Ещё 10 уловок для защиты WordPress’a

На сегодняшний день WordPress как никогда популярен. Блоги, мини-сайты, а то и целые порталы — всё это строится на основе такого удобного движка-конструктора как WordPress. Но за удобностью и лёгкостью освоения кроются, прежде всего, вопросы, связанные с безопасностью вашего сайта. Большая распространённость — большее внимание злоумышленников. В этой статье описаны десять простых уловок, которые позволят сделать ваш сайт на WordPress’e ещё более защищённым и позволят спокойнее спать по ночам. 1. Защищаем WordPress от XSS-инъекций В чём проблема? Программисты всегда стараются защитить GET- и POST- запросы, однако, иногда этого недостаточно. Необходимо защитить блог от XSS-инъекций и попыток модификации переменных GLOBALS и _REQUEST. Что делаем? Этот код блокирует использование XSS-инъекций и попытки модифицировать переменные GLOBALS и _REQUEST. Вставьте код в ваш файл .htaccess, расположенный в корне сайта. (И не забывайте бэкапить этот файл перед внесением любых изменений).

Как это работает? Код позволяет проверять все запросы. Если запрос содержит тег или попытку модифицировать значение переменных GLOBALS и _REQUEST, он просто блокирует его и выдаёт пользователю 403-ю ошибку.   2. Убираем показ лишней информации В чём проблема? Если при попытке зайти в админку WordPress’a вы ошибётесь с логином или паролем, вежливый движок скажет вам об этом. Ну а зачем злоумышленнику знать, что пароль, который он пытается подобрать – неверен? Давайте просто уберём вывод этой информации и чуток запутаем его. Что делаем? Открываем functions.php, лежащий в папке с активной темой нашего блога (wp-content/themes/название-вашей-темы/) и добавляем следующий код:

сохраняем файл. Вуаля – больше никаких сообщений. Как это работает? С помощью этого хука мы переписываем […]

Read more

Защита файла wp-config.php в nginx

Автор: Рудюк С . А. https://corp2.net E-Mail: rs@corp2.net В файле wp-config.php CMS WordPress хранит пароли и логины для доступа к базе данных. Это очень безопасная информация. Есть вероятность, что в момент отладки приложения или веб-сервера данный файл может быть доступен злоумышленникам, поэтому, рекомендуется защищать данный файл от доступа в веб-серверах. Защита в веб-сервере Apache указывается в файле .htaccess:

Защита в веб-сервере Nginx:

Автор: Рудюк С . А. https://corp2.net Разработка и создание сайтов, интернет-магазинов, веб-приложений, порталов, лэндингов, мобильных приложений (Киев)

Read more

Безопасность WordPress. 3 самых эффективных способа защиты от брутфорса

По статистике, около 19% от общего количества всех сайтов Интернета, работают на WordPress — это почти каждый пятый сайт. Успех платформы вполне логичен и закономерен, не зря еще 5 лет назад я сделал ставку именно на нее. Но сегодня речь пойдет не о преимуществах WordPress, а о его безопасности. Высокая популярность платформы активизировала злые силы, и вот уже на протяжении нескольких месяцев в Рунете идут массовые атаки на сайты, работающие на WordPress. Атаки настолько серьезные и настолько массовые, что не выдерживают даже самые мощные серверы. Хостинг-провайдеры, конечно, принимают меры, порой даже самые радикальные, вплоть до полной блокировки администраторских консолей WordPress. Поэтому, если вас еще не заблокировали, лучше самостоятельно провести ряд несложный действий по укреплению обороны вашего WordPress. В этой статье я расскажу о самых эффективных способах защиты вашего сайта именно от брутфорса (brute force) — метода подбора и взлома пароля путем перебора всех теоретически возможных вариантов. Так как все последние массовые атаки работают по этому методу. 1. Первое с чего нужно начать — это избавиться от пользователя admin. Если у вас нет пользователя admin, можете сразу переходить к пункту 2. В WordPress начиная с 3 версии это делается очень просто. Достаточно создать нового пользователя, наделить его администраторскими правами, а старого пользователя «admin» — удалить. При его удалении, WordPress предложит вам выбрать нового пользователя, который станет автором публикаций старого администратора. В старых версиях WordPress эта процедура проделывается с помощью пары SQL-запросов:

2. Очень важно обратить внимание на пароль администратора. Лучше если это будет хаотичная комбинация заглавных и строчных букв, знаков […]

Read more

Защита от хакеров Linux Ubuntu

Чем интересней ресурс, тем выше вероятность того, что взломают сервер. Поэтому, приходится бороться со взломами, искать процессы и т.п. 1. Есть подозрение, что кто-то подключился к рабочему столу Смотрим: who r        tty7         2013-03-11 06:52 (:0) r        pts/2        2013-04-03 05:21 (192.168.3.62) r        pts/6        2013-04-03 08:27 (192.168.3.62) r        pts/5        2013-04-03 07:58 (192.168.3.62) (unknown) tty8         2013-04-03 06:16 (:1) (unknown) tty9         2013-04-03 08:28 (:2) (unknown) tty10        2013-04-03 08:47 (:3) Прежде всего, обращаем внимание на подозрительных пользователей. Так, например, пользователь (unknown) – это странное явление. Значит, нужно его выкинуть и закрыться от возможности его подключения. Выполняем: who -a -p завантаження системи 2013-03-11 06:54 рівень виконання 2 2013-03-11 06:54 ВХІД   tty4         2013-03-11 06:54              1575 id=4 ВХІД   tty5         2013-03-11 06:54              1581 id=5 ВХІД   tty2         2013-03-11 06:54              1588 id=2 ВХІД   tty3         2013-03-11 06:54              1589 id=3 ВХІД   tty6         2013-03-11 06:54              1593 id=6 r        + tty7         2013-03-11 06:52  да        4824 (:0) ВХІД   tty1         2013-03-11 […]

Read more

Приложение SECUREit в Lenovo S860

Автор: Рудюк С . А. https://corp2.net E-Mail: rs@corp2.net Нужно признать, что телефон Lenovo S860 (black) оправдал все мои надежды: – Данный телефон дешевле, чем телефоны Samsung Galaxy – мне он обошелся около 3 тыс. грн. – В нем вставляется 2 SIM-карты. – Параметры его конкурируют даже с одно-симковыми телефонами Samsung Galaxy. – Высокое время реальной автономной работы в активном режиме эксплуатации 2-3 дня. – Большой удобный экран. – Есть дополнительное программное обеспечение SECUREit – для защиты информации на телефоне. С помощью SECUREit можно отслеживать трафик, производить удаленную блокировку и удаление данных с телефона, снимать задачи, оптимизировать процессы. защищаться от спама и  т.п.                                 Автор: Рудюк С . А. https://corp2.net Разработка и создание сайтов, интернет-магазинов, веб-приложений, порталов, лэндингов, мобильных приложений (Киев)

Read more