.
20 января 2008

Защита WordPress и о защите CMS в целом

posted in CMS, Размышления |

Защита WordPress и о защите публичных CMS в целом

И снова небольшая заметочка по WP в частности и вообще о защите публичных движков.

Заметку решил написать после прочтения серии постов с похожими названиями и рождения небольшой идейки — думаю в сфере развития блогосферы весьма интересной.

Для начала некоторая выжимка информации по защите WP с постов, прочитанных мною:

Обратите повышенно внимание папке wp-admin — если Вы работаете с каких то определенных айпишников — очень советую создать .htaccess, где явно прописать доступ именно с этих айпишников (или подсети в случае работы через провайдера, где IP адрес выделяется динамически с определенного диапазона) — более подробно об этом моменте лучше почитать в заметке 3 простых шага для защиты вашего блога на WordPress.

В случае если предыдущий метод не подходит можно на папочку wp-admin поставть авторизированный доступ средствами .htpasswd — об этом методе хорошо написано в статье Как защитить WordPress-блог
чтобы не мучаться в ручную Вам поможет плагинчик WordPress Plugin — htaccess password protection for wp-admin

От попыток зайти в админку с неправильным реферером спасет плагин Плагин «Anti-XSS attack»

Плагин Login LockDown запишет все неудачные попытки входа в панель управления с подробной информацией о взломщике, и заодно заблокирует попытки брутфорса (кстати по брутфорсу — думаю тут защищаться лучше на уровне файервола, но готовых решений к сожалению подсказать не могу).

Это все, что я хотел сказать по Вордпрессу — перейдем непосредственно к тому, что навеяли все, указанные статейки.

Но для начала немного размышлений:

Блоговедение растет ОЧЕНЬ быстрыми темпами (WP вроде самый распространенный движек) — вообще использование публичных (да и платных) CMS набирает бешенные темпы — и как правило пользуются всем этим делом люди далеко не профессионалы в аспектах защиты своего творения (блога и пр.) — думаю процентов эдак 98-99 :) Но каждый ! владелец блога явно не хотел бы распрощаться с ним и стопроцентно будет против каких либо надругательств над своим произведением искусства ...

Какая обрисовывается картина — рынок огромен, спрос думаю найдется. Вывод напрашивается сам ...

Организовать секюрити сервис, который за скромную плату постоянно проверял бы ресурсы (всяческие разные CMS) на предмет наличия уязвимостей и оповещал владельца ресурса о них плюс информировал о возможных методах залатывания дыр.

Как считаете — выгорит подобное дело ?

P.S.

Добавил в ридер пару блогов: Заработок в Интернете с интересной заметкой о методе вычисления продажных ссылок — метод рабочий на 100% ! и блог SEO-PPC-FAQ c советом как можно защитить WP от вычисления продажных ссылок (в общем то поняв идею как вычисляются покупные ссылки — защитить ресурс дело техники).

Кстати — на заметку отдельный сервис по определению продажных ссылок (мои ресурсы почему то не все выкупил, хотя с помощью метода определяются 100%)

Яндекс.Метрика