И снова небольшая заметочка по WP в частности и вообще о защите публичных движков.
Заметку решил написать после прочтения серии постов с похожими названиями и рождения небольшой идейки — думаю в сфере развития блогосферы весьма интересной.
Для начала некоторая выжимка информации по защите WP с постов, прочитанных мною:
Обратите повышенно внимание папке wp-admin — если Вы работаете с каких то определенных айпишников — очень советую создать .htaccess, где явно прописать доступ именно с этих айпишников (или подсети в случае работы через провайдера, где IP адрес выделяется динамически с определенного диапазона) — более подробно об этом моменте лучше почитать в заметке 3 простых шага для защиты вашего блога на WordPress.
В случае если предыдущий метод не подходит можно на папочку wp-admin поставть авторизированный доступ средствами .htpasswd — об этом методе хорошо написано в статье Как защитить WordPress-блог
чтобы не мучаться в ручную Вам поможет плагинчик WordPress Plugin — htaccess password protection for wp-admin
От попыток зайти в админку с неправильным реферером спасет плагин Плагин «Anti-XSS attack»
Плагин Login LockDown запишет все неудачные попытки входа в панель управления с подробной информацией о взломщике, и заодно заблокирует попытки брутфорса (кстати по брутфорсу — думаю тут защищаться лучше на уровне файервола, но готовых решений к сожалению подсказать не могу).
Это все, что я хотел сказать по Вордпрессу — перейдем непосредственно к тому, что навеяли все, указанные статейки.
Но для начала немного размышлений:
Блоговедение растет ОЧЕНЬ быстрыми темпами (WP вроде самый распространенный движек) — вообще использование публичных (да и платных) CMS набирает бешенные темпы — и как правило пользуются всем этим делом люди далеко не профессионалы в аспектах защиты своего творения (блога и пр.) — думаю процентов эдак 98-99 🙂 Но каждый ! владелец блога явно не хотел бы распрощаться с ним и стопроцентно будет против каких либо надругательств над своим произведением искусства …
Какая обрисовывается картина — рынок огромен, спрос думаю найдется. Вывод напрашивается сам …
Организовать секюрити сервис, который за скромную плату постоянно проверял бы ресурсы (всяческие разные CMS) на предмет наличия уязвимостей и оповещал владельца ресурса о них плюс информировал о возможных методах залатывания дыр.
Как считаете — выгорит подобное дело ?
P.S.
Добавил в ридер пару блогов: Заработок в Интернете с интересной заметкой о методе вычисления продажных ссылок — метод рабочий на 100% ! и блог SEO-PPC-FAQ c советом как можно защитить WP от вычисления продажных ссылок (в общем то поняв идею как вычисляются покупные ссылки — защитить ресурс дело техники).
Кстати — на заметку отдельный сервис по определению продажных ссылок (мои ресурсы почему то не все выкупил, хотя с помощью метода определяются 100%)
17 комментариев на «“Защита WordPress и о защите CMS в целом”»
[…] Заметку решил написать после прочтения серии постов с похожими названиями и рождения небольшой идейки — думаю в сфере развития блогосферы весьма интересной. Дальше […]
ого, сервис по определения продажных ссылок…..посмотрел…определяет он около половины судя по моим сайтам…но все равно страшно за саттелиты свои, перебанит их яша с такими темпами раскрываемости 🙂
Ты еще в ручную остальные (которые сервис не выкупил) проверь добавлением параметра — и их определит 🙂
@Организовать секюрити сервис, который за скромную плату постоянно проверял бы ресурсы (всяческие разные CMS) на предмет наличия уязвимостей и оповещал владельца ресурса о них плюс информировал о возможных методах залатывания дыр.@
Вроде хацкерские команды как раз этим и занимаются.
Имхо: из русских желающих защищаться будут опять же гики (ну и те кто сталкивался с поломками), а для широкой популярности и хорошего оборота бизнеса (если брать плату за месяц, как подписку) нужно рекламировать сервис в буржунете среди блоггеров — там их до черта и все как один следят за модой. Для буржунета я думаю такой сервис при грамотной рекламе (Джон Чоу, Шумейкер и подобные блоггеры) можно неплохо раскрутить.
Проблема в технические деталях: не все будут ставить нужные плагины и обновляться просто из-за лени, ну и инструменты какие будут? Сканеры sql дырок и подобные решения… Не факт что вы сможете реально доказать пуленепробиваемость так сказать. И добиться ее будет реально сложно.
Спасибо Егорыч за грамотный комментарий!
Подход и анализ моей идеи даже намного более емкий, чем непосредственно само её изложение 🙂
На счёт буржунета соглашусь с тобой, да и на счет реализации ты прав — с нуля явно не потяну (тем более нет комманды), нужны хотя бы какие то заточки, наработки, связи и т.д.
на счет обновления все же добавлю — можно ведь сделать самообновляющийся софт, да и вообще с идеями сервиса проблем не будет 🙂
реализация и раскрутка это да …
ладно — отправим идейку в кладовку до созревания моего профессионализма и возможностей до уровня ее реализации …
А мы сегодня запускаем что-то подобное (по смыслу, принцип работы другой). Вот.
Сервис каждый день ходит на указанные сайты и смотрит, какие на морде есть script’ы и ifram’ы. Если что-то изменилось со времени предыдущей проверки (признак того, что сайт взломали) — отправляет тебе письмо.
Особенно полезно тем, у кого много сайтов.
Сейчас бета-тестируемся, скоро диз нарисуем 🙂 Welcome!
P.S. GTAlex, я не слишком нагло проспамился? 🙂
Fobiss — удачи в продвижении проекта, не убейте на корню …
лично я уже ваш клиент 🙂
[…] блогов на вордпрессе — рекомендую почитать о том, как защитить блог на вордпрессе и вообще любые СМС от взлома […]
по поводу защиты ВП, если кроми админа на сайт больше нечто недобавляет потсы, то проще сделать так: переименовать wp-admin например в wp-adminius. но лучше больше времени уделить защите базы данных, от воздействия кхакеров
Да недавно буквально выпустили обновление и писали о дырах в ВП, вроде в 2,6,3 поправили всё.
Объясните, пожалуйста, в чем разница стандартной защиты админки паролем и защиты паролем через .htpasswd?
Самое обсуждаемое на блогах:
Умер французский писатель Морис Дрюон
Умер основатель Рамблера Дмитрий Крюков
Бондарчук представил продолжение "Обитаемого острова"
Спасибо за полезную информацию, кстати папку wp-admnin и правда стоит переименовать, так и сделаю.
Думаю защита от спам ботов тоже каким то образом относится к теме, я напостил у себя рассказ про капчу, которую недавно нашел, по моему проект хороший, уже есть плагин для вордпресс, только не могу его найти почемуто, если найду, выложу ссылки у себя, вобщем читайте, пробуйте http://www.ilyaplot.ru/2010/03/revolyuciya-v-zashhite-bloga-ot-spam-botov/
автору: если возьмешься за проект, приглашай в комманду разрабочиков, тоже были мысли о таколм проекте
Спасибо за заметку, надо будет усилить безопастность моего блога…))
За Login LockDown спасибо автору, не знал о таком плагине. От плагина Anti-XSS attack у меня проблемы с памятью, в итоге плагин не работает. А защита через .htaccess мне кажется подойдет все-таки только владельцам статического IP.
Защита текста, картинок, исходного кода
Просто между кодом и
Размещаем код:
document.ondragstart = test;
document.onselectstart = test;
document.oncontextmenu = test;
function test() {
return false
}
Единственное, могут быть блокированы Java? но не все, пробуйте.
Тестил на FireFox