Пока настраивал вордпресс, наткнулся на статью алтайского блоггера, про 3 новых совета от Мэта Катса.
Чтоб не отвлекаться на первоисточник, процитируем автора

1. Версия WordPress в header.php
Тег в вашем header.php, который показывает вашу текущую версию WordPress.
<meta name=”generator” content=”WordPress <?php bloginfo(’version’); ?>” />

Так как любой может посмотреть версию вашего WordPress, взломщикам не составит большого труда найти список уязвимостей в вашей версии WordPress.

Спрячьте информацию о версии вашего WordPress — удалив или изменив код на <meta name=”generator” content=”WordPress” />

2. Файл index.html в папке /plugins/.
В стандартной настройке WordPress — любой может посмотреть список плагинов, которые вы используете. Убедитесь, что ваш список плагинов не доступен: http://www.ваш_домен.ru/wp-content/plugins/

Создайте пустой файл “index.html”, и скопируйте его в вашу папку “plugins”.

3. Файл .htaccess в папке /wp-admin/
Мэт Катс указывает на эту статью — это ограничит доступ к этой папке.

Мэт Катс предупреждает, что вы должны поместить этот файл папку /wp-admin.htaccess файл в корневом катологе вашего блога. Хотя он говорит, что эта проблема была исправлена в последней версии WordPress, желательно все равно сделать это. и заменять или удалять

Совет: Можно легко запретить индексировать поисковикам вашу папку wp-admin, с помощью файла robots.txt: “Disallow:/wp-admin/”.

Чтобы я хотел добавить к выше изложенному. Во-первых закроем доступ к админке через .htaccess, разрешим доступ только с того айпи который у вас.

Для .htaccess который лежит в корне, добавляем следующий код, обращаю внимание, что заместо 193.0.0.193 должен быть написан ваш IP адрес.

<Files wp-login.php>
Order Allow,Deny
Allow from 193.0.0.193
</Files>

Для .htaccess который лежит в папке wp-admin

Order Allow,Deny
Allow from 193.0.0.193

Если айпи у вас динамический и постоянно меняется, то пишем вот так
193.0.0
Обратите внимание что точку ставить не надо после последней цифры!!!

Проверить работает или нет, достаточно просто. Поменяйте одну из цифр в айпи адресе .htaccess и попробуйте зайти в админку, должна появиться 403 ошибка. ))

Также запретим индексацию роботами следующие папки и файлы
файл robots.txt

User-agent: *
Disallow: /wp-content/
Disallow: /wp-includes/
Disallow: /wp-admin/
Disallow: /images/
Disallow: /wp-login.php
Disallow: /wp-register.php
Disallow: /xmlrpc.php

Проверить правильность вашего robots.txt можно здесь.

Ну и напоследок, если вы до сих пор пользуетесь FTP клиентами, то предлагаю установить winscp для соединения по SSH, что наиболее безопасно, чем простое фтп, где могут слямзить пароли и как следствие в коде вашего сайта появляются вирусные фреймы.

Опубликовано - 19.09.2007


Комментарии (20) на запись “Настройка безопасности WordPress.”

  1. Сибиряк - http://streha.ru

    посмотри на блоге blog.kmint21.com/2007/09/20/wordpress-password-protection/
    есть плагин для вордпресса c помощью базовой HTTP аутентификации

  2. Денис Болтиков ( )

    Сегодня займусь исправлением этого. Полезные советы.

  3. Feelov - http://feelovblog.ru/

    Давно гложет мысль о возможном взломе… хорошие советы, спасибо! :)

  4. Сибиряк - http://streha.ru

    Feelov, конечно от всего не защититься, но лишним не будет сделать пару движений.

  5. oldvovk - http://2aw.org

    Информацию о версии WP могут выдать и плагины.
    К примеру — google-sitemap-generator

  6. Сибиряк - http://streha.ru/

    oldvovk, интересно, а еще какие плагины версию засветить могут?

  7. Aporta ( )

    Кстати, на этом блоге косяк — выбираем все посты под одним тегом. Видим страницу. У неё в тайтле первая буква каждого слова в битой кодировке.
    Или это так и задумано?

  8. Сибиряк - http://streha.ru/

    >Кстати, на этом блоге косяк — выбираем все посты под одним тегом. Видим страницу. У неё в тайтле первая буква каждого слова в битой кодировке.
    Или это так и задумано?

    это плагин сеошный с категориями подглючивает.

  9. Dimox - http://dimox.name

    Большое спасибо за полезную информацию! Очень актуально. Кое-что уже знал, но многое стало открытием, нигде подобных советов не встречал.

  10. Сибиряк - http://streha.ru

    Dimox, безопасность всегда актуальна.

  11. Кот ( )

    Здравствуйте! Спасибо вам за ваш блог. Очень нужный!

  12. mika ( )

    Спасибочки :)

  13. Raz0r - http://raz0r.name/

    По первому пункту уже не актуально. WordPress сам вставляет в content-generator свою вресию, независимо от темы. Кроме того, существует несколько способов раскрытия версии: обратившись к wp-login.php, в исходнике можно увидеть версию:

    Еще таким образом:
    host/?feed=rss2&p=1
    В исходнике также увидим версию. Защититься можно с помощью плагина Replace WP-Version:
    wordpress.org/extend/plugins/replace-wp-version/#post-2859

  14. Сибиряк - http://streha.ru

    >Кроме того, существует несколько способов раскрытия версии: обратившись к wp-login.php

    если wp-login закрыт по айпишнику, то там не посмотрит человек. а вот насчет плагина спасибо. Данный пост перепишу скоро внеся соответствующие коррективы.

  15. Raz0r - http://raz0r.name/

    >Данный пост перепишу скоро внеся соответствующие коррективы.
    Я как раз недавно освещал вопросы безопасности wordpress:
    raz0r.name/articles/wordpress-security/

  16. Виктор ( )

    Ломали, ломают и ломать будут. Совершенной защиты не существует, против каждого действия всегда найдется противодействие. И это грустный факт :(

  17. Doctor ( )

    Иногда бывает важно закрыть не только версию вордпресса, но и убрать саму строку
    Делается это прописыванием в файле темы functions.php

    без всяких плагинов

  18. Шопер ( )

    Подскажите в случае если требуется несколько подсетей IP для доступа (к примеру с работы, с дома и т.д.) как правильно прописать это в .htaccess ???

  19. Сибиряк

    Добавляем строку с нужными айпи или подсетями.
    В посте же указано

    Order Allow,Deny
    Allow from 193.0.0.193
    Allow from 192.0.0.193
    Allow from 191.0.0.193
    Allow from 190.0.0.193

  20. Дмитрий Исаенко - http://www.vashinternetgid.ru/

    Для 1-го пункта (скрыть версию ВП) еще рекомендуется удалить файл readme.html и license.txt с корневой папки блога



Оставить комментарий

MAXCACHE: 0.37MB/0.00050 sec