Один из вариантов защиты WP

Редактировалось: 7 раз — последний 3 августа 2013
Просмотров: 371
Настроение: нормуль
Играет: Бах,Бетховен
+4
: 4
Здравствуйте, многоуважаемые! cry
Если ВЫ читаете эту страницу, значит вас прямо или косвенно данная тема интересует. Все как в знаменитом фильме, "Берегись автомобиля", помните?
- "Почему вы убегаете?"
- "Потому-что вы догоняете..."
Так же и с безопасностью в интернете, мы защищаем, потому-что нас "ломают"... , так называемый палиндром или парадокс, как не назовите, смысл не изменен.

Сразу поясню, я не претендую на создание панацеи и не собираюсь отбирать хлеб у профессиональных программистов, в своей статье я затрону всего лишь маленькую часть вопросов и в основном мои суждения о вопросах безопасности- из личного опыта.Вы часто пытались найти в рунете подходящее руководство? Нашли? Это вопрос скорее по оптимизации сайтов, а точнее вопрос к поисковикам, которые предъявляют кучу требований к web-програмистам, дизайнерам и пишущим в свои блоги. (Яндекс пишет вообще как хочешь, так и понимай-"наш поисковый бот- сам по себе, а мы как хотим , так и проиндексируем...".) Поэтому, пишем господа для людей, а не для ботов, если вам конечно есть, что написать... К сожалению очень трудно хоть что-то нужное найти в рунете.Я вообще перестал искать по статьям и рубрикам, только конкретных людей, которые, по моему мнению говорят и пишут достаточно грамотно. НО, простите за отступление, вот ради чего собственно я решил написать то что ВЫ (надеюсь уже не ушли с блога...) читаете.
Пропущу ряд вопросов по обеспечению безопасности:
1. На вашем компьютере должна быть установлена минимум 1 антивирусная программа( лучше 2)
2. Любые пароли доступа НЕ ХРАНИМ на компьютере...
3.Для работы используйте браузер- Mozilla.(с отключенными плагинами ВСЕМИ)
4. НЕ пользуемся "ломанным софтом"
5.Желательно прорабатывать все на локальном сервере.
6. И обновляемся,обновляемся...
Список можно продолжить но я об этом напомнил, чтобы пропустить...
Вот создали в тему оформления для своего сайта или блога в программе Artisteer, далее (так как часть скриптов я испытываю на Wordpress), пойдем от печки:
1.При установке WP. на сервер не забываем сменить префикс таблиц со стандартного wp_
2.Меняем логин admin на любой(желательно не относящийся к сайту или лично к вам)
3.Генерируем cookies.
4.Переносим файл config.php на уровень выше(убираем из деректории WP)
5.Удаляем файлы с сервера: license.txt, readme.html, wp-config-sample.php, install.php.
6.Придумываем надежный пароль для входа в админку.
7.Создаем файл robots.txt, где блокируем от поисковиков админ. часть блога.
8.В файл functions.php вашей темы, которые вы создали в Artisteer, добавляем с третьей строки функции:
Подробнее в статье:Статья из серии вредных советов
И в самый конец добавляем функцию обрезки версий плагинов и скриптов
Подробнее в статье:Функция обрезки цифровых обозначений
Добавление данных функций не нарушает ни чьх прав. (По функциям более подробно поясню, просто спросите что заинтересует...)
Кратко:
В начало файла мы добавляем функции блокирования:
1. Блокирование вывода предупреждений о количестве попыток для входа в панель управления.
2. Убираем из header ссылки на rsd_link
3. Убираем из header ссылки на rsd_link_extra
4. Убираем упоминание о движке и его версии.
В конец файла:
Функция, обрезающая цифровые обозначения (версии плагинов, скриптов).

