Une protection complète pour votre blog WordPress

(Pas encore de note)
Загрузка ... Chargement en cours ...

J'ai l'habitude de vérifier les nombreux sites sur la possibilité de piratage. Plus précisément - pour sa protection. Je ne veux pas dire que je Cerf Internet à la recherche de sites vulnérables, plutôt analyser Popeye "bras".

J'ai remarqué que beaucoup de mes lecteurs sont fortement négligé la sécurité de leurs blogs sans faire quelques étapes de légitime défense après l'installation de WordPress ou mise à niveau. C'est juste énorme!

Premièrement

La plupart des craquelins (en particulier les étudiants et les enfants de l'école, après avoir regardé des films comme "Hacker") pour briser un blog sur WordPress en utilisant les données sur sa version. Version du blog vous pouvez trouver une variété de façons.

Par exemple, en utilisant le fichier readme.html et license.txt situé à la racine du site.
Voyez vous-même:
SeoBlondinka.ru ,
Krutikoff.com.ua ,
TiamatInc.ru ,
Online-delo.ru ,
Trakhtenberg.info ,
Dimoning.ru
etc
Je ne donnerai rien enlever. Le plus surprenant est que beaucoup de ces webmasters sont pas les premiers sur l'Internet, mais peut être une erreur aussi grave. Guys! Nous allons éliminer votre vulnérabilité!

Pour cela il vous suffit de supprimer les fichiers readme.html license.txt et sur le FTP de kornevike blog. Très probablement, il sera un nomdusite dossier / public_html /

Pour vérifier la disponibilité de votre blog sur ce type de vulnérabilités conclure votre adresse de votre navigateur: http://imya_sayta/readme.html

En outre, il a écrit sa propre version WorPress directement dans le code de la page. Dans le titre HEAD.
Pour le nettoyer, mettre ce thème fonctions ligne functions.php dans

  'wp_head' , 'wp_generator' ) ; ?> <Php remove_action ('wp_head', 'wp_generator');?> 

Deuxièmement

dossier Utilitaires du moteur peut également être de quelque danger. Un attaquant peut voir qui (par exemple) les plugins que vous utilisez et de trouver la "clé" de votre blog.

Par exemple: Spryt.ru , Online-delo.ru etc

Éliminer trop facilement. Placez un fichier index.html vide ou fichier index.php dans le dossier nom du site / wp-admin /, nomdusite / wp-content /, nomdusite / wp-includes /. Ou fais ce que je fais. Mettre cela voici un intéressant dossier . Cool, hein? Téléchargez-le et utilisez-le.

Vous recommande également à ajouter à votre fichier htaccess., Qui se trouve également à l'origine des lignes du site

  - Indexes Toutes les options - Index
 RewriteEngine On 

Cela permettra de protéger les autres de voir vos dossiers étrangers.

Pour vérifier votre (ou quelqu'un d'autre) Blog d'entrer une vulnérabilité dans la barre d'adresse du navigateur etc

En lisant ce post, j'espère que les auteurs des blogs ci-dessus à titre d'exemple, a éliminé sa vulnérabilité. Le reste, je peut vous conseiller pour fixer votre propre.

Dernière mise à jour: 08/06/2013 à 01:07
Publié: Samedi 14 Mars 2009 à 17h41
Choisissez la langue:

Commentaires: 11

Bar moyenne: 4,92 sur 5
  1. GPS
    21 mars 2009 à 22:02

    Éliminer trop facilement. Placez un fichier index.html vide ou un fichier index.php dans le dossier

    1. htaccess

      - Indexes Toutes les options - Index 

    Comme vous l'avez mentionné ci-dessous, c'est assez.

      RewriteEngine On 

    une liste de répertoires ne s'applique pas.

    2. Une bonne pratique consiste à renommer le dossier administratif ou le couvrir avec un mot de passe - moins de tentation surgit.

    3. Hacher les exploits typiques, comme cela se fait dans Jumla. Dans le htaccess.

      RewriteEngine on
     # Bloque sur n'importe quel script essayer de base64_encode merde à envoyer
     via l'URL
     % {QUERY_STRING} base64_encode RewriteCond. * \ (. * \) [OR]
     # Bloquer toute script qui inclut une balise <script> dans l'URL
     .*(\>|%3E) [NC,OR] RewriteCond% {QUERY_STRING} (\ <| 3C%) * Script * (\..> |% 3E) [NC, OR]
     # Bloque sur n'importe quel script en essayant de définir une variable GLOBALS PHP
     via l'URL
     -9A-Z]{ 0 , 2 }) [OR] RewriteCond% {QUERY_STRING} GLOBALS (= | \ [| \% [0-9A-Z] {0, 2}) [OR]
     # Bloque sur n'importe quel script en essayant de modifier une variable _REQUEST
     via l'URL
     -9A-Z]{ 0 , 2 }) RewriteCond% {QUERY_STRING} _REQUEST (= | \ [| \% [0-9A-Z] {0, 2})
     # Envoyer toutes les demandes bloqué à l'accueil avec
     Erreur 403 Forbidden!
     RewriteRule ^ (. *) $ Index.php [F, L] 

    4. Ne pas permettre un accès direct aux dossiers contenant des bibliothèques du moteur et d'autres fichiers qui ne sont pas demandés par le navigateur directement (par des méthodes GET / POST). . Le même htaccess dans la racine de votre / include:

      <Files *. Php>
     Order Deny, Allow
     Refuser de tous
     </ Files> 

    Le dossier racine (si il ya un php.ini local):

      <Files Php.ini> # 

    ou même la totalité - *. ini

      Order Deny, Allow
     Refuser de tous
     </ Files> 

    La liste des masques interdits étendre au besoin.

