Вы хотите, чтобы Ваш блог взломали?Спонсор поста: Купить доменное имя Я заметил, что многие не делают несколько важных вещей после установки блога на WordPress, которые могут сильно повердить блогу – открываются существенные возможности для взлома. Я был очень удивлен, но знаменитые блоггеры, такие как Тёмма, Спрут, даже ПрофитХантер тоже грешат этими ошибками. Другие блоги я не проверял, мне и так «хватило» :)
Во-первых. После установки блога удалите с FTP файлы readme.html и license.txt. Через них можно узнать версию блога. А это чревато подбором эксплойта под Вашу версию. Знаете, от чего я действительно был в шоке? Теперь я знаю версию блога Тёммы, Спрута, SeoInSoul‘а, ProfitHunter… А кто еще?.. Ребята же не молодой тупняк, в Интернете не первый год. Спрут меня убил наповал – такооой доисторической версии ВП я давно не видел. Обновляйся! Срочно! Кстати, правило: обязательно устанавливайте новые обновления, т.к. они выходят обычно как раз из-за того, что для предыдущей версии блога созданы хаки и сплойты. Мне могут возразить, мол, когда ставится обновление, не обязательно переписывается readme.html. Я не устанавливал автоматическое обновление. Но при ручном обычно просто копируются все файлы поверх старых – значит, мы все же даем хакеру актуальную информацию о версии блога. Кроме того, сам WP зачем-то пишет свою версию прямо в код страницы. В заголовке. Чтобы убрать ее оттуда, «пропишите в функции темы (functions.php) строку remove_action (’wp_head’, ‘wp_generator’);» (с) http://optimization.ws/2008/06/no-meta-generator/ Во-вторых. Плагины – тоже опасное место. Зная, какие плагины установлены, хакер может попытаться применить к ним разные «наборы» для взлома и скрипты. Плагины посмотреть проще простого: открыть эту директорию через адрес строки. Например, у того же Спрута опять косяк. Для защиты от этого создайте пустой файл, назовите его index.php и поместите в каталог wp-content/plugins. Да, тоже правило: устанавливайте обновления плагинов, т.к. в их старых версиях тоже часто содержатся ошибки безопасности. Кстати, на момент прочтения этой статьи, вероятно, авторы указанных блогов уже закрыли эти уязвимости и по переходе по ссылкам в первом случае Вы получите ошибку 404, а во втором – пустую страницу. Это не значит, что я не прав. Это значит, что уважаемые блоггеры последовали моему совету. Спонсор поста: домашний кинотеатр Отзывов (31) на «Вы хотите, чтобы Ваш блог взломали?»Оставьте свой комментарий |
|
dimoning.ru © 2008-2011 г.
Все материалы авторские, но их можно копировать с указанием прямой ссылки на источник.
07.09.2008 в 4:21 пп
Спасибо за информацию :)
07.09.2008 в 4:55 пп
Ну как бы, у и у тебя можно посмотреть версию блога.
http://dimoning.ru/feed
потом нажать ctrl+u
и будет http://wordpress.org/?v=2.6.1
07.09.2008 в 4:57 пп
т.е. вот такая строчка будет видна:
http://wordpress.org/?v=2.6.107.09.2008 в 5:06 пп
Отлично, спасибо :)
Значит, и это можно убрать. Сейчас лезть не буду, скорее всего это можно убрать в rss.php.
07.09.2008 в 5:15 пп
Хе-хе ))) Я как всегда наплевательски отношусь к безопасности, за что иногда приходится расплачиваться… Спасибо за советы, часть исправил :)
Да, старовата чуток, но мне подходит :) 2.6 не очень нравится одминка, единственный плюс – там коменты легче модерировать, в остальном для меня отличий нет… Особые плагины под высокие версии я не юзаю, да и обновляться не люблю (работает – не трогай, пусть работает, а то опять все упадет :-D).
07.09.2008 в 5:21 пп
Можно специально разместить на блоге readme.html от более старой версии :)
07.09.2008 в 7:24 пп
Насчет wp-content/plugins
установка прав на доступ не актуальна? :roll:
07.09.2008 в 7:35 пп
Кстати, с functions.php не понял, вставлял строку, а ничего не изменялось. :oops:
07.09.2008 в 7:38 пп
Почему-то не сказано о защите админки через .htaccess. Точнее – блокировке доступа к директории wp-admin с чужих IP-адресов.
