08 03.2011

Безопасность блога на WordPress. Часть 1

08.03.2011

Wordpress

Если вы задумывались о безопасности своего ресурса — это уже не плохо.
И первое что бросаеться в глаза, это процедура входа в админку. Ведь каждый пользователь, набрав адрес вида : http://адрес_сайта/wp-login , попадает на страницу авторизации.
А что будет если пользователь решит набрать, к примеру, путь к вашему контенту http://адрес_сайта/wp-content или http://адрес_сайта/wp-includes ?

Если вы видите белый экран ,то всё неплохо, если-же список файлов, то эта статья вам в помощь. Хотя я настоятельно рекомендую проделать нижеперечисленные действия даже если вам кажеться что у Вас всё в порядке с безопасностью.

Править мы будем файл .htaccess который лежит в корне вашего ресурса ( там-же гда и папки wp-content, wp-includes). Открываете его любым удобным для вас текстовым редактором, хотя лучше Notepad ++ я ещё не видел.

Добавьте этот код :

  1. Options All –Indexes

Вот собственно всё, что касаеться доступа к вашим файлам.

UTF-8, и только UTF-8.

Поскольку мы уже работаем с файлом .htaccess, думаю будет полезно дать ещё пару
советов во благо вашего блога.
Чтобы мы не имели проблем с кодировкой относительно плагинов которые ставим
себе на блог — добавьте этот код в первую строчку .htaccess :

  1. AddDefaultCharset UTF-8

Обезопасим блог от хотлинка.

Следующим кодом мы обезопасим себя от хотлинка каритнок, запостеных на вашем блоге.
Допустим, кто-то выложил у себя на страничке фотографию, но дабы не качать её к себе, он
просто прописывает путь к ней непосредственно с вашего сайта.
В итоге на ваш сервер идёт нагрузка, проследить которую вы даже не в состоянии.
Чтобы запретить такой доступ к вашим ресурсам, прописываем, опять-таки в файл  .htaccess
следующий код (где адрес blog812.ru меняете на свой) :

  1. RewriteEngine on
  2. RewriteCond %{HTTP_REFERER} !^$
  3. RewriteCond %{HTTP_REFERER} !^http://(www.)?blog812.ru/.*$ [NC]
  4. RewriteRule .(gif|jpg|js|css)$ - [F]

Страница авторизации под контролем.

Теперь вернёмся к нашей странице авторизации, и позаботимся о том чтобы плохие-плохие
люди не могли перебирать пароли вашей админки с помощью специальных скриптов.
Поможет нам в этом плагин Login LockDown.

В первую очередь скачиваем свежую версию, копируем в папку wp-content/plugins.
Активируем как все другие плагины.
Теперь переходим к настройке.
Заходим в параметры, находим пункт  Login LockDown и кликаем по нему.

Настройки плагина :

1. Max Login Retries — устанавливается максимальное количество попыток ввода пароля.

2. Retry Time Period Restriction (minutes) — время, а точней, количество минут,
за которые считается то самое максимальное количество попыток ввода пароля.

3. Lockout Length (minutes) — время на которое заблокируется возможность
авторизоваться .

Следовательно, по умолчанию, если не трогать настройки, будет следующее:
если 3 раза подряд в течениесли за 5 минут,пароль будет введен неправильно 3 раза ,
то админка WordPress блокируется на 60 минут.

Настройки плагина Login LockDown по умолчанию, на мой взгляд вполне приемлемы,
и их можно не трогать.

Чтобы увидеть работу плагина, нажмите выход в правом верхнем углу и попадёте
на страничку авторизации. Или в другом браузере наберите  ваш_блог/wp-admin

Кроме этого, можно из окна авторизации убрать строчку с текстом:
Login form protected by Login LockDown

Для этого открываем файл, по адресу /ваш_блог/wp-content/plugins/login-lockdown
loginlockdown.php и находим строку:

  1. function ll_credit_link(){
  2. echo "
  3. Login form protected by <a href="http://www.bad-neighborhood.com/login-lockdown.html">Login LockDown</a>.
  4. ";

Изменяем по своему желанию.

Вот как виглядит эта строка у меня:

  1. function ll_credit_link(){
  2. echo "
  3. Не забывайте пароли ^_^
  4. ";

и сама страница авторизации.

Мой htaccess :

  1. AddDefaultCharset UTF-8
  2.  
  3. RewriteEngine On
  4. RewriteBase /
  5. RewriteRule ^index.php$ - [L]
  6. RewriteCond %{REQUEST_FILENAME} !-f
  7. RewriteCond %{REQUEST_FILENAME} !-d
  8. RewriteRule . /index.php [L]
  9.  
  10. Options All -Indexes
  11. RewriteEngine on
  12. RewriteCond %{HTTP_REFERER} !^$
  13. RewriteCond %{HTTP_REFERER} !^http://(www.)?blog812.ru/.*$ [NC]
  14. RewriteRule .(gif|jpg|js|css)$ - [F]
  15. # END WordPress

С уважением OlegS9.^_^

Безопасность блога на Wordpress. Часть 1 PinExt  wordpress
htaccess, ,

Благодарю Вас за добавление статьи в :




No comments yet.

Написать ответ

Premium Wordpress Themes
Яндекс.Метрика