Как инженер Google защищает свой WordPress-блог

Наверное, многие обратили внимание, что в последнее время WordPress обновляется довольно часто, но главная причина не появление новых возможностей, а обнаруженные ошибки безопасности. Многие популярные авторы становились жертвами взлома. Мэтт Каттс (Matt Cutts), инженер Google, дал три простых совета, как сделать блог на основе WordPress более безопасным:

1. Первое, что сделал Мэтт, это запретил посторонним даже пытаться вводить логин/пароль. Для этого он создал файл .htaccess в директории /wp-admin/ следующего содержания:

AuthUserFile /dev/null
AuthGroupFile /dev/null
AuthName “Access Control”
AuthType Basic
order deny,allow
deny from all
# в белый список добавлен IP-адрес дома
allow from 64.233.169.99
# в белый список добавлен IP-адрес работы
allow from 69.147.114.210
allow from 199.239.136.200
# IP-адрес в Кентуки; Мэтт удалит его, когда вернется
allow from 128.163.2.27

Это правило разрешает доступ к админке только пользователям с разрешенным IP. Правда, нужно иметь в виду пару моментов. Не у всех может быть постоянный IP, он может быть и динамических. Кроме того, блог зачастую ведут несколько авторов.

2. Мэтт создал пустой файл index.html в папке wp-content/plugins/. Это позволяет скрыть данные об установленных у вас плагинах, ведь зачастую они сами могут содержать уязвимости.

3. Подпишитесь на ленту блога разработчиков (http://wordpress.org/development/feed) и устанавливайте каждую новую версию, каждый патч. В противном случае, блог будет открыт к атакам.

Бонус: Удалите строку:

<meta name=”generator” content=”WordPress <?php bloginfo(’version’); ?>” /> <!-– leave this for stats please -->

чтобы злоумышленник не мог узнать версию установленного скрипта (на случай, если вы все-таки не своевременно обновляетесь).

На мой взгляд, дельные советы.

Three tips to protect your WordPress installation [Matt Cutts: Gadgets, Google, and SEO]

