Как повысить безопасность блога

Для того, чтобы повысить безопасность блога, первым делом нужно просмотреть все посты на эту тему. Ну а вторым делом нужно защитить себя, используя настройки, которые я приведу ниже.

Для начала нужно закрыть доступ извне ко всем служебным папкам. Делается это очень просто — добавьте в файл htaccess такую строчку:

Disallow: /wp-*

После этого все папки, начинающиеся с wp-, станут недоступны никому, кроме вас.

Так же нужно удалить версию WordPress из кода страницы — я уже писал об этом ранее. Напомню, что это делается вставкой одной строчки кода в файл functions.php:

remove_action('wp_head', 'wp_generator');

Неплохо бы защитить блог от всевозможных ботов-сканеров, бороздящих сайт ваш сайт в поисках всевозможных личных данных, ссылок и адресов. Для этого мы сейчас напишем самый настоящий плагин.
Создайте текстовый файл blockbadqueries.php и скопируйте в него такой код:

 255 ||
      strpos($_SERVER['REQUEST_URI'], "eval(") ||
      strpos($_SERVER['REQUEST_URI'], "CONCAT") ||
      strpos($_SERVER['REQUEST_URI'], "UNION+SELECT") ||
      strpos($_SERVER['REQUEST_URI'], "base64")) {
        @header("HTTP/1.1 414 Request-URI Too Long");
	@header("Status: 414 Request-URI Too Long");
	@header("Connection: Close");
	@exit;
    }
  }
}
?>

Устанавливается этот плагин, как и все другие — переписываете его в папку с плагинами и активируете. Он блокирует всевозможные «плохие» запросы, посылая их отправителей гулять лесом.

Так же не мешало бы защитить блог от «прививок» вредоносных скриптов. Делается это добавкой следующего кода в файл htaccess:

Options +FollowSymLinks
RewriteEngine On
RewriteCond %{QUERY_STRING} (|%3E) [NC,OR]
RewriteCond %{QUERY_STRING} GLOBALS(=|[|%[0-9A-Z]{0,2}) [OR]
RewriteCond %{QUERY_STRING} _REQUEST(=|[|%[0-9A-Z]{0,2})
RewriteRule ^(.*)$ index.php [F,L]

Ну и самое главное, святая святых — это файл wp-config.php. В нем и пароль от вашей базы данных, и секретные ключи. Его нужно спрятать от всех подальше, то есть напрочь закрыть к нему любой доступ извне. Делается это через фал htaccess добавлением в него таких строчек:

order allow,deny
deny from all

Береженого бог бережет!

tiaurus

Автор n-wp.ru — блога о WordPress для новичков.

Оцените автора
Добавить комментарий

  1. Флетчер

    Отличная статья!

    Ответить
  2. Дмитрий

    По поводу скрытия версии блога. Я по rss-фиду wordpress-блога могу сказать какая используется версия:

    <generator>http://wordpress.org/?v=x.x</generator>

    Так, что нет смысла прятать функцией. За статью спасибо!

    Ответить
  3. Флетчер
    # BEGIN WordPress
    <IfModule mod_rewrite.c>
    RewriteEngine On
    RewriteBase /
    RewriteRule ^index\.php$ - [L]
    RewriteCond %{REQUEST_FILENAME} !-f
    RewriteCond %{REQUEST_FILENAME} !-d
    RewriteRule . /index.php [L]
    </IfModule>
    
