.
20 января 2008

Защита WordPress и о защите CMS в целом

1 Звезда2 Звезды3 Звезды4 Звезды5 Звезд (Не было оценок)
posted in WordPress, Размышления |

Защита WordPress и о защите публичных CMS в целом

И снова небольшая заметочка по WP в частности и вообще о защите публичных движков.

Заметку решил написать после прочтения серии постов с похожими названиями и рождения небольшой идейки — думаю в сфере развития блогосферы весьма интересной.

Для начала некоторая выжимка информации по защите WP с постов, прочитанных мною:

Обратите повышенно внимание папке wp-admin — если Вы работаете с каких то определенных айпишников — очень советую создать .htaccess, где явно прописать доступ именно с этих айпишников (или подсети в случае работы через провайдера, где IP адрес выделяется динамически с определенного диапазона) — более подробно об этом моменте лучше почитать в заметке 3 простых шага для защиты вашего блога на Wordpress.

В случае если предыдущий метод не подходит можно на папочку wp-admin поставть авторизированный доступ средствами .htpasswd — об этом методе хорошо написано в статье Как защитить WordPress-блог
чтобы не мучаться в ручную Вам поможет плагинчик WordPress Plugin — htaccess password protection for wp-admin

От попыток зайти в админку с неправильным реферером спасет плагин Плагин «Anti-XSS attack»

Плагин Login LockDown запишет все неудачные попытки входа в панель управления с подробной информацией о взломщике, и заодно заблокирует попытки брутфорса (кстати по брутфорсу — думаю тут защищаться лучше на уровне файервола, но готовых решений к сожалению подсказать не могу).

Это все, что я хотел сказать по Вордпрессу — перейдем непосредственно к тому, что навеяли все, указанные статейки.

Но для начала немного размышлений:

Блоговедение растет ОЧЕНЬ быстрыми темпами (WP вроде самый распространенный движек) — вообще использование публичных (да и платных) CMS набирает бешенные темпы — и как правило пользуются всем этим делом люди далеко не профессионалы в аспектах защиты своего творения (блога и пр.) — думаю процентов эдак 98−99 :) Но каждый ! владелец блога явно не хотел бы распрощаться с ним и стопроцентно будет против каких либо надругательств над своим произведением искусства ...

Какая обрисовывается картина — рынок огромен, спрос думаю найдется. Вывод напрашивается сам ...

Организовать секюрити сервис, который за скромную плату постоянно проверял бы ресурсы (всяческие разные CMS) на предмет наличия уязвимостей и оповещал владельца ресурса о них плюс информировал о возможных методах залатывания дыр.

Как считаете — выгорит подобное дело ?

P.S.

Добавил в ридер пару блогов: Заработок в Интернете с интересной заметкой о методе вычисления продажных ссылок — метод рабочий на 100% ! и блог SEO-PPC-FAQ c советом как можно защитить WP от вычисления продажных ссылок (в общем то поняв идею как вычисляются покупные ссылки — защитить ресурс дело техники).

Кстати — на заметку отдельный сервис по определению продажных ссылок (мои ресурсы почему то не все выкупил, хотя с помощью метода определяются 100%)

Post to Twitter Tweet This Post

Запись опубликована on 20.01.2008 at 22:17 and is filed under WordPress, Размышления. Вы можете читать комментарии, используя RSS-ленту. Вы можете оставить комментарий, или отправить трекбек с Вашего сайта.

Похожие статьи

У нас куча комментариев (12) на запись “Защита WordPress и о защите CMS в целом”

Почему бы Вам не высказать своем мнение! Позвольте нам узнать, что Вы думаете...

  1. 1 On 21.01.2008, Защита WordPress и о защите CMS в целом : Блог Молчуна said:

    [...] Заметку решил написать после прочтения серии постов с похожими названиями и рождения небольшой идейки — думаю в сфере развития блогосферы весьма интересной. Дальше [...]