Соответственно, это минимум, который необходим, я всего лишь напомнил, многое и упустил, а многое можно просто сделать плагинами.которых пред остаточное количество. Сразу оговорюсь, выкладывая далее часть материалов(из соображений безопасности) я слегка видоизменил, что собственно не повлияло на их работоспособность.И еще одно небольшое отступление: если ваш сайт в среднем посещают до 500 человек в день, врят ли ВЫ заинтересуете профи., в интернете полно программ, которые в автоматическом порядке отслеживают слабо-защищенные сайты с целью всего лишь установить на них свои ссылки и редиректы, и знаете неработоспособный сайт никому НЕ НУЖЕН! Часто просто баловство или желание попробовать свои силы в "программировании". Из этого складывается "ВЗЛОМ" сайтов.(хотя причин гораздо больше).
За последние несколько недель, как я ни прятал на нескольких блогах панель входа в WP ( и изменял wp-login.php), все равно до 10-15 попыток в день ,было зайти в админку. Так вот и пришло решение установить дополнительный пароль на административную часть WP, то есть при обновлении движка данные из баз и ваши файлы, остаются неизменными, единственное, то, что мы добавляем в файл wp-login.php, необходимо будет дописать.

1. Создаем файл loocin.php и вписываем туда функцию пароля:

<?php
Error_Reporting(E_ALL & ~E_NOTICE);
include("consol.php");
$dimmuborgir = $_SERVER['PHP_AUTH_USER'];
$gravedigger = $_SERVER['PHP_AUTH_PW'];
$sql = "Select * from artnikov where bomber='".$dimmuborgir."' and viking='".md5($gravedigger)."'";
$result = mysql_query($sql);
if (mysql_num_rows($result)!= 1)
{
Header("HTTP/1.0 401 Auth Required");
Header("WWW-authenticate: basic realm='Admin?'");
exit;
}
else {

session_start();
$_SESSION['valid_user'] = true;
}
?>

2. Создаем файл consol.php и вписываем ( связь с базами):

<?php
$db = mysql_connect ("localhost","mysql","mysql");
mysql_select_db ("artnikov", $db);
?>

3.Создаем таблицу в базе данных или экспортируем готовый файл(создаем файл artnirov.sql и вставляем код) В phpmyadmin надо будет изменить пароль, установив галочку на md5 (вторая строка таблицы):

-- phpMyAdmin SQL Dump
-- version 3.5.4
--
-- Хост: 127.0.0.1:3306
-- Время создания: Дек 20 2012 г., 15:24
-- Версия сервера: 5.5.28-log
-- Версия PHP: 5.4.9

SET SQL_MODE="NO_AUTO_VALUE_ON_ZERO";
SET time_zone = "+00:00";


/*!40101 SET @OLD_CHARACTER_SET_CLIENT=@@CHARACTER_SET_CLIENT */;
/*!40101 SET @OLD_CHARACTER_SET_RESULTS=@@CHARACTER_SET_RESULTS */;
/*!40101 SET @OLD_COLLATION_CONNECTION=@@COLLATION_CONNECTION */;
/*!40101 SET NAMES utf8 */;

--
-- База данных: `artnikov`
--

-- --------------------------------------------------------

--
-- Структура таблицы `artnikov`
--

CREATE TABLE IF NOT EXISTS `artnikov` (
`bomber` varchar(20) DEFAULT NULL,
`viking` varchar(80) DEFAULT NULL,
KEY `viking` (`viking`)
) ENGINE=MyISAM DEFAULT CHARSET=utf8;

--
-- Дамп данных таблицы `artnikov`
--

INSERT INTO `artnikov` (`bomber`, `viking`) VALUES
('artnikov', 'c4ca4238a0b9');

/*!40101 SET CHARACTER_SET_CLIENT=@OLD_CHARACTER_SET_CLIENT */;
/*!40101 SET CHARACTER_SET_RESULTS=@OLD_CHARACTER_SET_RESULTS */;
/*!40101 SET COLLATION_CONNECTION=@OLD_COLLATION_CONNECTION */;