INTELigent
2008-01-28 16:24:17
Согласен! Полезные советы
Friend
2008-01-28 16:39:01
Конечно :) А удаление строки с инфой о версии WP ещё и снижает нагрузку, хоть и незначительно ;)
diamant
2008-01-28 16:42:17
name=”generator” content=”WordPress здесь можно прописать старую версию, чтобы хакеры безуспешно пытались атаковать через старые давно заделанные дыры :)
Как обезопасить свой блог на WordPress - Гомельский бомж
2008-01-28 17:25:35
[...] недавно статью в блоге LifeHacker, как инженер Google, Мэтт Каттс (Matt Cutts) дал три простых [...]
Безопасность WordPress | Ptath.ru
2008-01-28 21:00:25
[...] Статья на Lifehacker приводит один из радикальных методов борьбы с несанкционированным доступом к блогу путем прописывания в .htaccess ограничений по IP-адресу. Сей лежащий на поверхности метод с примерами рекомендует сам Matt Cutts, легендарная личность в среде WordPress. [...]
Yaroslav
2008-01-28 21:48:41
Актуально так как WordPress становиться все популярнеее
Andrey
2008-01-29 00:06:43
Инженеру Гугли респект и уважуха! :)
mekal
2008-01-29 01:36:50
заюзал 2 совета и бонусный. и 1 совет можно заюзать, но надо еще обудмать, врпинципе при смене айпи всегда можно будет зайти на ФТП сайта и сменить там айпи доступа, вообщем надо будет подумать спасибо Мэтту за советы
Monk Albino
2008-01-29 04:36:48
Про доступ к админке: интересно, надо будет попробовать. А про бонус: можно удалить функцию, показывающую версию системы, Яндексу и этого хватит, чтобы принять ваш сайт к статистике блогов.
dm1t
2008-01-29 09:55:18
Совет с файлом .htaccess на мой взгляд самый дельный. Если нет постоянного ip - это вовсе не проблема. Можно сделать авторизацию по паре логин-пароль
mekal
2008-01-30 00:40:51
dm1t ввести логин.пароль чтобы потом ввести логин.пароль?)) паранойя))
dm1t
2008-01-30 04:28:28
mekal Посмотрите на количество багов и эксплойтов к wp - и тогда станет понятно, что это совсем не паранойя, а адекватная плата бесплатности движка и его популярности у взломщиков. Механизм защиты через .htaccess более надежен, чем стандартная авторизация блога.
fitness-roden
2008-01-31 15:24:25
Мне не совсем понятно, как работает защита через .htaccess
Dmitrij
2008-02-17 12:54:24
fitness-roden Что здесь непонятного? Если зайдете с ip, не указанного в белом списке, вместо защищенных страниц сайта увидите только надпись "Forbidden". Это если сделать так, как Мэтт советует.
Иван
2008-03-15 22:15:19
Сколько Wordpress, не защищяй, он всё равно дырявый. Слишком уж он популярный.
mekaL
2008-07-04 14:19:58
dm1t Я с вами согласен, а поэтому хочу спросить как сделать доступ к админке запороленным через хтацес? :)
Monk Albino
2008-07-04 15:25:29
2mekal: http://ru.wikipedia.org/wiki/.htaccess#.D0.97.D0.B0.D0.BA.D1.80.D1.8B.D1.82.D0.B8.D0.B5_.D0.BA.D0.B0.D1.82.D0.B0.D0.BB.D0.BE.D0.B3.D0.BE.D0.B2_.D0.BF.D0.B0.D1.80.D0.BE.D0.BB.D0.B5.D0.BC
? ак инженер Google защищает свой Wordpress-блог | WP лента
2008-07-05 15:49:23
[...] Источник [...]
Полный гид по Wordpress - Продвижение сайтов, веб-дизайн и креатив
2009-06-21 09:30:48
[...] Как инженер Google защищает свой Wordpress-блог - классная статья о том, как защищает свой блог сам Мэтт Катц. [...]
Полный гид по Wordpress
2009-07-01 17:24:18
[...] Как инженер Google защищает свой Wordpress-блог - классная статья о том, как защищает свой блог сам Мэтт Катц. Защита FTP с помощью .ftpaccess - описание эффективной защиты блога Wordpress от взлома по ftp. Настройка безопасности Wordpress - полезные советы по повышению уровня безопасности Wordpress. 11 способов улучшить безопасность Wordpress - одна из лучших статей по безопасности Wordpress. Статья на английском. Безопасность Wordpress - рубрика по безопасности Вордпресс на блоге Дмитрия Донченко. Безопасность WordPress. Краткое руководство - советы от Макса. Безопасность WordPress блогов - блог, полностью посвященный безопасности Wordpress. 10 плагинов для безопасности WordPress блога - подборка лучших плагинов для безопасности Wordpress. [...]
SOFTFAQ &raquo; Архив сайта &raquo; Полный гид по Wordpress
2009-09-12 18:55:57
[...] Как инженер Google защищает свой Wordpress-блог &#8211; классная статья о том, как защищает свой блог сам Мэтт Катц. [...]
Alexandr
2010-02-07 16:10:23
Проблема с первым пунктом - создал файл .htaccess в директории /wp-admin/, прописал свой IP (у меня статический), пытаюсь зайти в админпанель, а меня выкидывает на главную.
Alexandr
2010-02-07 17:10:23
Проблема с первым пунктом - создал файл .htaccess в директории /wp-admin/, прописал свой IP (у меня статический), пытаюсь зайти в админпанель, а меня выкидывает на главную.
Как инженер Google защищает свой WordPress-блог | Искусство создания и продвижения сайта
2010-06-15 11:32:57
[...] Источник Теги:&nbsp;&nbsp;WordPress, безопасность [...]
Полный гид по WordPress.&nbsp;|&nbsp; hochuvseznat.com
2010-12-22 12:40:54
[...] Как инженер Google защищает свой WordPress-блог&nbsp;- классная статья о том, как защищает свой блог сам Мэтт Катц. [...]
Почему я выбрала движок на WordРress | Как путь по звездам отыскать
2012-09-21 20:24:25
[...] Как инженер Google защищает свой WordPress-блог &#8212; классная статья о том, как защищает свой блог сам Мэтт Катц. [...]
Как установить блог Wordpress | Блондинка в бизнесе
2013-02-04 21:54:38
[...] Как инженер Google защищает свой WordPress &#8212; блог [...]
Ресурсы по WordPress &#8212; traf
2016-01-27 11:49:32
[&#8230;] Как инженер Google защищает свой WordPress-блог – классная статья о том, как защищает свой блог сам Мэтт Катц. [&#8230;]