Защита WordPress и о защите CMS в целом
И снова небольшая заметочка по WP в частности и вообще о защите публичных движков.
Заметку решил написать после прочтения серии постов с похожими названиями и рождения небольшой идейки — думаю в сфере развития блогосферы весьма интересной.
Для начала некоторая выжимка информации по защите WP с постов, прочитанных мною:
Обратите повышенно внимание папке wp-admin — если Вы работаете с каких то определенных айпишников — очень советую создать .htaccess, где явно прописать доступ именно с этих айпишников (или подсети в случае работы через провайдера, где IP адрес выделяется динамически с определенного диапазона) — более подробно об этом моменте лучше почитать в заметке 3 простых шага для защиты вашего блога на WordPress.
В случае если предыдущий метод не подходит можно на папочку wp-admin поставть авторизированный доступ средствами .htpasswd — об этом методе хорошо написано в статье Как защитить WordPress-блог
чтобы не мучаться в ручную Вам поможет плагинчик WordPress Plugin — htaccess password protection for wp-admin
От попыток зайти в админку с неправильным реферером спасет плагин Плагин «Anti-XSS attack»
Плагин Login LockDown запишет все неудачные попытки входа в панель управления с подробной информацией о взломщике, и заодно заблокирует попытки брутфорса (кстати по брутфорсу — думаю тут защищаться лучше на уровне файервола, но готовых решений к сожалению подсказать не могу).
Это все, что я хотел сказать по Вордпрессу — перейдем непосредственно к тому, что навеяли все, указанные статейки.
Но для начала немного размышлений:
Блоговедение растет ОЧЕНЬ быстрыми темпами (WP вроде самый распространенный движек) — вообще использование публичных (да и платных) CMS набирает бешенные темпы — и как правило пользуются всем этим делом люди далеко не профессионалы в аспектах защиты своего творения (блога и пр.) — думаю процентов эдак 98-99 🙂 Но каждый ! владелец блога явно не хотел бы распрощаться с ним и стопроцентно будет против каких либо надругательств над своим произведением искусства …
Какая обрисовывается картина — рынок огромен, спрос думаю найдется. Вывод напрашивается сам …
Организовать секюрити сервис, который за скромную плату постоянно проверял бы ресурсы (всяческие разные CMS) на предмет наличия уязвимостей и оповещал владельца ресурса о них плюс информировал о возможных методах залатывания дыр.
Как считаете — выгорит подобное дело ?
P.S.
Добавил в ридер пару блогов: Заработок в Интернете с интересной заметкой о методе вычисления продажных ссылок — метод рабочий на 100% ! и блог SEO-PPC-FAQ c советом как можно защитить WP от вычисления продажных ссылок (в общем то поняв идею как вычисляются покупные ссылки — защитить ресурс дело техники).
Кстати — на заметку отдельный сервис по определению продажных ссылок (мои ресурсы почему то не все выкупил, хотя с помощью метода определяются 100%)
рубрики: CMS, Размышления | 17 комментариев