Защита WordPress и о защите CMS в целом


Защита WordPress и о защите публичных CMS в целом

И снова небольшая заметочка по WP в частности и вообще о защите публичных движков.

Заметку решил написать после прочтения серии постов с похожими названиями и рождения небольшой идейки — думаю в сфере развития блогосферы весьма интересной.

Для начала некоторая выжимка информации по защите WP с постов, прочитанных мною:

Обратите повышенно внимание папке wp-admin — если Вы работаете с каких то определенных айпишников — очень советую создать .htaccess, где явно прописать доступ именно с этих айпишников (или подсети в случае работы через провайдера, где IP адрес выделяется динамически с определенного диапазона) — более подробно об этом моменте лучше почитать в заметке 3 простых шага для защиты вашего блога на WordPress.

В случае если предыдущий метод не подходит можно на папочку wp-admin поставть авторизированный доступ средствами .htpasswd — об этом методе хорошо написано в статье Как защитить WordPress-блог
чтобы не мучаться в ручную Вам поможет плагинчик WordPress Plugin — htaccess password protection for wp-admin

От попыток зайти в админку с неправильным реферером спасет плагин Плагин «Anti-XSS attack»

Плагин Login LockDown запишет все неудачные попытки входа в панель управления с подробной информацией о взломщике, и заодно заблокирует попытки брутфорса (кстати по брутфорсу — думаю тут защищаться лучше на уровне файервола, но готовых решений к сожалению подсказать не могу).

Это все, что я хотел сказать по Вордпрессу — перейдем непосредственно к тому, что навеяли все, указанные статейки.

Но для начала немного размышлений:

Блоговедение растет ОЧЕНЬ быстрыми темпами (WP вроде самый распространенный движек) — вообще использование публичных (да и платных) CMS набирает бешенные темпы — и как правило пользуются всем этим делом люди далеко не профессионалы в аспектах защиты своего творения (блога и пр.) — думаю процентов эдак 98-99 🙂 Но каждый ! владелец блога явно не хотел бы распрощаться с ним и стопроцентно будет против каких либо надругательств над своим произведением искусства …

Какая обрисовывается картина — рынок огромен, спрос думаю найдется. Вывод напрашивается сам …

Организовать секюрити сервис, который за скромную плату постоянно проверял бы ресурсы (всяческие разные CMS) на предмет наличия уязвимостей и оповещал владельца ресурса о них плюс информировал о возможных методах залатывания дыр.

Как считаете — выгорит подобное дело ?

P.S.

Добавил в ридер пару блогов: Заработок в Интернете с интересной заметкой о методе вычисления продажных ссылок — метод рабочий на 100% ! и блог SEO-PPC-FAQ c советом как можно защитить WP от вычисления продажных ссылок (в общем то поняв идею как вычисляются покупные ссылки — защитить ресурс дело техники).

Кстати — на заметку отдельный сервис по определению продажных ссылок (мои ресурсы почему то не все выкупил, хотя с помощью метода определяются 100%)

,

17 комментариев на «“Защита WordPress и о защите CMS в целом”»

  1. ого, сервис по определения продажных ссылок…..посмотрел…определяет он около половины судя по моим сайтам…но все равно страшно за саттелиты свои, перебанит их яша с такими темпами раскрываемости 🙂

  2. Ты еще в ручную остальные (которые сервис не выкупил) проверь добавлением параметра — и их определит 🙂

  3. @Организовать секюрити сервис, который за скромную плату постоянно проверял бы ресурсы (всяческие разные CMS) на предмет наличия уязвимостей и оповещал владельца ресурса о них плюс информировал о возможных методах залатывания дыр.@

    Вроде хацкерские команды как раз этим и занимаются.

    Имхо: из русских желающих защищаться будут опять же гики (ну и те кто сталкивался с поломками), а для широкой популярности и хорошего оборота бизнеса (если брать плату за месяц, как подписку) нужно рекламировать сервис в буржунете среди блоггеров — там их до черта и все как один следят за модой. Для буржунета я думаю такой сервис при грамотной рекламе (Джон Чоу, Шумейкер и подобные блоггеры) можно неплохо раскрутить.

    Проблема в технические деталях: не все будут ставить нужные плагины и обновляться просто из-за лени, ну и инструменты какие будут? Сканеры sql дырок и подобные решения… Не факт что вы сможете реально доказать пуленепробиваемость так сказать. И добиться ее будет реально сложно.

  4. Спасибо Егорыч за грамотный комментарий!
    Подход и анализ моей идеи даже намного более емкий, чем непосредственно само её изложение 🙂
    На счёт буржунета соглашусь с тобой, да и на счет реализации ты прав — с нуля явно не потяну (тем более нет комманды), нужны хотя бы какие то заточки, наработки, связи и т.д.

    на счет обновления все же добавлю — можно ведь сделать самообновляющийся софт, да и вообще с идеями сервиса проблем не будет 🙂
    реализация и раскрутка это да …

    ладно — отправим идейку в кладовку до созревания моего профессионализма и возможностей до уровня ее реализации …

  5. А мы сегодня запускаем что-то подобное (по смыслу, принцип работы другой). Вот.

    Сервис каждый день ходит на указанные сайты и смотрит, какие на морде есть script’ы и ifram’ы. Если что-то изменилось со времени предыдущей проверки (признак того, что сайт взломали) — отправляет тебе письмо.

    Особенно полезно тем, у кого много сайтов.

    Сейчас бета-тестируемся, скоро диз нарисуем 🙂 Welcome!

    P.S. GTAlex, я не слишком нагло проспамился? 🙂

  6. по поводу защиты ВП, если кроми админа на сайт больше нечто недобавляет потсы, то проще сделать так: переименовать wp-admin например в wp-adminius. но лучше больше времени уделить защите базы данных, от воздействия кхакеров

  7. Самое обсуждаемое на блогах:
    Умер французский писатель Морис Дрюон
    Умер основатель Рамблера Дмитрий Крюков
    Бондарчук представил продолжение "Обитаемого острова"

  8. Спасибо за полезную информацию, кстати папку wp-admnin и правда стоит переименовать, так и сделаю.
    Думаю защита от спам ботов тоже каким то образом относится к теме, я напостил у себя рассказ про капчу, которую недавно нашел, по моему проект хороший, уже есть плагин для вордпресс, только не могу его найти почемуто, если найду, выложу ссылки у себя, вобщем читайте, пробуйте http://www.ilyaplot.ru/2010/03/revolyuciya-v-zashhite-bloga-ot-spam-botov/

  9. автору: если возьмешься за проект, приглашай в комманду разрабочиков, тоже были мысли о таколм проекте

  10. За Login LockDown спасибо автору, не знал о таком плагине. От плагина Anti-XSS attack у меня проблемы с памятью, в итоге плагин не работает. А защита через .htaccess мне кажется подойдет все-таки только владельцам статического IP.

  11. Защита текста, картинок, исходного кода
    Просто между кодом и
    Размещаем код:

    document.ondragstart = test;
    document.onselectstart = test;
    document.oncontextmenu = test;
    function test() {
    return false
    }

    Единственное, могут быть блокированы Java? но не все, пробуйте.
    Тестил на FireFox

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *