azs
Постоялец
- Регистрация
- 24 Дек 2007
- Сообщения
- 149
- Реакции
- 147
- Автор темы
- #1
1. Никто не должен рыскать по Вашему серверу
Не используйте следующий код в файле search.php:
<?php echo $_SERVER ['PHP_SELF']; ?>
Вместо него используйте:
<?php bloginfo ('home'); ?>
Закройте от индексации поисковыми системами все папки, начинающиеся с WP- с помощью правила:
Disallow: /wp-*
2. Директории должны быть закрыты от просмотра
Благодаря открытым директориям, злоумышленники могут без проблем разведать, какие плагины Вы используете и какие их версии. Это поможет им написать вредоносный код для возможно уязвимого плагина.
Чтобы этого избежать, создайте пустой index.html файл, и разместите его тут:
wp-content/plugins/index.html
Или же просто добавьте следующую строку в файл .htaccess в корне сайта:
Options All –Indexes
3. Удалите строку, показывающую, какая версия WordPress у Вас установлена
Информации о версии WordPress злоумышленнику достаточно, чтобы совершить удачный взлом Вашего блога. Чтобы этого не случилось, удалите следующую строку из шаблона темы оформления:
<meta name=”generator” content=”WordPress <?php bloginfo(’version’); ?>” /> <!-– leave this for stats please -->
4. Защитите директорию wp-admin
Злоумышленники могут использовать брутфорс-атаки, суть которых заключается в подборе администраторских логина и пароля. Существует несколько решений данной проблемы:
Ограничьте доступ к директории wp-admin по IP. В файле .htaccess прописываются IP, с которых доступ к этой директории открыт, все же остальные игнорируются.
Использование плагина AskApache Password Protect. Данный плагин устанавливает второй эшелон защиты директории wp-admin, запрашивая логин и пароль, установленные Вами, при каждой попытке получить доступ к wp-admin.
Использование плагина Login Lockdown. Фиксирует все IP, пытающиеся получить доступ к директории wp-admin. IP, совершающие ряд неудачных попыток авторизации, автоматически распознаются как брутфорс-атаки и блокируются.
5. Всегда устанавливайте обновления
В обязательном порядке устанавливайте обновления тем оформления, плагинов и виджетов сразу же после их выхода.
6. Делайте регулярные бекапы базы данных и файлов своего блога
Старайтесь ежедневно делать полные бекапы своих блогов. Для бекапа баз данных посоветую плагин - WordPress Database Backup – отличный многофункциональный и удобный плагин.
7. Обновляйте сам движок WordPress по мере выпуска новых версий
Это самое первое, что Вы должны делать, когда выходит новая версия движка. Для упрощения сего процесса порекомендую следующие плагины: Instant Upgrade и Wordpress Automatic Upgrade.
8. Используйте SSH/Shell доступ вместо FTP
Это один из наиболее толковых советов. Если злоумышленник получит данные из Вашего FTP-клиента, находящиеся в незашифрованном виде, то он получит полное управление над всеми файлами на Вашем сервере. Сами понимаете, к каким последствиям это способно привести…
9. Перестаньте беспокоиться о безопасности файла wp-config.php
Обезопасьте логин и пароль от базы данных путем добавления следующей строки в свой корневой файл .htaccess:
<FilesMatch ^wp-config.php$>deny from all</FilesMatch>
10. Защитите свой блог с помощью поистине сложного пароля
Сгенерируйте сложный пароль для доступа к администраторской зоне Вашего блога. Пароль должен содержать как большие, так и маленькие буквы, цифры…
Автор: Noupe
Перевод: Всеволод Козлов
Не используйте следующий код в файле search.php:
<?php echo $_SERVER ['PHP_SELF']; ?>
Вместо него используйте:
<?php bloginfo ('home'); ?>
Закройте от индексации поисковыми системами все папки, начинающиеся с WP- с помощью правила:
Disallow: /wp-*
2. Директории должны быть закрыты от просмотра
Благодаря открытым директориям, злоумышленники могут без проблем разведать, какие плагины Вы используете и какие их версии. Это поможет им написать вредоносный код для возможно уязвимого плагина.
Чтобы этого избежать, создайте пустой index.html файл, и разместите его тут:
wp-content/plugins/index.html
Или же просто добавьте следующую строку в файл .htaccess в корне сайта:
Options All –Indexes
3. Удалите строку, показывающую, какая версия WordPress у Вас установлена
Информации о версии WordPress злоумышленнику достаточно, чтобы совершить удачный взлом Вашего блога. Чтобы этого не случилось, удалите следующую строку из шаблона темы оформления:
<meta name=”generator” content=”WordPress <?php bloginfo(’version’); ?>” /> <!-– leave this for stats please -->
4. Защитите директорию wp-admin
Злоумышленники могут использовать брутфорс-атаки, суть которых заключается в подборе администраторских логина и пароля. Существует несколько решений данной проблемы:
Ограничьте доступ к директории wp-admin по IP. В файле .htaccess прописываются IP, с которых доступ к этой директории открыт, все же остальные игнорируются.
Использование плагина AskApache Password Protect. Данный плагин устанавливает второй эшелон защиты директории wp-admin, запрашивая логин и пароль, установленные Вами, при каждой попытке получить доступ к wp-admin.
Использование плагина Login Lockdown. Фиксирует все IP, пытающиеся получить доступ к директории wp-admin. IP, совершающие ряд неудачных попыток авторизации, автоматически распознаются как брутфорс-атаки и блокируются.
5. Всегда устанавливайте обновления
В обязательном порядке устанавливайте обновления тем оформления, плагинов и виджетов сразу же после их выхода.
6. Делайте регулярные бекапы базы данных и файлов своего блога
Старайтесь ежедневно делать полные бекапы своих блогов. Для бекапа баз данных посоветую плагин - WordPress Database Backup – отличный многофункциональный и удобный плагин.
7. Обновляйте сам движок WordPress по мере выпуска новых версий
Это самое первое, что Вы должны делать, когда выходит новая версия движка. Для упрощения сего процесса порекомендую следующие плагины: Instant Upgrade и Wordpress Automatic Upgrade.
8. Используйте SSH/Shell доступ вместо FTP
Это один из наиболее толковых советов. Если злоумышленник получит данные из Вашего FTP-клиента, находящиеся в незашифрованном виде, то он получит полное управление над всеми файлами на Вашем сервере. Сами понимаете, к каким последствиям это способно привести…
9. Перестаньте беспокоиться о безопасности файла wp-config.php
Обезопасьте логин и пароль от базы данных путем добавления следующей строки в свой корневой файл .htaccess:
<FilesMatch ^wp-config.php$>deny from all</FilesMatch>
10. Защитите свой блог с помощью поистине сложного пароля
Сгенерируйте сложный пароль для доступа к администраторской зоне Вашего блога. Пароль должен содержать как большие, так и маленькие буквы, цифры…
Автор: Noupe
Перевод: Всеволод Козлов