×
Ruby on Rails: постинг твитов через Twitter API (04 нояб 2017)

Практикуемся в Ruby on Rails.

Вопрос Безопасность сайта на Wordpress

Больше
5 года 3 нед. назад #1 от Jannet
Jannet создал эту тему: Безопасность сайта на Wordpress
Прочитала статью про безопасность сайта на Joomla и RSFirewall . Tell please, а существует ли что-нибудь подобное для Wordpress?

Еще немного - и я всему научусь. :)

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

Больше
5 года 3 нед. назад - 5 года 3 нед. назад #2 от Aleksej
Aleksej ответил в теме Безопасность сайта на Wordpress
Попробуйте BULLETPROOF SECURITY WORDPRESS PLUGIN .
Незаменимая, думается мне, штука, когда дело касается безопасности сайта, работающего на движке wordpress.

Страница плагина на wordpress.org.

Что же это за плагин такой?
BulletProof Security защищает ваш сайт от целого ряда хакерских атак, базирующихся на использовании различных уязвимостей: XSS, RFI, CRLF, CSRF... Base64, Code Injection and SQL Injection. И все это - в один клик. Плагин защищает WP-config.php, BB-config.php, php.ini, php5.ini, install.php и readme.html, включая htaccess защиту. Реализует дополнительную проверку безопасности сайта: DB errors off, разрешения файлов/каталогов. Выводит информацию о системе: PHP, MySQL, OS, Server, Memory Usage, IP, SAPI, DNS, Max Upload, удаляет метатег Wordpress.

Действительно нужная весчь. Как работает, сложно ли установить и настроить? - нет, все происходит действительно в несколько кликов: после установки BulletProof Security вам нужно лишь - 1. Нажать на кнопку AUTOMAGIC (AutoMagic - Create Your htaccess Master Files) 2. Активировать все BulletProof режимы. Практически - на этом все, ничего более делать не потребуется (клик, чтобы увеличить):





Причем BulletProof Security, умея работать в различных режимах и по-разному настроенных сайтах, подсказывает вам, обратите внимание - какую именно кнопку нажать; нужная именно вам выделена зеленым цветом (клик, чтобы увеличить):





Что происходит при активации того или иного BulletProof-режима? Все опять же несложно: ваш .htaccess, находящийся в корневой директории сайта - будет заменен на другой, секьюрный; также появится .htaccess в директории wp-admin (ваш прежний .htaccess, если он у вас был ранее в этой директории, в чем я не уверен - будет заменен на новый), и еще два .htaccess станут охранять две вновь созданные директории плагина.

Проделав описанные несложные манипуляции - откройте вкладку Security Status; вам необходимо убедиться, что здесь нет записей красного цвета, см. скриншот (клик, чтобы увеличить):





Собственно, все, что вам нужно - это забэкапить средствами плагина ваши старые .htaccess и, как уже сказано, "активировать все BulletProof-режимы", что выражается в создании четырех файлов .htaccess. Маленькая ремарка: размещение нового файла .htaccess в корне публичной директории вашего сайта подразумевает - вы обязательно должны таким же образом включить BulletProof-режим и для папки wp-admin; это рекомендация разработчика. Защита директорий плагина не является столь же обязательной, но безусловно желательна: активируйте, мой вам совет, все 4 режима. Собственно, два последних .htaccess совершенно незамысловаты:

order deny,allow
deny from all

Иное дело - secure.htaccess и wpadmin-secure.htaccess; сделанные, поверьте, весьма и весьма профессионально. Приводить код здесь не буду, предоставлю возможность всем желающим обеспечить достойный уровень защиты для своего блога на wordpres... Скажу лишь, что .htaccess, генерируемый , ни в какое сравнение не идут со стандартным:

# BEGIN WordPress
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteBase /
RewriteRule ^index\.php$ - [L]
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule . /index.php [L]
</IfModule>

