Производство фотообоев в Новосибирске. Интернет магазин фотообоев. Изготовление - один день! Каталог 10 000 изображений!
20 Январь 2008

Защита WordPress и о защите CMS в целом

posted in CMS, Размышления |

Защита WordPress и о защите публичных CMS в целом

И снова небольшая заметочка по WP в частности и вообще о защите публичных движков.

Заметку решил написать после прочтения серии постов с похожими названиями и рождения небольшой идейки — думаю в сфере развития блогосферы весьма интересной.

Для начала некоторая выжимка информации по защите WP с постов, прочитанных мною:

Обратите повышенно внимание папке wp-admin — если Вы работаете с каких то определенных айпишников — очень советую создать .htaccess, где явно прописать доступ именно с этих айпишников (или подсети в случае работы через провайдера, где IP адрес выделяется динамически с определенного диапазона) — более подробно об этом моменте лучше почитать в заметке 3 простых шага для защиты вашего блога на WordPress.

В случае если предыдущий метод не подходит можно на папочку wp-admin поставть авторизированный доступ средствами .htpasswd — об этом методе хорошо написано в статье Как защитить WordPress-блог
чтобы не мучаться в ручную Вам поможет плагинчик WordPress Plugin — htaccess password protection for wp-admin

От попыток зайти в админку с неправильным реферером спасет плагин Плагин «Anti-XSS attack»

Плагин Login LockDown запишет все неудачные попытки входа в панель управления с подробной информацией о взломщике, и заодно заблокирует попытки брутфорса (кстати по брутфорсу — думаю тут защищаться лучше на уровне файервола, но готовых решений к сожалению подсказать не могу).

Это все, что я хотел сказать по Вордпрессу — перейдем непосредственно к тому, что навеяли все, указанные статейки.

Но для начала немного размышлений:

Блоговедение растет ОЧЕНЬ быстрыми темпами (WP вроде самый распространенный движек) — вообще использование публичных (да и платных) CMS набирает бешенные темпы — и как правило пользуются всем этим делом люди далеко не профессионалы в аспектах защиты своего творения (блога и пр.) — думаю процентов эдак 98-99 🙂 Но каждый ! владелец блога явно не хотел бы распрощаться с ним и стопроцентно будет против каких либо надругательств над своим произведением искусства …

Какая обрисовывается картина — рынок огромен, спрос думаю найдется. Вывод напрашивается сам …

Организовать секюрити сервис, который за скромную плату постоянно проверял бы ресурсы (всяческие разные CMS) на предмет наличия уязвимостей и оповещал владельца ресурса о них плюс информировал о возможных методах залатывания дыр.

Как считаете — выгорит подобное дело ?

P.S.

Добавил в ридер пару блогов: Заработок в Интернете с интересной заметкой о методе вычисления продажных ссылок — метод рабочий на 100% ! и блог SEO-PPC-FAQ c советом как можно защитить WP от вычисления продажных ссылок (в общем то поняв идею как вычисляются покупные ссылки — защитить ресурс дело техники).

Кстати — на заметку отдельный сервис по определению продажных ссылок (мои ресурсы почему то не все выкупил, хотя с помощью метода определяются 100%)

Запись опубликована on 20.01.2008 at 22:17 and is filed under CMS, Размышления. Вы можете читать комментарии, используя RSS-ленту. Вы можете оставить комментарий, или отправить трекбек с Вашего сайта.

У нас 17 комментариев на запись “Защита WordPress и о защите CMS в целом”

Почему бы Вам не высказать своем мнение! Позвольте нам узнать, что Вы думаете...

  1. 1 On 21.01.2008, Защита WordPress и о защите CMS в целом : Блог Молчуна said:

    […] Заметку решил написать после прочтения серии постов с похожими названиями и рождения небольшой идейки — думаю в сфере развития блогосферы весьма интересной. Дальше […]

  2. 2 On 21.01.2008, Brando said:

    ого, сервис по определения продажных ссылок…..посмотрел…определяет он около половины судя по моим сайтам…но все равно страшно за саттелиты свои, перебанит их яша с такими темпами раскрываемости 🙂

  3. 3 On 21.01.2008, GTAlex said:

    Ты еще в ручную остальные (которые сервис не выкупил) проверь добавлением параметра — и их определит 🙂

  4. 4 On 24.01.2008, egorych said:

    @Организовать секюрити сервис, который за скромную плату постоянно проверял бы ресурсы (всяческие разные CMS) на предмет наличия уязвимостей и оповещал владельца ресурса о них плюс информировал о возможных методах залатывания дыр.@

    Вроде хацкерские команды как раз этим и занимаются.