4. В файл входа в админ панель(wp-login.php обычно), после знака <?php, прописываем функцию (W:domainsххххххххххwwwloocin.php-это полный путь до файла его можно узнать из баз данных, либо поместив временно на сервер файл info.php(с содержимым: <?php phpinfo () ; ?>)

include("W:domainsххххххххххwwwloocin.php");

файлы 1 и 2 заливаем в корень сайта(там где все файлы WP) и ВСЕ.
Теперь прежде чем вообще попасть на панель входа WP, надо будет ввести пароль и логин. Так что все автоматические обходчики отдыхают.Поясню, это не панацея и взломать можно ВСЕ, что угодно, это один из вариантов. Можно вообще удалять wp-login.php и по необходимости устанавливать его на место...
Пробовать вам, решать вам, если по функциям есть предложения, критика, замечания- рад "услышать". Честно говоря я знаю слабые места данного способа, но еще раз повторюсь: должна быть серьезная причина, для того, чтоб ваш блог взламывали профи.
P.S. Сейчас опробовал более надежный способ:
Если кратко. то оба файла лучше располагать выше директории, в котором находится движек, соответственно меняется путь в wp-login.php. Так как файлы с паролями к базам рекомендуется хранить в более надежном месте.
(хотелось бы сказать "нас не догонят", там далее по-аналогии, но лучше промолчу.)
Удачи вам!
Скачать одним архивом
Комментарии (4)
alavira #
: +1
Хорошая инфа, пока не знаю пригодиться или нет, но все равно спасибо.
Только вот это:
7.Создаем файл robots.txt, где блокируем от поисковиков админ. часть блога.
Возможно лишнее.
Если закрываем админку в robots.txt то значит автоматом показываем путь до неё я не только WP имею ввиду, а любую систему. А зачем закрывать то? Она под паролем и поисковый бот её и так не просканирует laugh
Да и системные папки иногда то же не стоит закрывать в robots.txt ... Смысл? там нет контентных страниц, там скрипты, а контент он как бы в базе данных zst
artnikov #
: +1
Да, конечно с одной стороны это так, но все боты (поисковые, спамеры, "взломщики") они одинаковы, даже если директория запаролина, она из инета ни куда не исчезает. И соответственно, если запрета нет на индекс, то бот ее определит и проиндексирует. Если вы наберете в поисковике админ.пхп или логин.пхп, ВЫ удивитесь, там почти все светятся... . У меня нет таких файлов (админ.пхп или логин.пхп) но я их создал (пустые) так , для отвлечения от реальной админки(конечно если она вообще существует). А со скриптами немого сложнее, они чаще становятся "объектами".
gradus #
: 0
Здравствуйте smile Подскажите пожалуйста как вы узнаете что к ВАМ в админку пытаются подобрать пароль scratch smile

Я заметил что с момента моего последнего визита ВЫ добавили новую информацию в блог . Спасибо ВАМ за ваши труды ! лично для меня это информация очень полезна и интересна smile
artnikov #
: +1
Смотрите статистику на сервере. Там формируются "сырые" лог файлы, при их просмотре ВСЕ видно, кто, когда и с какого IP, пытался войти по адресу... Так как у меня нет таких адресов(wp-login.php), соответственно от сюда и все проистекает....

Случайное из блогов

artnikov
Доброго всем здоровья! С наступившим ВАС и с наступающими... При переводе файлов админки WP, я как-то...
4 - +13
skaz
Как подключить к Joomla не стандартный слайдер новостей, слайд шоу картинок. В интернете очень много...
9 - +6
samson
Доля покупок и оказания услуг в интернете все увеличивается. Нам все больше приходится платить он лайн....
3 - +8
artnikov
Доброго здоровья. В интернете МИЛЛИОН статей на тему, как вывести сайт за кратчайший срок в ТОП 3 или ТОП...
11 - +7
samson
Joomla выходит все новыми релизами, и часто возникают вопросы, на какой делать сайт, графики ниже выхода...
4 - +9