# END WordPress


Следует отметить, что при обновлении плагина - а такое происходит нередко, разработчик активно работает над своим расширением, улучшая защиту и адаптируя плагин под все новые и новые релизы Wordpress - будут обновляться и ваши .htaccess (первые два). Происходит это полностью в автоматическом режиме, вам не нужно предпринимать для этого никаких дополнительных усилий (клик, чтобы увеличить):





Плагин BulletProof Security без малейших проблем работает на абсолютном большинстве веб-хостингов; выявлены проблемы лишь с хостингами двух компаний - Landis Holdings и NTT Communications:
  • Hostingzoom (Landis Holdings)
  • Resellerzoom (Landis Holdings)
  • Modvps (Landis Holdings)
  • WowVPS.com (Landis Holdings)
  • JaguarPC (Landis Holdings)
  • Verio (NTT Communications)
  • NTT America (NTT Communications)
  • NTT Europe (NTT Communications)

Да, и о самом главном я, кажется, забыл упомянуть.. плагин бесплатен. Да-да, именно так; Pro-версия существует, предусматривая, в основном, автоматическое или ручное создание пользовательских файлов php.ini, призванных обеспечить дополнительный уровень безопасности и производительности системы; также - различные грани мониторинга безопасности и оповещений. Плюс еще ряд инструментов... без которых вы, я уверен, вполне сможете обойтись в контексте своего блога. Одним словом - для начала вам более чем хватит, на мой субъективный взгляд, и версии Free; а впрочем - решать вам. Список различий free- и pro- версий можно взглянуть на этой странице .

Успехов!
Последнее редактирование: 5 года 3 нед. назад от Aleksej.

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

Больше
1 год 11 мес. назад #3 от Прохожий
Прохожий ответил в теме Безопасность сайта на Wordpress
Скажите, я правильно понимаю, что закрыть сайт, вернее доступ к админке вордпресса для одного-двух ip (достали своими попытками войти, перебрав пароли), я могу, внеся в htaccess строчки наподобие :

## USER IP BANNING
<Limit GET POST>
 order allow,deny
 deny from xxx.xx.xx.xx
 allow from all
</Limit>

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

Больше
1 год 11 мес. назад #4 от Aleksej
Aleksej ответил в теме Безопасность сайта на Wordpress
Прохожий, переношу ваш вопрос сюда, в эту ветку форума, так как он напрямую касается обсуждаемой темы. Вы не против? - вот и хорошо.

Ответ: да, сможете. Но я бы избрал несколько иной путь: не банить пару-тройку ip, уличенных в попытках Brute Force Login Attacks (на их место быстро придут другие, незаменимых у нас нет), а, наоборот, открыть доступ к админке только для себя самого, закрыв возможность доступа для всех других. Эта задачка очень удобно решаема посредством все того же BULLETPROOF SECURITY WORDPRESS PLUGIN.

Интерфейс плагина чуть изменился за время, прошедшее с момента старта топика, но суть осталась неизменной: плагин по-прежнему отлично защищает от различного рода атак ваш сайт, работающий под управлением WordPress. Появились кое-какие новые функции, модернизированы и улучшены старые... попробуем сейчас все это вкратце рассмотреть применительно к вашему вопросу.

Последняя версия BULLETPROOF SECURITY автоматически включает блокировку учетной записи, если она подвергается попыткам атак брутфорса (перебора паролей); опции блокировки вы можете самостоятельно настроить на вкладке Login Security. Если так случилось, что ваша учетка заблокирована, а вам необходимо срочно войти в админку - разработчик советует переименовать каталог плагина, зайдя по ftp (или ssh), залогиниться, восстановить работоспособность плагина и разблокировать свою учетку в этой же вкладке бакенда плагина... да, но и эти сложности нам с вами ни к чему.