07.09.2008 в 8:53 пп
Скорее всего remove_action (’wp_head’, ‘wp_generator’) уже не работает. У тебя, кстати, тоже в коде страницы присутствует строка meta name=»generator» content=»WordPress 2.6.1″ / . Видимо нужно искать другое решение.
08.09.2008 в 12:21 дп
Симпотичная заметка. Вообще по умолчанию в вп довольно много «мягких мест». Был перевод забугорной статьи с подробным описанием – не могу найти. Найду – дам ссылку.
Надо будет пройтись по сайтам, посмотреть эксплореры и баги моей версии впшки.
08.09.2008 в 4:38 пп
Ну да спасибо… просто, если че я пока над этим даже и незадумывался
08.09.2008 в 6:01 пп
LepRiKonS, нет )
Andrey, блокировка «чужих» IP – это вообще песня :) Если потом Вам захочется залезть в админку с другого компьютера – не получится. Кроме того – у тех, у кого динамические IP, тоже будут большие проблемы. Это совсем не нужно.
09.09.2008 в 8:59 пп
Ну вообще, даже без знания версии можно попробовать взломать, но версия, особенно если не обновлял – да, поможет. А вот доступ к папкам по типу плагинов – не сработает (по крайней мере в 2.6), если ЧПУ включен – будет 403 forbidden и без вкладывания пустого файла.
09.09.2008 в 10:29 пп
marapper, Странно, у меня пускает в плагины.
09.09.2008 в 11:35 пп
Завтра, если время будет, полажу в коде – хз, почему так. Может, потому что у меня ЧПУ с папками, а не как у тебя – странички .html. Но вообще, движок сам должен такие вещи отслеживать и пресекать. Причем, раз все равно факт, что это ВП – не скрыть, то 403 вполне подходит вместо 404.
09.09.2008 в 11:43 пп
Там не 404, там пустая страница (по моему методу). А вообще, да, не суть – само «вылечилось» и ладно ))
10.09.2008 в 2:25 дп
Dimoning, как сказал Silent Max, версия движка все равно у тебя отображается в метатеге.
Выводит версию движка функция wp_head(), а там еще одна функция…
В общем, чтобы не мучаться, идем в wp-includes/version.php и меняем версию движка на любую.
10.09.2008 в 2:46 дп
Если честно, то слыхал об этом, но не задумывался. Теперь скоро все так и сделаю.
10.09.2008 в 1:44 пп
2 bishai
Так можно сделать, но есть и минусы. Сам Вордпресс начинает орать что нужно обновить версию и некоторые плагины тоже орут что «нужна версия такая-то или выше». Вобщем ищем ещё какой-нибудь способ :)
15.09.2008 в 12:39 дп
marapper, у тебя выдаёт 403 ошибку при доступе к папкам без индексной странички из-за настроек аппача скорее всего. :smile:
Если у кого-то вместо 403 появляется список директорий – лечится это добавлением нехитрого кода в .htaccess:
Options -Indexes:wink:15.09.2008 в 12:43 пп
хех, а кстати да. я как-то и забыл, что на ескхостинге с блоговым тарифом. правда, 403 выдает даже при наличии этого файла (индексной странички)
22.12.2008 в 5:42 пп
Инфа о защите всегда нужна! :)
18.03.2009 в 9:34 пп
спасибо!
09.05.2009 в 9:56 дп
нужно написать тем кто выкладывает локализацию WP, чтобы сразу поубирали все эти файлы из паблика)))
02.07.2009 в 8:38 пп
:idea: люблю читать инфу по безопасности, а если ещё дело касается и ВП, то тут однозначно зачетный большой жирный ПЛЮС… :smile: Спасибо! Советами воспользовался… и поубирал лазейки :)
01.08.2009 в 1:17 пп
Я только начинаю разбираться с WordPress и эта информация мне будет очень полезна. Спасибо.
11.08.2009 в 11:53 пп
А Cпрут косяк со списком установленных плагинов так и не убрал :)
12.08.2009 в 12:13 дп
Нужно просто взять за правило добавлять строчку
Options -Indexesв файл .htaccess на каждом сайте, тогда такие косяки и не будут вылазить…23.08.2010 в 1:29 пп
не хочу
09.02.2011 в 7:46 дп
Уважаемый, я рекомендую вам удалять и такие строчки из кода:
Секьюрити как-никак.