    5. En php désactiver la sortie d'erreur. Démonstration de «trébuché» requête SQL peut être un hacker aubaine - si le moteur n'est pas une caractéristique ou modification:
    dans le php.ini locale

      display_errors = Off 

    Dans le même temps, ne dédaignant pas les erreurs de ravins. On ne sait jamais ...

      error_log = / path_to_your_home / php_errors.log 

    6. Dans la catégorie des Apache "pourrait être utile" vous permet de restreindre les méthodes autorisées de protocole http. Par exemple, pour désactiver la méthode CONNECT. Htaccess

      <Limit Connect>
     Order Deny, Allow
     Refuser de tous
     </ Limit> 

    Répondre

  2. Kursak
    9 octobre 2009 à 15:30

    Ouais, je l'ai fait:

      - Indexes Toutes les options - Index 

    Et le site lui-même couvert!
    De bons conseils, wow!

    Répondre

  3. Kursak
    9 octobre 2009 à 15:45
      % {QUERY_STRING} base64_encode RewriteCond. * \ (. * \) [OR]
     # Bloquer toute script qui comprend une étiquette dans l'URL
     RewriteCond% {QUERY_STRING} (\ |% 3E) [NC, OR]
     # Bloque sur n'importe quel script en essayant de définir une variable GLOBALS PHP
     via l'URL
     -9A-Z]{ 0 , 2 }) [OR] RewriteCond% {QUERY_STRING} GLOBALS (= | \ [| \% [0-9A-Z] {0, 2}) [OR]
     # Bloque sur n'importe quel script en essayant de modifier une variable _REQUEST
     via l'URL
     -9A-Z]{ 0 , 2 }) RewriteCond% {QUERY_STRING} _REQUEST (= | \ [| \% [0-9A-Z] {0, 2})
     # Envoyer toutes les demandes bloqué à l'accueil avec
     Erreur 403 Forbidden!
     RewriteRule ^ (. *) $ Index.php [F, L] 

    At-il - et encore plané site. :)
    Il est ridicule. :)

    Répondre

  4. Kursakov
    9 octobre 2009 à 15:47
      Order Deny, Allow
     Refuser de tous 

    Avec cette même histoire. :)

    Répondre

  5. Catherine
    14 janvier 2010 à 15:32

    Insérez le code dans une fonction et montre encore la version ...

    Répondre

  6. Ai Pi Mani
    14 janvier 2010 à 18:36

    Apparemment, vous ne regardez pas en arrière. La version de WP est retiré du code HTML de la page. Dans la version Administrateur restera visible.

    Si vous avez tout fait correctement, mais c'est dans la page version du code de WordPress persiste, il est fort probable que vous avez une mémoire cache de la page activée. Dans un tel cas, attendre que le cache rafraîchir ou nettoyer vous-même.

    Répondre

  7. dd
    26 janvier 2010 à 13:28

    GPS commentaire lettré écrit, mais vous avez besoin d'acquérir de l'expérience Kursak ne peut pas bloquer à cause des options du site All-Indexes

    Répondre

  8. Dima
    28 février 2010 à 08:23

    Si vous remplissez le index.html wp-admin vide, alors comment se rendre à l'interface d'administration? Quelle est la solution?

    Répondre

  9. Ai Pi Mani
    1 mars 2010 à 20:34

    Pour accéder à l'interface d'administration n'est pas un problème:
    http://imya_sayta/wp-admin/index.php

    Répondre

  10. oldvovk
    26 août 2010 à 13:03

    Oui ce n'est pas tout. Par exemple, l'objet de dumping les informations de version - RSS Blog saytmet de Google et Dagon, dans le même temps met un plug-ins Java. Oui, vous ne savez jamais là où elle s'allume.

    Répondre

  11. Paul
    23 décembre 2010 à 13:32

    Je vous remercie! Juste pertinente.
    Il est vrai. Hacher les exploits typiques, comme cela se fait dans Jumla po htaccess. C'est ce que j'ai aussi dégringolé. Je devais revenir.

    Répondre

Vous avez quelque chose à dire? Ne pas se taire!


Votre commentaire apparaîtra après avoir été modéré.
Spam et les messages hors sujet seront supprimés.

Pour insérer code PHP, utilisez la balise:
<pre lang="php"> php-code </ pre>


Je ne suis pas un spammeur!