Сделаем еще проще и эффективнее: откроем вкладку Security Status, найдем Reset|Recheck Dismiss Notices и нажмем Reset|Recheck... вновь увидим ряд скрытых ранее нотиций, или попросту ссылок; одна из которых приведет нас именно на эту страничку разработчика плагина. Откуда мы с вами заберем примерно такой код:

# Protect wp-login.php from Brute Force Login Attacks based on IP Address
<FilesMatch "^(wp-login\.php)">
Order Allow,Deny
# Add your Public IP Address using 2 or 3 octets so that if/when
# your IP address changes it will still be in your subnet range. If you
# have a static IP address then use all 4 octets.
# Examples: 2 octets: 65.100. 3 octets: 65.100.50. 4 octets: 65.100.50.1
Allow from XXX.XX.XX.XX
</FilesMatch>


; подчеркиваю, код лучше взять все-таки у разработчика, здесь это просто пример. Копипастим и идем на страничку Custom Code плагина; здесь открываем спойлер Root htaccess File Custom Code, пролистываем вниз и вставляем код в поле, заголовок которого содержит CUSTOM CODE BOTTOM HOTLINKING/FORBID COMMENT SPAMMERS/BLOCK BOTS/BLOCK IP/REDIRECT CODE: Add miscellaneous code here, далее жмем Save Root Custom Code.

Возвращаемся в Security Modes и нажимаем (да, вот так, здесь все на кнопках) Create secure.htaccess File; после чего уже можно завершить операцию, отметив Activate Root Folder BulletProf Mode и нажав кнопку Activate/Deactivate. После чего, при желании, можно открыть htaccess File Editor и полюбоваться на свой рабочий .htaccess сайта: в самом низу появились строчки, закрывающие вход в админку для всех IP, кроме вашего (не забудьте только заменить им произвольные цифры примера).

Также не забудьте, описанный алгоритм действий надежно закроет вход на сайт для всех IP, кроме поименованных в вашем новом htaccess... если это неприемлемо (например, необходимо обеспечить возможность залогиниться на вашем сайте нескольким пользователям, авторам, редакторам, etc) - оптимально воспользоваться (все точно так же) уже иными строчками кода (скопируйте там же, на странице разработчика BULLETPROOF SECURITY):


For folks who DO want to allow other folks to be able to login/register to their website

This code below will block/Forbid are large number of automated Brute Force Login attempts based on Server Protocol HTTP/1.0, which is an outdated Server Protocol used by hackers and spammers on older Proxy software or modified Proxy software for various beneficial reasons to those hackers and spammers. This code has a 95%/5% success fail ratio meaning that this code works on 95% of websites/Servers and does not work on 5% of websites/Servers. See the IMPORTANT NOTE below.

IMPORTANT NOTE: If you see a 403 error on your login page when trying to login or log out of your website then you cannot use this code on your Server/Website and will need to delete this code to correct the 403 error on login and logout.

# BRUTE FORCE LOGIN PAGE PROTECTION
# Protects the Login page from SpamBots, HackerBots & Proxies
# that use Server Protocol HTTP/1.0 or a blank User Agent
RewriteCond %{REQUEST_URI} ^(/wp-login\.php|.*wp-login\.php.*)$
RewriteCond %{HTTP_USER_AGENT} ^$ [OR]
RewriteCond %{THE_REQUEST} HTTP/1\.0$ [OR]
RewriteCond %{SERVER_PROTOCOL} HTTP/1\.0$
RewriteRule ^(.*)$ - [F,L]


И т.д. и т.п. Надеюсь, ответил.

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

Больше
1 год 11 мес. назад #5 от Aleksej
Aleksej ответил в теме Безопасность сайта на Wordpress
Сделал краткий обзор предлагаемого на сегодняшний день автором BulletProof Security бонусного кода - Protect Login Page from Brute Force, POST Attack Protection, Speed Boost Cache Code, Protect the wp-trackback.php file to prevent trackbacks or pingbacks, the External iFrame|Clickjacking Bonus Custom Code above with the MIME sniffing|Drive-by Download Attack Bonus Custom Code. По ссылке.

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.