28 января 2008

Как инженер Google защищает свой Wordpress-блог

Наверное, многие обратили внимание, что в последнее время Wordpress обновляется довольно часто, но главная причина не появление новых возможностей, а обнаруженные ошибки безопасности. Многие популярные авторы становились жертвами взлома. Мэтт Каттс (Matt Cutts), инженер Google, дал три простых совета, как сделать блог на основе Wordpress более безопасным:

1. Первое, что сделал Мэтт, это запретил посторонним даже пытаться вводить логин/пароль. Для этого он создал файл .htaccess в директории /wp-admin/ следующего содержания:

AuthUserFile /dev/null

AuthGroupFile /dev/null

AuthName “Access Control”

AuthType Basic

order deny,allow

deny from all

# в белый список добавлен IP-адрес дома

allow from 64.233.169.99

# в белый список добавлен IP-адрес работы

allow from 69.147.114.210

allow from 199.239.136.200

# IP-адрес в Кентуки; Мэтт удалит его, когда вернется

allow from 128.163.2.27

Это правило разрешает доступ к админке только пользователям с разрешенным IP. Правда, нужно иметь в виду пару моментов. Не у всех может быть постоянный IP, он может быть и динамических. Кроме того, блог зачастую ведут несколько авторов.

2. Мэтт создал пустой файл index.html в папке wp-content/plugins/. Это позволяет скрыть данные об установленных у вас плагинах, ведь зачастую они сами могут содержать уязвимости.

3. Подпишитесь на ленту блога разработчиков (http://wordpress.org/development/feed) и устанавливайте каждую новую версию, каждый патч. В противном случае, блог будет открыт к атакам.

Бонус: Удалите строку:

<meta name=”generator” content=”WordPress <?php bloginfo(’version’); ?>” /> <!-– leave this for stats please -->

чтобы злоумышленник не мог узнать версию установленного скрипта (на случай, если вы все-таки не своевременно обновляетесь).

На мой взгляд, дельные советы.

Three tips to protect your WordPress installation [Matt Cutts: Gadgets, Google, and SEO]

Лучшие предложения

30 ёлочных игрушек, которые хочется купить, повесить и никогда не убирать

8 скатертей, которые превратят праздничный стол в картинку с Pinterest

Берём в подарок фитнес-браслет Whoop 5.0, о котором все говорят

Надо брать: робот-пылесос Roborock Q8 Max Pro Plus со скидкой 56%

Надо брать: недорогой планшет Blackview Mega 8, которого хватает для основных задач

Новинку Nubia Z80 Ultra отдают со скидкой 49% на AliExpress

15 крутых товаров на распродаже AliExpress прямо сейчас

Что подарить папе на Новый год

Это интересно

5 гаджетов, которые помогут сделать жизнь проще

Экология, инфраструктура и перспективы: 3 причины переехать на север Москвы

Финансовые привычки миллениалов, которые стоит перенять зумерам (и наоборот)

«Восток», «Нева» и «Дон»: 6 удобных автомаршрутов по трём трассам для знакомства с регионами

Комментарии

INTELigent

28.01.08 16:24

Согласен! Полезные советы

Friend

28.01.08 16:39

Конечно :) А удаление строки с инфой о версии WP ещё и снижает нагрузку, хоть и незначительно ;)

diamant

28.01.08 16:42

name=”generator” content=”WordPress здесь можно прописать старую версию, чтобы хакеры безуспешно пытались атаковать через старые давно заделанные дыры :)

Как обезопасить свой блог на WordPress - Гомельский бомж

28.01.08 17:25

[...] недавно статью в блоге LifeHacker, как инженер Google, Мэтт Каттс (Matt Cutts) дал три простых [...]

Безопасность WordPress | Ptath.ru

28.01.08 21:00

[...] Статья на Lifehacker приводит один из радикальных методов борьбы с несанкционированным доступом к блогу путем прописывания в .htaccess ограничений по IP-адресу. Сей лежащий на поверхности метод с примерами рекомендует сам Matt Cutts, легендарная личность в среде WordPress. [...]

