Настройка безопасности WordPress.
19.09.2007
Пока настраивал вордпресс, наткнулся на статью алтайского блоггера, про 3 новых совета от Мэта Катса.
Чтоб не отвлекаться на первоисточник, процитируем автора
1. Версия WordPress в header.php
Тег в вашем header.php, который показывает вашу текущую версию WordPress.
<meta name=”generator” content=”WordPress <?php bloginfo(’version’); ?>” />
Так как любой может посмотреть версию вашего WordPress, взломщикам не составит большого труда найти список уязвимостей в вашей версии WordPress.
Спрячьте информацию о версии вашего WordPress – удалив или изменив код на <meta name=”generator” content=”WordPress” />
2. Файл index.html в папке /plugins/.
В стандартной настройке WordPress – любой может посмотреть список плагинов, которые вы используете. Убедитесь, что ваш список плагинов не доступен: http://www.ваш_домен.ru/wp-content/plugins/
Создайте пустой файл “index.html”, и скопируйте его в вашу папку “plugins”.
3. Файл .htaccess в папке /wp-admin/
Мэт Катс указывает на – это ограничит доступ к этой папке.
Мэт Катс предупреждает, что вы должны поместить этот файл папку /wp-admin.htaccess файл в корневом катологе вашего блога. Хотя он говорит, что эта проблема была исправлена в последней версии WordPress, желательно все равно сделать это. и заменять или удалять
Совет: Можно легко запретить индексировать поисковикам вашу папку wp-admin, с помощью файла robots.txt: “Disallow:/wp-admin/”.
Чтобы я хотел добавить к выше изложенному. Во-первых закроем доступ к админке через .htaccess, разрешим доступ только с того айпи который у вас.
Для .htaccess который лежит в корне, добавляем следующий код, обращаю внимание, что заместо 193.0.0.193 должен быть написан ваш IP адрес.
<Files wp-login.php>
Order Allow,Deny
Allow from 193.0.0.193
</Files>
Для .htaccess который лежит в папке wp-admin
Order Allow,Deny
Allow from 193.0.0.193
Если айпи у вас динамический и постоянно меняется, то пишем вот так
193.0.0
Обратите внимание что точку ставить не надо после последней цифры!!!
Проверить работает или нет, достаточно просто. Поменяйте одну из цифр в айпи адресе .htaccess и попробуйте зайти в админку, должна появиться 403 ошибка. ))
Также запретим индексацию роботами следующие папки и файлы
файл robots.txt
User-agent: *
Disallow: /wp-content/
Disallow: /wp-includes/
Disallow: /wp-admin/
Disallow: /images/
Disallow: /wp-login.php
Disallow: /wp-register.php
Disallow: /xmlrpc.php
Проверить правильность вашего robots.txt можно .
Ну и напоследок, если вы до сих пор пользуетесь FTP клиентами, то предлагаю установить для соединения по SSH, что наиболее безопасно, чем простое фтп, где могут слямзить пароли и как следствие в коде вашего сайта появляются вирусные фреймы.
25.09.2007 в 14:39
Сегодня займусь исправлением этого. Полезные советы.
25.09.2007 в 15:18
посмотри на блоге blog.kmint21.com/2007/09/20/wordpress-password-protection/
есть плагин для вордпресса c помощью базовой HTTP аутентификации
11.10.2007 в 03:53
Давно гложет мысль о возможном взломе… хорошие советы, спасибо! :)
11.10.2007 в 10:12
Feelov, конечно от всего не защититься, но лишним не будет сделать пару движений.
14.10.2007 в 11:41
Информацию о версии WP могут выдать и плагины.
К примеру – google-sitemap-generator
14.10.2007 в 20:01
oldvovk, интересно, а еще какие плагины версию засветить могут?
01.11.2007 в 17:25
Кстати, на этом блоге косяк – выбираем все посты под одним тегом. Видим страницу. У неё в тайтле первая буква каждого слова в битой кодировке.
Или это так и задумано?
01.11.2007 в 22:32
>Кстати, на этом блоге косяк – выбираем все посты под одним тегом. Видим страницу. У неё в тайтле первая буква каждого слова в битой кодировке.
Или это так и задумано?
это плагин сеошный с категориями подглючивает.
03.11.2007 в 03:33
Большое спасибо за полезную информацию! Очень актуально. Кое-что уже знал, но многое стало открытием, нигде подобных советов не встречал.
03.11.2007 в 09:18
Dimox, безопасность всегда актуальна.
20.01.2008 в 13:37
Здравствуйте! Спасибо вам за ваш блог. Очень нужный!
22.04.2008 в 22:05
Спасибочки :)
15.05.2008 в 04:38
По первому пункту уже не актуально. WordPress сам вставляет в content-generator свою вресию, независимо от темы. Кроме того, существует несколько способов раскрытия версии: обратившись к wp-login.php, в исходнике можно увидеть версию:
Еще таким образом:
host/?feed=rss2&p=1
В исходнике также увидим версию. Защититься можно с помощью плагина Replace WP-Version:
wordpress.org/extend/plugins/replace-wp-version/#post-2859
15.05.2008 в 11:55
>Кроме того, существует несколько способов раскрытия версии: обратившись к wp-login.php
если wp-login закрыт по айпишнику, то там не посмотрит человек. а вот насчет плагина спасибо. Данный пост перепишу скоро внеся соответствующие коррективы.
16.05.2008 в 01:45
>Данный пост перепишу скоро внеся соответствующие коррективы.
Я как раз недавно освещал вопросы безопасности wordpress:
raz0r.name/articles/wordpress-security/
20.05.2008 в 21:27
Ломали, ломают и ломать будут. Совершенной защиты не существует, против каждого действия всегда найдется противодействие. И это грустный факт :(
11.12.2008 в 09:02
Иногда бывает важно закрыть не только версию вордпресса, но и убрать саму строку
Делается это прописыванием в файле темы functions.php
без всяких плагинов
06.06.2009 в 07:17
Подскажите в случае если требуется несколько подсетей IP для доступа (к примеру с работы, с дома и т.д.) как правильно прописать это в .htaccess ???
06.06.2009 в 12:23
Добавляем строку с нужными айпи или подсетями.
В посте же указано
Order Allow,Deny
Allow from 193.0.0.193
Allow from 192.0.0.193
Allow from 191.0.0.193
Allow from 190.0.0.193
04.01.2011 в 19:35
Для 1-го пункта (скрыть версию ВП) еще рекомендуется удалить файл readme.html и license.txt с корневой папки блога