Я уже писал раньше, про установку прав на .htaccess, но червячок паранойи продолжает грызть мой несчастный мозг, только установив движок, я уже начитался про то какой он дырявый. Многие адепты движков Drupal и Joomla считают WordPress огромной дырой в безопасности сайта. Возможно. Только если у вас появилась дыра в зубе - вы же не спешите его выдергивать и ставить протез, если порезали палец или ногу – вы не отрезаете себе эти конечности, чтобы избавиться от порезов. Надеюсь, вы понимаете, к чему я веду? Да к тому, что нужно защищать свой сайт и по мере возможностей устранять уязвимости. Нужно работать в сети, соблюдая профилактические меры. А взломать можно все, любой движок, любой код и любой сайт, если задаться такой целью и упорно к ней двигаться.
Итак – проводим профилактику уязвимостей сайта.
Если переделать слова песни, то «Я спросил у Гугля, я спросил у Яндекса, я спросил у Рамблера, где мое решение?»
Что мне они ответили?
1. Anti-XSS attack — предупреждение и защита от XSS-атак блога.
Плагин закрывающий XSS уязвимость
Краткое описание. При записи данных в wp-admin
, проверяется реферер. Если это _GET
(то есть в виде url) и реферер не совпадает с адресом вашего сайта, то выполнение скрипта останавливается и выводится ссылка на подтверждение действия.
Если данные передаются в скрытом виде (_POST
) и реферер не совпадает с вашим сайтом, то выполнение скрипта прекращается
Форум где обсуждается эта уязвимость здесь. http://forum.maxsite.org/viewtopic.php?id=2936
Скачать последнюю оригинальную версию можно здесь http://blog.portal.kharkov.ua/2008/06/02/anti-xss-attack/
Примечание: Включите у себя в браузере передачу referer, чтобы самому не попасть под действие плагина.
2. Генерация IP-зависимых cookies
Вкратце – плагин делает бесполезным украденные куки(cookies) админа сайта. То есть привязывает их к IP владельца, что значительно снижает возможность взлома.
Примечание : При смене IP нужно разлогиниваться. Противопоказания к плагину round-robin proxy и динамические IP при плохой связи..
Страница с описанием: http://blog.portal.kharkov.ua/2008/05/21/iodized_salt/
Скачать: http://www.portal.kharkov.ua/soft/iodized_salt.zip
3. Belavir – отслеживание изменений в
php
файлах движка
WordPress
После установки и активации смотрим в «Панели управления» («Доска объявлений»), какие файлы вордпресса изменились. Если вы сами вносили изменения в файлы — тогда просто нажмите кнопку «Сбросить/обновить хэш файлов».Если в какой-то файл внедрен посторонний код (вирус и т.п.) и принять соответствующие меры.
P.S. плагин создает файл my-md5.txt в wp-content/uploads (имя файла можно, я бы даже сказал, что НУЖНО, изменить в самом плагине).
!!! Примечание: у меня плагин belavir.php так и не заработал, подвесив админку, подозреваю, что что-то с доступами намудрил или сам плагин не совместим с версией 2.6., пожалуй стоит поискать что-нибудь аналогичное, поскольку вещица полезная.
Пока, воспользовался советом из панели управления
WordPress
, как разблокировать панель после активации плагина: «
Если с плагином что-то пойдет не так, и вы не сможете использовать WordPress, удалите или переименуйте файл в директории /wp-content/plugins, и плагин будет автоматически отключен.»
Установка любого из плагинов:
- закачать плагин в папку
wp-content/plugins/
на своем сайте
- активировать.
- все.
Общая профилактика:
- Работая в WordPress – нужно работать только в нем, не нужно бродить по ненадежным сайтам. Это вредно.
- Прежде чем закрыть браузер – нужно разлогиниться.