределенную систему хранения информации. Структура сети Итак, рассмотрим примерную структуру хранения информации.   Здесь мы имеем структуру из 5 точек, которые синхронизируются друг с другом через интернет. Данная синхронизация может происходить в разное время, с применением динамических ip-адресов и использованием прокси-серверов из-за чего “вычислить” и уничтожить все узлы сразу – сравнительно проблематично. Не говоря о том, что сервера могут находиться в разных странах, числиться за разными людьми и управляться разными администраторами. Количество узлов делается настолько большим, насколько критична потеря информации и […]

Read more

Программа для шифрования данных Truecrypt

TrueCrypt — отличный инструмент для шифрации Ваших данных. С помощью этой программы Вы формируете криптографический контейнер, который может выглядеть, как любой файл. Или как видео-файл огромных размеров или как файл подкачки. В любом случае, догадаться, что это крипто-контейнер может оказаться достаточно сложно. Вы подключаете с помощью программы True Crypt данный контейнер, вводите пароль и он подключается, как диск. Далее, работаете как с обычным винчестером ни о чем не задумываясь. Данная программа развивалась как свободно распространяемая с открытым исходным кодом. Стала очень популярной, т.к. данная программа кросс-платформенная и работает в основных компьютерных операционных системах: Windows, Linux и MacOS. Но, в один прекрасный момент, разработчик удалил все экземпляры из репозитария. Якобы причиной этого стало то, что есть внутри данной программы уязвимость. Но, думаю, реальная причина — «наезд» правоохранительных органов. Т.к. данная программа работала настолько отлично, что криминал начал её активно использовать… И как результат, спец-службам стало проблематично получать доступ к данным, изымая компьютеры или сервера. Как бы то ни было. Скажу по своему опыту: программа эффективна и оправдывает свое существование. Более того — бесплтна! А если Вы уж так боитесь, что есть «заплатка», можете закачать последний доступный исходный код, проанализировать его и сделать свою компиляцию «без заплаток» Далее, приведу описание данной программы, взятое из свободных источников информации: Описание TrueCrypt TrueCrypt — компьютерная программа для шифрования «на лету» (On-the-fly encryption) для 32- и 64-разрядных операционных систем семейств Microsoft Windows NT 5 и новее (GUI-интерфейс), Linux и Mac OS X. Она позволяет создавать виртуальный зашифрованный логический диск, хранящийся в виде файла. С помощью TrueCrypt […]

Read more