Yaroslav

28.01.08 21:48

Актуально так как WordPress становиться все популярнеее

Andrey

29.01.08 00:06

Инженеру Гугли респект и уважуха! :)

mekal

29.01.08 01:36

заюзал 2 совета и бонусный. и 1 совет можно заюзать, но надо еще обудмать, врпинципе при смене айпи всегда можно будет зайти на ФТП сайта и сменить там айпи доступа, вообщем надо будет подумать спасибо Мэтту за советы

Monk Albino

29.01.08 04:36

Про доступ к админке: интересно, надо будет попробовать. А про бонус: можно удалить функцию, показывающую версию системы, Яндексу и этого хватит, чтобы принять ваш сайт к статистике блогов.

dm1t

29.01.08 09:55

Совет с файлом .htaccess на мой взгляд самый дельный. Если нет постоянного ip - это вовсе не проблема. Можно сделать авторизацию по паре логин-пароль

mekal

30.01.08 00:40

dm1t ввести логин.пароль чтобы потом ввести логин.пароль?)) паранойя))

dm1t

30.01.08 04:28

mekal Посмотрите на количество багов и эксплойтов к wp - и тогда станет понятно, что это совсем не паранойя, а адекватная плата бесплатности движка и его популярности у взломщиков. Механизм защиты через .htaccess более надежен, чем стандартная авторизация блога.

fitness-roden

31.01.08 15:24

Мне не совсем понятно, как работает защита через .htaccess

Dmitrij

17.02.08 12:54

fitness-roden Что здесь непонятного? Если зайдете с ip, не указанного в белом списке, вместо защищенных страниц сайта увидите только надпись "Forbidden". Это если сделать так, как Мэтт советует.

Иван

15.03.08 22:15

Сколько Wordpress, не защищяй, он всё равно дырявый. Слишком уж он популярный.

mekaL

04.07.08 15:19

dm1t Я с вами согласен, а поэтому хочу спросить как сделать доступ к админке запороленным через хтацес? :)

Monk Albino

04.07.08 16:25

2mekal: http://ru.wikipedia.org/wiki/.htaccess#.D0.97.D0.B0.D0.BA.D1.80.D1.8B.D1.82.D0.B8.D0.B5_.D0.BA.D0.B0.D1.82.D0.B0.D0.BB.D0.BE.D0.B3.D0.BE.D0.B2_.D0.BF.D0.B0.D1.80.D0.BE.D0.BB.D0.B5.D0.BC

? ак инженер Google защищает свой Wordpress-блог | WP лента

05.07.08 16:49

[...] Источник [...]

Полный гид по Wordpress - Продвижение сайтов, веб-дизайн и креатив

21.06.09 10:30

[...] Как инженер Google защищает свой Wordpress-блог - классная статья о том, как защищает свой блог сам Мэтт Катц. [...]

Полный гид по Wordpress

01.07.09 18:24

[...] Как инженер Google защищает свой Wordpress-блог - классная статья о том, как защищает свой блог сам Мэтт Катц. Защита FTP с помощью .ftpaccess - описание эффективной защиты блога Wordpress от взлома по ftp. Настройка безопасности Wordpress - полезные советы по повышению уровня безопасности Wordpress. 11 способов улучшить безопасность Wordpress - одна из лучших статей по безопасности Wordpress. Статья на английском. Безопасность Wordpress - рубрика по безопасности Вордпресс на блоге Дмитрия Донченко. Безопасность WordPress. Краткое руководство - советы от Макса. Безопасность WordPress блогов - блог, полностью посвященный безопасности Wordpress. 10 плагинов для безопасности WordPress блога - подборка лучших плагинов для безопасности Wordpress. [...]

SOFTFAQ » Архив сайта » Полный гид по Wordpress

12.09.09 19:55

[...] Как инженер Google защищает свой Wordpress-блог – классная статья о том, как защищает свой блог сам Мэтт Катц. [...]

Alexandr

07.02.10 16:10

Проблема с первым пунктом - создал файл .htaccess в директории /wp-admin/, прописал свой IP (у меня статический), пытаюсь зайти в админпанель, а меня выкидывает на главную.

Alexandr

07.02.10 17:10

Как инженер Google защищает свой WordPress-блог | Искусство создания и продвижения сайта

15.06.10 12:32

[...] Источник Теги: WordPress, безопасность [...]

Полный гид по WordPress. |  hochuvseznat.com

22.12.10 12:40

[...] Как инженер Google защищает свой WordPress-блог - классная статья о том, как защищает свой блог сам Мэтт Катц. [...]

Почему я выбрала движок на WordРress | Как путь по звездам отыскать

21.09.12 21:24

[...] Как инженер Google защищает свой WordPress-блог — классная статья о том, как защищает свой блог сам Мэтт Катц. [...]

Как установить блог Wordpress | Блондинка в бизнесе

04.02.13 22:54

[...] Как инженер Google защищает свой WordPress — блог [...]

Ресурсы по WordPress — traf

27.01.16 11:49

[…] Как инженер Google защищает свой WordPress-блог – классная статья о том, как защищает свой блог сам Мэтт Катц. […]

Что вы могли пропустить

HyperOS 3 получат ещё 15 устройств Xiaomi, включая Redmi K60 Pro