Лайфхакер
Технологии

Как инженер Google защищает свой Wordpress-блог

Фото автора Vladimir Yashnikov
Vladimir Yashnikov

Как инженер Google защищает свой Wordpress-блог

Наверное, многие обратили внимание, что в последнее время Wordpress обновляется довольно часто, но главная причина не появление новых возможностей, а обнаруженные ошибки безопасности. Многие популярные авторы становились жертвами взлома. Мэтт Каттс (Matt Cutts), инженер Google, дал три простых совета, как сделать блог на основе Wordpress более безопасным: 

1. Первое, что сделал Мэтт, это запретил посторонним даже пытаться вводить логин/пароль. Для этого он создал файл .htaccess в директории /wp-admin/ следующего содержания:

AuthUserFile /dev/null

AuthGroupFile /dev/null

AuthName “Access Control”

AuthType Basic

order deny,allow

deny from all

# в белый список добавлен IP-адрес дома

allow from 64.233.169.99

# в белый список добавлен IP-адрес работы

allow from 69.147.114.210

allow from 199.239.136.200

# IP-адрес в Кентуки; Мэтт удалит его, когда вернется

allow from 128.163.2.27

Это правило разрешает доступ к админке только пользователям с разрешенным IP. Правда, нужно иметь в виду пару моментов. Не у всех может быть постоянный IP, он может быть и динамических. Кроме того, блог зачастую ведут несколько авторов.

2. Мэтт создал пустой файл index.html в папке wp-content/plugins/. Это позволяет скрыть данные об установленных у вас плагинах, ведь зачастую они сами могут содержать уязвимости.

3. Подпишитесь на ленту блога разработчиков (http://wordpress.org/development/feed) и устанавливайте каждую новую версию, каждый патч. В противном случае, блог будет открыт к атакам.

Бонус: Удалите строку:

<meta name=”generator” content=”WordPress <?php bloginfo(’version’); ?>” /> <!-– leave this for stats please -->

чтобы злоумышленник не мог узнать версию установленного скрипта (на случай, если вы все-таки не своевременно обновляетесь).

На мой взгляд, дельные советы.

Three tips to protect your WordPress installation [Matt Cutts: Gadgets, Google, and SEO] 

Если нашли ошибку, выделите текст и нажмите Ctrl + Enter
Это интересно
Построить карьеру просто: 5 классных возможностей для тех, кто начинает свой путь на рынке труда

Построить карьеру просто: 5 классных возможностей для тех, кто начинает свой путь на рынке труда

