Protezione completa per il tuo blog WordPress

(Ancora nessuna valutazione)
Загрузка ... Caricamento in corso ...

Ho l'abitudine di controllare i molti siti sulla possibilità di hacking. Più precisamente - per la sua protezione. Non voglio dire che io Cerf Internet alla ricerca di siti vulnerabili, piuttosto analizzo Popeye "braccio".

Ho notato che molti dei miei lettori sono fortemente trascurato la sicurezza dei loro blog senza fare alcuni passi per autodifesa dopo l'installazione di WordPress o l'aggiornamento. Questo è semplicemente enorme!

In primo luogo

La maggior parte dei cracker (soprattutto studenti e scolari, dopo aver visto film come "Hacker") per la rottura di un blog su WordPress utilizzando i dati sulla sua versione. Versione del blog è possibile trovare una varietà di modi.

Ad esempio, utilizzando il file readme.html e license.txt che si trova nella directory principale del sito.
Guardate voi stessi:
SeoBlondinka.ru ,
Krutikoff.com.ua ,
TiamatInc.ru ,
Online-delo.ru ,
Trakhtenberg.info ,
Dimoning.ru
ecc
Non voglio dare via nulla. La più sorprendente è che molti di questi webmaster non sono il primo su Internet, ma può essere un tale grave errore. Ragazzi! Cerchiamo di eliminare la vostra vulnerabilità!

Per questo è sufficiente eliminare i file readme.html license.txt e via FTP per kornevike blog. Molto probabilmente sarà una cartella nomesito / public_html /

Per controllare la disponibilità del tuo blog su questo tipo di vulnerabilità di entrare nel vostro indirizzo del browser: http://imya_sayta/readme.html

Inoltre, ha scritto la sua propria versione worpress direttamente nel codice della pagina. Nella testa del titolo.
Per pulirla, mettere questo tema in linea funzioni functions.php

  'wp_head' , 'wp_generator' ) ; ?> <Php remove_action ('wp_head', 'wp_generator');??> 

In secondo luogo

Cartella Utility del motore può anche essere di qualche pericolo. Un utente malintenzionato può vedere che (per esempio) i plugin che si sta utilizzando e trovare la "chiave" per il tuo blog.

Per esempio: Spryt.ru , Online-delo.ru ecc

Eliminare troppo facilmente. Inserire un index.html vuoto o un file index.php nel nome della cartella del sito / wp-admin /, nomesito / wp-content /, nomesito / wp-includes /. O fare come faccio io. Metti questo qui è un interessante file di . Figo, eh? Scaricarlo e usarlo.

Consiglia inoltre di aggiungere al vostro file. Htaccess, che si trova anche alla base delle linee del sito

  - Indexes Opzioni Tutte - Indici
 RewriteEngine On 

Questo proteggerà altri di visualizzare le cartelle estranei.

Per controllare il vostro (o qualcun altro) Blog di entrare una vulnerabilità nella barra degli indirizzi del browser ecc

Con la lettura di questo post, spero che dei blog di cui sopra come esempio gli autori, ha eliminato la sua vulnerabilità. Il resto mi può consigliare per risolvere il proprio.

Ultima modifica: 08/06/2013 alle 02:39
Pubblicato: Sabato, 14 marzo 2009 alle 17:41
Scegli la lingua:

Commenti: 11

Bar media: 4,92 su 5
  1. GPS
    21 marzo 2009 alle 22:02

    Eliminare troppo facilmente. Inserire un index.html vuoto o un file index.php nella cartella

    1. htaccess

      - Indexes Opzioni Tutte - Indici 

    Come lei ha ricordato di seguito, è sufficiente.

      RewriteEngine On 

    un elenco di directory non si applica.

    2. Una buona pratica è quella di rinominare la cartella amministrativa o coprirlo con una password - meno tentazione si pone.

    3. Tritare le gesta tipiche, come si fa in Jumla. Nella. Htaccess

     # Block out any script trying to base64_encode crap to send via URL RewriteCond %{QUERY_STRING} base64_encode.*\(.*\) [OR] # Block out any script that includes a <script> tag in URL RewriteCond %{QUERY_STRING} (\<|%3C).* script .*(\>|%3E) [NC,OR] # Block out any script trying to set a PHP GLOBALS variable via URL RewriteCond %{QUERY_STRING} GLOBALS(=|\[|\%[ 0 -9A-Z]{ 0 , 2 }) [OR] # Block out any script trying to modify a _REQUEST variable via URL RewriteCond %{QUERY_STRING} _REQUEST(=|\[|\%[ 0 -9A-Z]{ 0 , 2 }) # Send all blocked request to homepage with 403 Forbidden error! RewriteRule ^(.*)$ index.php [F,L] RewriteEngine su # bloccare qualsiasi script cercando di base64_encode merda inviare tramite URL RewriteCond% {QUERY_STRING} base64_encode. * \ (. * \) [OR] # Bloccare qualsiasi script che include un tag <script> in URL RewriteCond% {QUERY_STRING } (\ <|% 3C) * copione * (\..> |% 3E) [NC, OR] # Bloccare qualsiasi script cerca di impostare un GLOBALS PHP variabile tramite URL RewriteCond% {QUERY_STRING} GLOBALS (= | \ [ | \% [0-9A-Z] {0, 2}) [OR] # Bloccare qualsiasi script cercando di modificare una variabile _REQUEST via URL RewriteCond% {QUERY_STRING} _REQUEST (= | \ [| \% [0-9A -Z] {0, 2}) # Invia tutte le richieste bloccate alla homepage con 403 errore Forbidden! RewriteRule ^ (. *) $ index.php [F, L] 

