Как повысить безопасность блога

Для того, чтобы повысить безопасность блога, первым делом нужно просмотреть все посты на эту тему. Ну а вторым делом нужно защитить себя, используя настройки, которые я приведу ниже.

Для начала нужно закрыть доступ извне ко всем служебным папкам. Делается это очень просто – добавьте в файл htaccess такую строчку:

Disallow: /wp-*

После этого все папки, начинающиеся с wp-, станут недоступны никому, кроме вас.

Так же нужно удалить версию WordPress из кода страницы – я уже писал об этом ранее. Напомню, что это делается вставкой одной строчки кода в файл functions.php:

remove_action('wp_head', 'wp_generator');

Неплохо бы защитить блог от всевозможных ботов-сканеров, бороздящих сайт ваш сайт в поисках всевозможных личных данных, ссылок и адресов. Для этого мы сейчас напишем самый настоящий плагин.
Создайте текстовый файл blockbadqueries.php и скопируйте в него такой код:

 255 ||
      strpos($_SERVER['REQUEST_URI'], "eval(") ||
      strpos($_SERVER['REQUEST_URI'], "CONCAT") ||
      strpos($_SERVER['REQUEST_URI'], "UNION+SELECT") ||
      strpos($_SERVER['REQUEST_URI'], "base64")) {
        @header("HTTP/1.1 414 Request-URI Too Long");
	@header("Status: 414 Request-URI Too Long");
	@header("Connection: Close");
	@exit;
    }
  }
}
?>

Устанавливается этот плагин, как и все другие – переписываете его в папку с плагинами и активируете. Он блокирует всевозможные “плохие” запросы, посылая их отправителей гулять лесом.

Так же не мешало бы защитить блог от “прививок” вредоносных скриптов. Делается это добавкой следующего кода в файл htaccess:

Options +FollowSymLinks
RewriteEngine On
RewriteCond %{QUERY_STRING} (|%3E) [NC,OR]
RewriteCond %{QUERY_STRING} GLOBALS(=|[|%[0-9A-Z]{0,2}) [OR]
RewriteCond %{QUERY_STRING} _REQUEST(=|[|%[0-9A-Z]{0,2})
RewriteRule ^(.*)$ index.php [F,L]

Ну и самое главное, святая святых – это файл wp-config.php. В нем и пароль от вашей базы данных, и секретные ключи. Его нужно спрятать от всех подальше, то есть напрочь закрыть к нему любой доступ извне. Делается это через фал htaccess добавлением в него таких строчек:

order allow,deny
deny from all

Береженого бог бережет!

Автор tiaurus 2182 Articles
Являюсь создателем n-wp.ru — блога о WordPress для новичков. Мне интересно многое, поэтому еще я сделал 123-box.ru — блог о программах для Windows, и tiaurus.info — блог о красоте.

12 Комментарии

  1. По поводу скрытия версии блога. Я по rss-фиду wordpress-блога могу сказать какая используется версия:

    http://wordpress.org/?v=x.x

    Так, что нет смысла прятать функцией. За статью спасибо!

  2. # BEGIN WordPress
    
    RewriteEngine On
    RewriteBase /
    RewriteRule ^index\.php$ - [L]
    RewriteCond %{REQUEST_FILENAME} !-f
    RewriteCond %{REQUEST_FILENAME} !-d
    RewriteRule . /index.php [L]
    
    
    # END WordPress
    AddDefaultCharset utf-8
    RewriteEngine On
    RewriteCond %{HTTP_USER_AGENT} ^$                                                              [OR]
    RewriteCond %{HTTP_USER_AGENT} ^.*(< |>|'|%0A|%0D|%27|%3C|%3E|%00).*                            [NC,OR]
    RewriteCond %{HTTP_USER_AGENT} ^.*(HTTrack|clshttp|archiver|loader|email|nikto|miner|python).* [NC,OR]
    RewriteCond %{HTTP_USER_AGENT} ^.*(winhttp|libwww\-perl|curl|wget|harvest|scan|grab|extract).* [NC]
    RewriteRule ^(.*)$ - [F,L]
    RewriteEngine On
    RewriteCond %{QUERY_STRING} [^?]*\? [OR]
    RewriteCond %{QUERY_STRING} (\.\./|\.\.\) [OR]
    RewriteCond %{QUERY_STRING} (///) [OR]
    RewriteCond %{THE_REQUEST} "^(GET|POST) /?https?:"
    RewriteRule (.*) $1 [F]
    Disallow: /wp-*
    Options +FollowSymLinks
    RewriteEngine On
    RewriteCond %{QUERY_STRING} (\< |%3C).*script.*(\>|%3E) [NC,OR]
    RewriteCond %{QUERY_STRING} GLOBALS(=|\[|\%[0-9A-Z]{0,2}) [OR]
    RewriteCond %{QUERY_STRING} _REQUEST(=|\[|\%[0-9A-Z]{0,2})
    RewriteRule ^(.*)$ index.php [F,L]
    
    order allow,deny
    deny from all
    

    Что-то я нахимичил в файле htaccess теперь ни на сайт ни в админку не заходит выдает ошибку – 500 Internal Server Error. Хотя хостинг работает в норме.
    Подскажите как быть?:)

    • По-моему, конфликтуют два блока между собой: с 13 по 17 строчку и с 19 по 23. Попробуйте удалить один из них и посмотреть, что получится.

  3. Приветствую тебя,Начальник Сайта! Видимо эта страница не для таких крутых чайников как я! Давеча вставил в htaccess рекомендованную тобой пропись супротив спам-ботов(одолевали через комменты, штук по 10 в сутки)- СПАСИБО!- ни единого спам-коммента за неделю! Но вот, рекомендованная тобой пропись туда-же Disallow: /wp-* – в первую очередь сработала против меня (и,думаю – против всех моих благообразных посетителей)- блог напрочь перестал быть доступным – ошибка – 500 Internal Server Error. То же самое при вставке туда всех здесь рекомендованных прописей. А как создать текстовый файл blockbadqueries.php – думаю, не только я один этого не знаю. Так что, уважаемый Начальник, тебе бы очень неплохо немного “приопустить” (сделать более понятной) эту страничку…

    • Все таки, судя по количеству нареканий именно к этой строчке, работает она некорректно в некоторых блогах. Видимо это связано с настройками безопасности серверов у хостера, но все же лучше будет не употреблять ее.

  4. ваш блог далеко не первый где я встречаю такой совет, когда речь идет о безопастности блога, и его все дают и дают хотя я не встретила еще человека у которого это корректно сработало

  5. господа, я конечно не профи, но по-моему формат
    Disallow: /wp-*

    это для файла robots.txt
    вставьте эту строчку туда, и все будет работать корректно.

    п.с. большое спасибо создателю этого сайта, нашел много полезной инфы

Оставить комментарий

Ваш электронный адрес не будет опубликован.


*