ИГРА: Настоящие чемпионы. Найдите своего идеального союзника в мире еды

ИГРА: Настоящие чемпионы. Найдите своего идеального союзника в мире еды

Как обновить квартиру: 6 простых шагов к свободному пространству и уютному дому

Как обновить квартиру: 6 простых шагов к свободному пространству и уютному дому

Как сделать жизнь в своём районе комфортнее: 6 простых способов

Как сделать жизнь в своём районе комфортнее: 6 простых способов

Комментарии
INTELigent
Согласен! Полезные советы
Friend
Конечно :) А удаление строки с инфой о версии WP ещё и снижает нагрузку, хоть и незначительно ;)
diamant
name=”generator” content=”WordPress здесь можно прописать старую версию, чтобы хакеры безуспешно пытались атаковать через старые давно заделанные дыры :)
Как обезопасить свой блог на WordPress - Гомельский бомж
[...] недавно статью в блоге LifeHacker, как инженер Google, Мэтт Каттс (Matt Cutts) дал три простых [...]
Безопасность WordPress | Ptath.ru
[...] Статья на Lifehacker приводит один из радикальных методов борьбы с несанкционированным доступом к блогу путем прописывания в .htaccess ограничений по IP-адресу. Сей лежащий на поверхности метод с примерами рекомендует сам Matt Cutts, легендарная личность в среде WordPress. [...]
Yaroslav
Актуально так как WordPress становиться все популярнеее
Andrey
Инженеру Гугли респект и уважуха! :)
mekal
заюзал 2 совета и бонусный. и 1 совет можно заюзать, но надо еще обудмать, врпинципе при смене айпи всегда можно будет зайти на ФТП сайта и сменить там айпи доступа, вообщем надо будет подумать спасибо Мэтту за советы
Monk Albino
Про доступ к админке: интересно, надо будет попробовать. А про бонус: можно удалить функцию, показывающую версию системы, Яндексу и этого хватит, чтобы принять ваш сайт к статистике блогов.
dm1t
Совет с файлом .htaccess на мой взгляд самый дельный. Если нет постоянного ip - это вовсе не проблема. Можно сделать авторизацию по паре логин-пароль
mekal
dm1t ввести логин.пароль чтобы потом ввести логин.пароль?)) паранойя))
dm1t
mekal Посмотрите на количество багов и эксплойтов к wp - и тогда станет понятно, что это совсем не паранойя, а адекватная плата бесплатности движка и его популярности у взломщиков. Механизм защиты через .htaccess более надежен, чем стандартная авторизация блога.
fitness-roden
Мне не совсем понятно, как работает защита через .htaccess
Dmitrij
fitness-roden Что здесь непонятного? Если зайдете с ip, не указанного в белом списке, вместо защищенных страниц сайта увидите только надпись "Forbidden". Это если сделать так, как Мэтт советует.
Иван
Сколько Wordpress, не защищяй, он всё равно дырявый. Слишком уж он популярный.
mekaL
dm1t Я с вами согласен, а поэтому хочу спросить как сделать доступ к админке запороленным через хтацес? :)
Monk Albino
2mekal: http://ru.wikipedia.org/wiki/.htaccess#.D0.97.D0.B0.D0.BA.D1.80.D1.8B.D1.82.D0.B8.D0.B5_.D0.BA.D0.B0.D1.82.D0.B0.D0.BB.D0.BE.D0.B3.D0.BE.D0.B2_.D0.BF.D0.B0.D1.80.D0.BE.D0.BB.D0.B5.D0.BC
? ак инженер Google защищает свой Wordpress-блог | WP лента
[...] Источник [...]
Полный гид по Wordpress - Продвижение сайтов, веб-дизайн и креатив
[...] Как инженер Google защищает свой Wordpress-блог - классная статья о том, как защищает свой блог сам Мэтт Катц. [...]
Полный гид по Wordpress
[...] Как инженер Google защищает свой Wordpress-блог - классная статья о том, как защищает свой блог сам Мэтт Катц. Защита FTP с помощью .ftpaccess - описание эффективной защиты блога Wordpress от взлома по ftp. Настройка безопасности Wordpress - полезные советы по повышению уровня безопасности Wordpress. 11 способов улучшить безопасность Wordpress - одна из лучших статей по безопасности Wordpress. Статья на английском. Безопасность Wordpress - рубрика по безопасности Вордпресс на блоге Дмитрия Донченко. Безопасность WordPress. Краткое руководство - советы от Макса. Безопасность WordPress блогов - блог, полностью посвященный безопасности Wordpress. 10 плагинов для безопасности WordPress блога - подборка лучших плагинов для безопасности Wordpress. [...]