  2. 2 On 21.01.2008, Brando said:

    ого, сервис по определения продажных ссылок...посмотрел...определяет он около половины судя по моим сайтам...но все равно страшно за саттелиты свои, перебанит их яша с такими темпами раскрываемости :)

  3. 3 On 21.01.2008, GTAlex said:

    Ты еще в ручную остальные (которые сервис не выкупил) проверь добавлением параметра — и их определит :)

  4. 4 On 24.01.2008, egorych said:

    @Организовать секюрити сервис, который за скромную плату постоянно проверял бы ресурсы (всяческие разные CMS) на предмет наличия уязвимостей и оповещал владельца ресурса о них плюс информировал о возможных методах залатывания дыр.@

    Вроде хацкерские команды как раз этим и занимаются.

    Имхо: из русских желающих защищаться будут опять же гики (ну и те кто сталкивался с поломками), а для широкой популярности и хорошего оборота бизнеса (если брать плату за месяц, как подписку) нужно рекламировать сервис в буржунете среди блоггеров — там их до черта и все как один следят за модой. Для буржунета я думаю такой сервис при грамотной рекламе (Джон Чоу, Шумейкер и подобные блоггеры) можно неплохо раскрутить.

    Проблема в технические деталях: не все будут ставить нужные плагины и обновляться просто из-за лени, ну и инструменты какие будут? Сканеры sql дырок и подобные решения... Не факт что вы сможете реально доказать пуленепробиваемость так сказать. И добиться ее будет реально сложно.

  5. 5 On 24.01.2008, GTAlex said:

    Спасибо Егорыч за грамотный комментарий!

    Подход и анализ моей идеи даже намного более емкий, чем непосредственно само её изложение :)

    На счёт буржунета соглашусь с тобой, да и на счет реализации ты прав — с нуля явно не потяну (тем более нет комманды), нужны хотя бы какие то заточки, наработки, связи и т.д.

    на счет обновления все же добавлю — можно ведь сделать самообновляющийся софт, да и вообще с идеями сервиса проблем не будет :)

    реализация и раскрутка это да ...

    ладно — отправим идейку в кладовку до созревания моего профессионализма и возможностей до уровня ее реализации ...

  6. 6 On 25.01.2008, Fobiss said:

    А мы сегодня запускаем что-то подобное (по смыслу, принцип работы другой). Вот.

    Сервис каждый день ходит на указанные сайты и смотрит, какие на морде есть script'ы и ifram'ы. Если что-то изменилось со времени предыдущей проверки (признак того, что сайт взломали) — отправляет тебе письмо.

    Особенно полезно тем, у кого много сайтов.

    Сейчас бета-тестируемся, скоро диз нарисуем :-) Welcome!

    P.S. GTAlex, я не слишком нагло проспамился? :)

  7. 7 On 26.01.2008, GTAlex said:

    Fobiss — удачи в продвижении проекта, не убейте на корню ...

    лично я уже ваш клиент :)

  8. 8 On 12.06.2008, Перенос блога на вордпрессе на новый хостинг said:

    [...] блогов на вордпрессе — рекомендую почитать о том, как защитить блог на вордпрессе и вообще любые СМС от взлома [...]

  9. 9 On 14.08.2008, деньги said:

    по поводу защиты ВП, если кроми админа на сайт больше нечто недобавляет потсы, то проще сделать так: переименовать wp-admin например в wp-adminius. но лучше больше времени уделить защите базы данных, от воздействия кхакеров

  10. 10 On 21.11.2008, азартный игрок said:

    Да недавно буквально выпустили обновление и писали о дырах в ВП, вроде в 2,6,3 поправили всё.

  11. 11 On 15.04.2009, Сайтоведение said:

    Объясните, пожалуйста, в чем разница стандартной защиты админки паролем и защиты паролем через .htpasswd?

  12. 12 On 15.04.2009, Always last said:

    Самое обсуждаемое на блогах:
    Умер французский писатель Морис Дрюон
    Умер основатель Рамблера Дмитрий Крюков
    Бондарчук представил продолжение «Обитаемого острова»

  13. Always Last said:
    Самое обсуждаемое на блогах:
    Пожар в клубе “Опера”
    Землетрясение в Турции
    Обращение Алексея Девотченко к коллегам

Оставить комментарий