    # END WordPress
    AddDefaultCharset utf-8
    RewriteEngine On
    RewriteCond %{HTTP_USER_AGENT} ^$                                                              [OR]
    RewriteCond %{HTTP_USER_AGENT} ^.*(<|>|'|%0A|%0D|%27|%3C|%3E|%00).*                            [NC,OR]
    RewriteCond %{HTTP_USER_AGENT} ^.*(HTTrack|clshttp|archiver|loader|email|nikto|miner|python).* [NC,OR]
    RewriteCond %{HTTP_USER_AGENT} ^.*(winhttp|libwww\-perl|curl|wget|harvest|scan|grab|extract).* [NC]
    RewriteRule ^(.*)$ - [F,L]
    RewriteEngine On
    RewriteCond %{QUERY_STRING} [^?]*\? [OR]
    RewriteCond %{QUERY_STRING} (\.\./|\.\.\\) [OR]
    RewriteCond %{QUERY_STRING} (///) [OR]
    RewriteCond %{THE_REQUEST} "^(GET|POST) /?https?:"
    RewriteRule (.*) $1 [F]
    Disallow: /wp-*
    Options +FollowSymLinks
    RewriteEngine On
    RewriteCond %{QUERY_STRING} (\<|%3C).*script.*(\>|%3E) [NC,OR]
    RewriteCond %{QUERY_STRING} GLOBALS(=|\[|\%[0-9A-Z]{0,2}) [OR]
    RewriteCond %{QUERY_STRING} _REQUEST(=|\[|\%[0-9A-Z]{0,2})
    RewriteRule ^(.*)$ index.php [F,L]
    <files wp-config.php>
    order allow,deny
    deny from all
    </files>

    Что-то я нахимичил в файле htaccess теперь ни на сайт ни в админку не заходит выдает ошибку — 500 Internal Server Error. Хотя хостинг работает в норме.
    Подскажите как быть?:)

    Ответить
    1. tiaurus

      По-моему, конфликтуют два блока между собой: с 13 по 17 строчку и с 19 по 23. Попробуйте удалить один из них и посмотреть, что получится.

      Ответить
      1. Флетчер

        Спасибо, все заработало, как только убрал дублирующие строчки с 19 по 24.

        Ответить
  4. дядя Валера,эсквайр

    Приветствую тебя,Начальник Сайта! Видимо эта страница не для таких крутых чайников как я! Давеча вставил в htaccess рекомендованную тобой пропись супротив спам-ботов(одолевали через комменты, штук по 10 в сутки)- СПАСИБО!- ни единого спам-коммента за неделю! Но вот, рекомендованная тобой пропись туда-же Disallow: /wp-* — в первую очередь сработала против меня (и,думаю — против всех моих благообразных посетителей)- блог напрочь перестал быть доступным — ошибка – 500 Internal Server Error. То же самое при вставке туда всех здесь рекомендованных прописей. А как создать текстовый файл blockbadqueries.php — думаю, не только я один этого не знаю. Так что, уважаемый Начальник, тебе бы очень неплохо немного «приопустить» (сделать более понятной) эту страничку…

    Ответить
  5. Дядя Валера, эсквайр

    Вот похвалился, что не стало спам-комментов от роботов, оказывается заблокировались и людские комменты..(движок Вордпресс 2.9.2)

    Ответить
    1. Kama

      Вот, могу порекомендовать свой плагин защиты от спама: http://wp-kama.ru/id_95/plagin-dlya-blokirovki-spama-v-kommentariyah-dlya-wordpress.html

      Ответить
  6. cetra

    1 Disallow: /wp-* yfписала эту строчку, сайт перестал открываться выдает ошибку почему так?

    Ответить
    1. tiaurus

      Все таки, судя по количеству нареканий именно к этой строчке, работает она некорректно в некоторых блогах. Видимо это связано с настройками безопасности серверов у хостера, но все же лучше будет не употреблять ее.

      Ответить
  7. cetra

    ваш блог далеко не первый где я встречаю такой совет, когда речь идет о безопастности блога, и его все дают и дают хотя я не встретила еще человека у которого это корректно сработало

    Ответить
  8. Олег

    господа, я конечно не профи, но по-моему формат
    Disallow: /wp-*

    это для файла robots.txt
    вставьте эту строчку туда, и все будет работать корректно.

    п.с. большое спасибо создателю этого сайта, нашел много полезной инфы

    Ответить