SOFTFAQ &raquo; Архив сайта &raquo; Полный гид по Wordpress
[...] Как инженер Google защищает свой Wordpress-блог – классная статья о том, как защищает свой блог сам Мэтт Катц. [...]
Alexandr
Проблема с первым пунктом - создал файл .htaccess в директории /wp-admin/, прописал свой IP (у меня статический), пытаюсь зайти в админпанель, а меня выкидывает на главную.
Alexandr
Проблема с первым пунктом - создал файл .htaccess в директории /wp-admin/, прописал свой IP (у меня статический), пытаюсь зайти в админпанель, а меня выкидывает на главную.
Как инженер Google защищает свой WordPress-блог | Искусство создания и продвижения сайта
[...] Источник Теги:  WordPress, безопасность [...]
Полный гид по WordPress.&nbsp;|&nbsp; hochuvseznat.com
[...] Как инженер Google защищает свой WordPress-блог - классная статья о том, как защищает свой блог сам Мэтт Катц. [...]
Почему я выбрала движок на WordРress | Как путь по звездам отыскать
[...] Как инженер Google защищает свой WordPress-блог — классная статья о том, как защищает свой блог сам Мэтт Катц. [...]
Как установить блог Wordpress | Блондинка в бизнесе
[...] Как инженер Google защищает свой WordPress — блог [...]
Ресурсы по WordPress &#8212; traf
[…] Как инженер Google защищает свой WordPress-блог – классная статья о том, как защищает свой блог сам Мэтт Катц. […]
Что вы могли пропустить
В «Google Переводчике» появился синхронный ИИ-переводчик — с поддержкой русского
В «Google Переводчике» появился синхронный ИИ-переводчик — с поддержкой русского
0
Новости
Технологии
«Роскомнадзор» и Минцифры предложили разблокировать Roblox в России
«Роскомнадзор» и Минцифры предложили разблокировать Roblox в России
0
Новости
Технологии
Мессенджер Telegram снова появился на часах Apple Watch
Мессенджер Telegram снова появился на часах Apple Watch
0
iOS
Новости
Последний шанс: 14 крутых гаджетов со скидками под занавес распродажи AliExpress
Последний шанс: 14 крутых гаджетов со скидками под занавес распродажи AliExpress
0
Устройства
Устройства
Обзор «Яндекс Дропс» — беспроводных наушников с «Алисой» и новой функцией памяти
Обзор «Яндекс Дропс» — беспроводных наушников с «Алисой» и новой функцией памяти
0
Устройства
Устройства
Быстрая iOS 27 и Siri как чат-бот: главные анонсы Apple с WWDC 2026
Быстрая iOS 27 и Siri как чат-бот: главные анонсы Apple с WWDC 2026
0
Новости
Технологии
5 технологий и гаджетов, которые родились и умерли на наших глазах
5 технологий и гаджетов, которые родились и умерли на наших глазах
0
Технологии
Технологии
20 расширений для «Яндекс Браузера», которые пригодятся каждому
20 расширений для «Яндекс Браузера», которые пригодятся каждому
0
Браузеры
Ликбез
В США составили топ-7 стриминговых сервисов по качеству контента
В США составили топ-7 стриминговых сервисов по качеству контента
0
Новости
Технологии
Два экрана и 3D без очков: чем уникальна Nintendo 3DS и почему её стоит купить как можно скорее
Два экрана и 3D без очков: чем уникальна Nintendo 3DS и почему её стоит купить как можно скорее
0
Технологии
Технологии
Инсайдер раскрыл, как iOS 27 изменит стандартные приложения в iPhone
Инсайдер раскрыл, как iOS 27 изменит стандартные приложения в iPhone
0
iOS
Новости
Сплошная выгода: 18 наушников, часов и других аксессуаров с большой распродажи AliExpress
Сплошная выгода: 18 наушников, часов и других аксессуаров с большой распродажи AliExpress
0
Покупки
Устройства
Боты впервые обогнали людей по интернет-трафику — виноваты ИИ-агенты
Боты впервые обогнали людей по интернет-трафику — виноваты ИИ-агенты
0
Новости
Технологии
Google может отказаться от привычного поиска — новый формат уже тестируют в Chrome
Google может отказаться от привычного поиска — новый формат уже тестируют в Chrome
0
Новости
Технологии
3 лучших аэрогриля среди моделей FELFRI 2026 года
3 лучших аэрогриля среди моделей FELFRI 2026 года
0
Устройства
Устройства