    4. Non consentire l'accesso diretto alle cartelle contenenti librerie del motore e altri file che non sono richieste dal browser direttamente (con i metodi GET / POST). . Stesso htaccess nella root / include:

      <Files *. Php>
     Order Deny, Allow
     Nega di tutto
     </ Files> 

    La cartella principale (se c'è un php.ini locale):

      <Files Php.ini> # 

    o anche tutti -. * ini

      Order Deny, Allow
     Nega di tutto
     </ Files> 

    L'elenco delle maschere vietate espandersi come necessario.

    5. In php disabilitare l'output di errore. Dimostrazione di "inciampato» di query SQL può essere un hacker vantaggio - se il motore non è un tipico o modificato:
    nel php.ini locale

      display_errors = Off 

    Allo stesso tempo, non disdegnando errori burrone. Non si sa mai ...

      error_log = / path_to_your_home / php_errors.log 

    6. Dalla categoria di Apache "forse utile" consente di limitare i metodi consentiti di protocollo http. Ad esempio, per disabilitare il metodo CONNECT. Htaccess

      <Limit Collegare>
     Order Deny, Allow
     Nega di tutto
     </ Limit> 

    Rispondere

  2. Kursak
    9 Ottobre, 2009 alle 15:30

    Sì, l'ho fatto:

      - Indexes Opzioni Tutte - Indici 

    E il sito si è coperto!
    Alcuni buoni consigli, wow!

    Rispondere

  3. Kursak
    9 Ottobre, 2009 alle 15:45
      RewriteCond% {QUERY_STRING} base64_encode. * \ (. * \) [OR]
     # Bloccare qualsiasi script che include un tag di URL
     RewriteCond% {QUERY_STRING} (\ |% 3E) [NC, OR]
     # Bloccare qualsiasi script cercando di impostare una variabile GLOBALS PHP
     via URL
     -9A-Z]{ 0 , 2 }) [OR] RewriteCond% {QUERY_STRING} GLOBALS (= | \ [| \% [0-9A-Z] {0, 2}) [OR]
     # Bloccare qualsiasi script cercando di modificare una variabile _REQUEST
     via URL
     -9A-Z]{ 0 , 2 }) RewriteCond% {QUERY_STRING} _REQUEST (= | \ [| \% [0-9A-Z] {0, 2})
     # Invia tutte le richieste bloccate alla homepage di
     403 errore Forbidden!
     RewriteRule ^ (. *) $ Index.php [F, L] 

    Lo ha fatto - e ancora aleggiava sito. :)
    E 'ridicolo. :)

    Rispondere

  4. Kursakov
    9 Ottobre, 2009 alle 15:47
      Order Deny, Allow
     Nega di tutto 

    Con questa stessa storia. :)

    Rispondere

  5. Catherine
    14 gennaio 2010 alle 15:32

    Inserire il codice in una funzione e mostra ancora la versione ...

    Rispondere

  6. Ai Pi Mani
    14 gennaio 2010 alle 18:36

    A quanto pare, non si guarda indietro. Versione WP viene rimosso dal codice HTML della pagina. Nella versione Admin rimarrà visibile.

    Se avete fatto tutto bene, ma è nella versione codice della pagina di WordPress persiste, allora molto probabilmente hai una pagina cache abilitata. In tal caso, attendere che la cache di aggiornare o pulire da soli.

    Rispondere

  7. dd
    26 gennaio 2010 alle 13:28

    GPS commento letterato scritto, ma è necessario fare esperienza Kursak non può bloccarsi a causa di opzioni del sito All-Indexes

    Rispondere

  8. Dima
    28 Feb 2010 alle 08:23

    Se si compila il index.html wp-admin vuota, quindi come raggiungere il pannello di amministrazione? Qual è la soluzione?

    Rispondere

  9. Ai Pi Mani
    1 marzo 2010 alle 20:34

    Per arrivare al pannello di amministrazione non è un problema:
    http://imya_sayta/wp-admin/index.php

    Rispondere

  10. oldvovk
    26 Ago, 2010 alle 13:03

    Sì, questo non è tutto. Ad esempio, scaricato le informazioni sulla versione - blog feed saytmet da Google e Dagon, al tempo stesso pone un plug-in Java. Sì, non si sa mai posti dove si accende.

    Rispondere

  11. Paul
    23 Dicembre 2010 alle 13:32

    Grazie! Proprio rilevante.
    E 'vero. Tritare le gesta tipiche, come si fa in Jumla dentro htaccess. L'ho anche caduto giù. Ho dovuto eseguire il rollback.

    Rispondere

Avete qualcosa da dire? Non tacere!


Il tuo commento verrà visualizzato dopo essere stato moderato.
Spam e messaggi off-topic verranno eliminati.

Per inserire php-codice, utilizzare il tag:
<pre lang="php"> php-codice </ pre>


Io non sono uno spammer!