|
На страницу Пред. 1, 2 |
|
|
| Пт Dec 07, 2007 9:05 pm |
Start Post: Word Press блоги и их защита  |
![]()
Black_SEO +
Опытный |
Зарегистрирован: 29.11.2007
Сообщений: 282
|
Обратиться по нику
|
| Black_SEO + |
Ответить с цитатой | | |
|
Глянул я от нечего делать пару блогов http://chingiz.org и http://www.blog.wmplaza.com (уверен что и на других блогах все также) и понял что все тупо сводиться к простому - установил(сделал красиво) и забыл...а зря...некотрые простые операциии чтобы обезопасить блог надо было бы сделать...
хотя несомненно это дело каждого... |
|
|
|
|
|
Адальт под СМС ПОДПИСКИ Теперь никаких СМСок... КОНВЕРТ ЖГЕТ!
|
![]()
vitvirtual
виртуальный |
Зарегистрирован: 11.06.2007
Сообщений: 9061
|
Обратиться по нику
|
| vitvirtual |
Ответить с цитатой | | |
|
я тоже подписываюсь: советы в студию!!! А то здесь пока только Taburetkin нормально отпостился  |
|
|
|
|
|
www.King-Servers.com - Dedicated Servers от 65$, VDS от 25$ |
![]()
Вацлав
Сетевой Гугляка |
Зарегистрирован: 21.02.2006
Сообщений: 4965
|
Обратиться по нику
|
| Вацлав |
Ответить с цитатой | | |
|
| Самая главная дырка вордпресса, это его плагины и темплеты. Никогда не качайте и не устанавливайте без инспекции кода плагины и темплеты с неофициальных сайтов. |
|
|
|
|
|
Второе пришествие Вацлава. Камингсуново. |
![]()
Black_SEO +
Опытный |
Зарегистрирован: 29.11.2007
Сообщений: 282
|
Обратиться по нику
|
| Black_SEO + |
Ответить с цитатой | | |
|
Вобщем так как обещал – пишу…
Немного о безопасности WP (чтобы узнать больше читайте специализированные форумы по WP и сетевой безопасности):
После установки WP стоит сделать следующее:
закинуть .htaccess в следующие папки...
| Код: |
http://wordpress/wp-content/plugins/
http://wordpress/wp-content/themes/
http://wordpress/wp-admin/import/
http://wordpress//wp-admin/images/
http://wordpress/wp-includes/images/
и т.д. содержимое которых не желательно знать другим…
|
htaccess думаю все знают какого содержания (Options -Indexes)
- За ненадобностью можно удалить install.php и install-helper.php…
- Можно подправить версию WP в скрипте wp-includes/version.php (тем самым пустить по ложному следу, тока не перестарайтесь, а то могут вылететь некоторые плагины…)
Хотя если будут пользоваться сканером то это вам не поможет
В старых версиях WP куча XSS (могут украсть плюшки, и будет вам горе)… Как лекарство - можно использовать учетную запись с ограниченными правами, а акк с админскими правами оставить в стороне…
Алгорит хранения паролей md5 (не сложный в плане перебора) – так что используйте пасс с разными регистрами и цифробуквенный больше 8 – и будет Вам счастье…
На данный момент уязвимы следующие версии:
| Код: |
1.43 (1.4b4)
1.5.1.* (1.5.1.1/1.5.1.2/1.5.1.3)
2.0.* (2.0.2/2.0.5/2.0.6)
2.1* (2.1.2/2.1.3)
2.2
|
Так же существуют уязвимости в плагинах, полный список приводить не буду (глянете на мильворме если вдруг )
Одно из основных правил – своевременное обновление, хотя бы до стабильных версий вашей ветки…
Думаю этого достаточно чтоб иметь общее представление о безопасности вашего блога
P.S. Ходят слухи о наличии инъекции в WP 2.3.1,но рабочего сплоита я не видел
Кому надо дам консультацию в расширенном виде (стучим в асько,ставим плюсеги,присылаем WM)  |
|
|
|
|
|
Адальт под СМС ПОДПИСКИ Теперь никаких СМСок... КОНВЕРТ ЖГЕТ!
|
![]()
vitvirtual
виртуальный |
Зарегистрирован: 11.06.2007
Сообщений: 9061
|
Обратиться по нику
|
|
|
www.King-Servers.com - Dedicated Servers от 65$, VDS от 25$ |
![]()
Black_SEO +
Опытный |
Зарегистрирован: 29.11.2007
Сообщений: 282
|
Обратиться по нику
|
|
|
Адальт под СМС ПОДПИСКИ Теперь никаких СМСок... КОНВЕРТ ЖГЕТ!
|
![]()
agrasoff
Опытный |
Зарегистрирован: 08.12.2007
Сообщений: 106
|
Обратиться по нику
|
| agrasoff |
Ответить с цитатой | | |
|
| Black_SEO писал(а): |
закинуть .htaccess в следующие папки...
|
проще его "положить" в корень сайта,
т.к. все дочерние каталоги будут
наследовать все настройки. |
|
|
|
|
|
|
![]()
agrasoff
Опытный |
Зарегистрирован: 08.12.2007
Сообщений: 106
|
Обратиться по нику
|
|
|
|
![]()
Black_SEO +
Опытный |
Зарегистрирован: 29.11.2007
Сообщений: 282
|
Обратиться по нику
|
| Black_SEO + |
Ответить с цитатой | | |
|
да,про это...там много но ...поэтому мне кажется проще плюшки красть или получать удаленно  ,например для версии 2.1.3 это дело 1 минуты...
P.S. Не воспринимать серьезно,я ничего в этом не понимаю |
|
|
|
|
|
Адальт под СМС ПОДПИСКИ Теперь никаких СМСок... КОНВЕРТ ЖГЕТ!
|
![]()
Taburetkin
Гуру |
Зарегистрирован: 25.02.2007
Сообщений: 1426
|
Обратиться по нику
|
| Taburetkin |
Ответить с цитатой | | |
|
| agrasoff писал(а): |
| Black_SEO писал(а): |
|
P.S. Ходят слухи о наличии инъекции в WP 2.3.1,но рабочего сплоита я не видел
|
не про это?
|
Его давно уже пофиксили. Причем в тот же день как обнаружили. Фиксят все очень оперативно |
|
|
|
|
|
|
|
|