    Имхо: из русских желающих защищаться будут опять же гики (ну и те кто сталкивался с поломками), а для широкой популярности и хорошего оборота бизнеса (если брать плату за месяц, как подписку) нужно рекламировать сервис в буржунете среди блоггеров — там их до черта и все как один следят за модой. Для буржунета я думаю такой сервис при грамотной рекламе (Джон Чоу, Шумейкер и подобные блоггеры) можно неплохо раскрутить.

    Проблема в технические деталях: не все будут ставить нужные плагины и обновляться просто из-за лени, ну и инструменты какие будут? Сканеры sql дырок и подобные решения… Не факт что вы сможете реально доказать пуленепробиваемость так сказать. И добиться ее будет реально сложно.

  5. 5 On 24.01.2008, GTAlex said:

    Спасибо Егорыч за грамотный комментарий!
    Подход и анализ моей идеи даже намного более емкий, чем непосредственно само её изложение 🙂
    На счёт буржунета соглашусь с тобой, да и на счет реализации ты прав — с нуля явно не потяну (тем более нет комманды), нужны хотя бы какие то заточки, наработки, связи и т.д.

    на счет обновления все же добавлю — можно ведь сделать самообновляющийся софт, да и вообще с идеями сервиса проблем не будет 🙂
    реализация и раскрутка это да …

    ладно — отправим идейку в кладовку до созревания моего профессионализма и возможностей до уровня ее реализации …

  6. 6 On 25.01.2008, Fobiss said:

    А мы сегодня запускаем что-то подобное (по смыслу, принцип работы другой). Вот.

    Сервис каждый день ходит на указанные сайты и смотрит, какие на морде есть script’ы и ifram’ы. Если что-то изменилось со времени предыдущей проверки (признак того, что сайт взломали) — отправляет тебе письмо.

    Особенно полезно тем, у кого много сайтов.

    Сейчас бета-тестируемся, скоро диз нарисуем 🙂 Welcome!

    P.S. GTAlex, я не слишком нагло проспамился? 🙂

  7. 7 On 26.01.2008, GTAlex said:

    Fobiss — удачи в продвижении проекта, не убейте на корню …
    лично я уже ваш клиент 🙂

  8. 8 On 12.06.2008, Перенос блога на вордпрессе на новый хостинг said:

    […] блогов на вордпрессе — рекомендую почитать о том, как защитить блог на вордпрессе и вообще любые СМС от взлома […]

  9. 9 On 14.08.2008, деньги said:

    по поводу защиты ВП, если кроми админа на сайт больше нечто недобавляет потсы, то проще сделать так: переименовать wp-admin например в wp-adminius. но лучше больше времени уделить защите базы данных, от воздействия кхакеров

  10. 10 On 21.11.2008, азартный игрок said:

    Да недавно буквально выпустили обновление и писали о дырах в ВП, вроде в 2,6,3 поправили всё.

  11. 11 On 15.04.2009, Сайтоведение said:

    Объясните, пожалуйста, в чем разница стандартной защиты админки паролем и защиты паролем через .htpasswd?

  12. 12 On 15.04.2009, Always last said:

    Самое обсуждаемое на блогах:
    Умер французский писатель Морис Дрюон
    Умер основатель Рамблера Дмитрий Крюков
    Бондарчук представил продолжение "Обитаемого острова"

  13. 13 On 25.03.2010, Илья said:

    Спасибо за полезную информацию, кстати папку wp-admnin и правда стоит переименовать, так и сделаю.
    Думаю защита от спам ботов тоже каким то образом относится к теме, я напостил у себя рассказ про капчу, которую недавно нашел, по моему проект хороший, уже есть плагин для вордпресс, только не могу его найти почемуто, если найду, выложу ссылки у себя, вобщем читайте, пробуйте http://www.ilyaplot.ru/2010/03/revolyuciya-v-zashhite-bloga-ot-spam-botov/

  14. 14 On 25.03.2010, Илья said:

    автору: если возьмешься за проект, приглашай в комманду разрабочиков, тоже были мысли о таколм проекте

  15. 15 On 03.06.2010, prolianta said:

    Спасибо за заметку, надо будет усилить безопастность моего блога…))

Оставить комментарий