Про безпеку WordPress і не тільки — захищаємо свої сайти від втручання

Дата: 1 жовтня 2013 Рубрика: Технічні поради по WP Коментарі: Прокоментуй!

День добрий, шановні друзі! Сьогодні ми з Вами поговоримо про безпеку блогів на WordPress і будь-яких сайтів взагалі. На цю статтю надихнув мене лист одного користувача, який дещо мені показував і прислав посилання, перейшовши за яким я побачив не зовсім прийнятну картину. Зараз я все поясню та розкладу по поличках.

Повторювати очевидні речі, такі як зміна логіну admin, встановлення складного пароля, ми не будемо, це відомо всім, а розглянемо випадок, коли будь-який сторонній користувач може переглянути внутрішнє наповнення Вашого ресурсу. Тобто — будь-хто має можливість продивитись, а що Ви тримаєте в теках на сервері, які файли, які архіви і т.д.

Я покажу Вам на прикладі свого блогу, де я цей захист зніму на хвилинку для статті. Отже, користувач прислав мені лінк, який я випадково не до кінця скопіював та вставив в адресний рядок браузера. Натиснувши Enter, я побачив повний перелік всіх файлів, які містились в певній директорії.

Приклад: є у мене на блозі тека buttons, де я зберігаю різні малюночки, кнопочки, банерки і тому подібне. Ось що відбувається, коли вміст ресурсу фактично загальнодоступний. Будь-хто набирає в браузері адресу

http://webdigest.com.ua/buttons/

і бачить перед собою все, що я в цій теці зберігаю.

Така ситуація недопустима, адже мало що я можу там зберігати ... Якісь секретні архіви, наприклад, які не призначені для широкого загалу, тощо, тому цю ситуацію потрібно виправляти негайно, адже це неприємно і небезпечно.

Багато хостинг-майданчиків по-замовчуванню мають увімкнену функцію, яка забороняє доступ до директорій, якщо ж ні — Вам необхідно зробити це самостійно. Проаналізуйте, візьміть будь-яку теку на Вашому сервері і спробуйте відкрити її в браузері. Якщо перед собою побачите білу сторінку або Вас перенаправить на сторінку 404 — значить все окей, якщо ж Ви будете спостерігати перелік файлів, які містяться в цій директорії — читайте статтю далі.

Отже, захист я вмикаю назад і тепер при наборі в адресному рядку

http://webdigest.com.ua/buttons/

я бачу наступну картину

Тобто зараз ніхто не зможе продивитись серверний вміст, а тим більше нашкодити, всі теки закриті від прямого доступу — якщо у Вас навпаки, поставте цей захист НЕГАЙНО!

Як це зробити.

Кожна CMS в початковому стані має в собі файл .htaccess, де прописані певні налаштування. Якщо у Вас звичайний, самописний сайт, то Вам такий файл необхідно створити. Це дуже просто — створюєте звичайний текстовий файл htaccess.txt, видаляєте розширення .txt і додаєте крапку перед назвою файлу. В результаті у Вас вийде порожній .htaccess

Але, як я вже казав, практично кожен двигунець, WordPress однозначно, цей файл вже має.

Відкриваємо його текстовим редактором Notepad++ і вносимо невеличку зміну. Якщо там у Вас є якісь записи, то в самому кінці прописуємо

Options -Indexes

Тут будьте уважні, після слова Options обов'язково повинен стояти пробіл, інакше Вам видасть помилку. Якщо ж у Вас в .htaccess не було ніяких записів, то просто вписуємо цю функцію на початку.

Все, тепер Ви можете бути спокійні за збереження вмісту Ваших серверних тек. Проаналізуйте свої сайти і виправте цю «дірочку» обов'язково, адже захист та безпека блогу завжди повинні бути в пріоритеті.

Також хочу нагадати всім, хто тільки починає освоювати WordPress, блогінг та блогосферу — ОБОВ'ЯЗКОВО змінюйте логін адміністратора, не використовуйте стандартний admin, про пароль, я гадаю, всім і так зрозуміло — він повинен бути складний та такий, який не підбирається. Ніяких днів народження, адрес, назви улюблених музичних гуртів і т.д.

Пам'ятайте, безпека Ваших проектів багато в чому залежить від Вас самих, а зловмисники дуже добре знають поширені пробіли в захисті і вміло цим користуються.

Не забувайте робити резервні копії своїх сайтів (я це роблю приблизно раз на два тижні), тоді будете мати гарантію, що не приведи Господи до якоїсь халепи — Ви будете мати звідки відновити свою працю.

Бажаю Вам безпечної роботи в мережі, вдалого блогінгу та просто гарного настрою, не дивлячись на похмуру осінню погоду.

Шануйтеся!


З повагою, Олег Волощук.

Бажаєте мати свій власний блог на WordPress?

Отримайте АБСОЛЮТНО БЕЗКОШТОВНО детальний відеокурс і вперед!

Ваш E-Mail 100% в безпеці!

 

Залишити свій коментар

;-) :| :x :twisted: :smile: :shock: :sad: :roll: :razz: :oops: :o :mrgreen: :lol: :idea: :grin: :evil: :cry: :cool: :arrow: :???: :?: :!:

Google + фейсбук Вконтакті Twitter RSS
Категорії
  • Інтерв’ю (4)
  • Конкурси (5)
  • Оголошення (11)
  • Особисте (19)
  • Плагіни для Wordpress (15)
  • Саморозвиток (7)
  • Технічні поради по WP (24)
Останні коментарі
  • Олег Волощук до Maxthon Cloud Browser — потужний хмарний браузер, який впевнено завойовує ринок
  • Валентина до Maxthon Cloud Browser — потужний хмарний браузер, який впевнено завойовує ринок
  • Ольга до Використовуємо звичайну флешку в якості оперативної пам'яті на OC Windows
  • Vlad38 до Використовуємо звичайну флешку в якості оперативної пам'яті на OC Windows
  • Олег Волощук до Maxthon Cloud Browser — потужний хмарний браузер, який впевнено завойовує ринок
Канал на YouTube
Соціальні спільноти
Кращі коментатори
Павло(4)
Vlad38(2)
Валентин.(1)
Ольга(1)
Pavlofox(1)
запитів / генер. стор. / спож. пам'яті
51 / 0.371 / 57.76mb
Вгору