Чт, 21.09.2017, 02:41
Форум інформатиків України
Головна Реєстрація Вхід
Вітаю Вас, Гість · RSS
Вітання на форумі
Незнайомець
Вітаємо на форумі,
Незнайомцю!

   
зареєструйтесь
Перед реєстрацією обов’язково прочитайте:
Оновлення Учасники Пошук
Особисті повідомлення
Видавництво ’’Аспект’’ Видавництво

Сторінка 1 з 11
Модератор форуму: НІКОЛЯ, Ktara, Bandalak, volevikt 
Форум інформатиків » РОЗДІЛ ІХ: ІНТЕРНЕТ, МЕРЕЖІ, ХОСТІНГ » 9.4 Системи управління сайтами (CMS) » Защита сайта на WordPress с использованием .htaccess
Защита сайта на WordPress с использованием .htaccess
Jokerz Дата: Вт, 05.08.2014, 13:23 | Повідомлення № 1
Хостер
Повідомлень: 1191
Нагороди: 4
Рейтинг: 97
Многие люди используют систему WordPress как для сайтов так и для блогов, система cms очень распространенная, но и так же часто взламывают ее для распространения вирусов и спама. Довольно много веб сайтов на wordpress на сегодня подвержены атакам, и одного моего клиента сильно достали взломы и спам рассылки, он решил покопать и нашел простой пример решения этого и написал статью. Может кому пригодиться, выкладываю оригинал статьи:

Цитата
WordPress — хорошее и очень популярное решение для ведения блогов и небольших сайтов. Однако его разработчики, к моему удивлению, вообще забыли позаботиться о защите своего творения. Я с ужасом обнаружил, что файл с расширением PHP можно забросить в любую папку движка и по прямой ссылке (через браузер) его запустить! Как вы понимаете, возможности использования этого банального упущения ограничены лишь фантазией злоумышленника.

Чтобы вы представили себе масштабы этой «трагедии», то вот вам неполный список неприятностей, которые могут случиться, если вы установите WordPress «из коробки» и не предпримите меры по его защите:
  • листинг дерева папок хостинг-аккаунта (т.е. получение путей ко всем сайтам на хостинге)
  • загрузка любых типов файлов в папки хостинг-аккаунта (т.е. в любую папку любого сайта)
  • получение доступа к базам данных сайтов хостинг-аккаунта (если знать архитектуру и принцип работы движков, которые установлены)

Впечатляет? Мне кажется, что именно поэтому Интернет просто пестрит сообщениями о взломах сайтов на этом движке, а не из-за его популярности. Вся проблема кроется в том, что ни в одном месте разработчики не используют файлы .htaccess! Не верите? Распакуйте архив с движком и воспользуйтесь поиском…
Когда один мой сайт на WordPress взломали через дырявый плагин, то залили шелл и «инфицировали» все сайты моего аккаунта на сервере. В итоге каждый сайт (а их было более 10) с разных папок и разной глубины их вложенности рассылал спам в планетарных масштабах по адресатам (их может быть более 100 тысяч), которые указывали в запросе спамеры. Если бы не ответственная хостинг-компания, которая быстро отреагировала на подозрительную активность (заблокировала функцию php_mail не блокируя тем самым весь аккаунт — что важно для моего бизнеса) и уведомила меня по SMS, то я бы вообще не узнал об этом.
Ладно, хватит страшилок, переходим к делу. В корневой папке вашего сайта на WordPress создайте файл .htaccess (если его там нет). Откройте его и добавьте следующие строки:
# Запрет листинга каталоговOptions -IndexesЭто позволит запретить вывод содержания папок при указании на нее прямой ссылки и если в ней (в папке) нет файла index.php, index.htm или index.html.
Идем дальше. Создайте еще один файл .htaccess (теперь уже на компьютере) и добавьте следующее:

Код
<Files ~ "\.(phtml|php|php3|php4|php5|php6|phps|cgi|exe|pl|asp|aspx|shtml|shtm|fcgi|fpl|jsp|htm|html|wml)$">Deny from all
</Files>


Полученный файл загрузите в папки wp-content и wp-includes, которые находятся в корне вашего сайта. Это запретит исполнение файлов (по прямой ссылке), которые по определению не могут быть исполняемы в этих папках — там исполняемые файлы только включаемые (через require или include). К остальным же файлам (картинки, скрипты, шрифты и т.д.), доступ по прямой ссылке разрешен.
Таким образом, теперь при установке сторонних (читать как «любых») плагинов и расширений для вашего WordPress вы будете хоть немного обезопасены от загрузки и исполнения вредоносного кода. Говоря простыми словами, если что «не доброе» и попадет в папки вашего сайта — это запустить/использовать не получится.
Форум інформатиків » РОЗДІЛ ІХ: ІНТЕРНЕТ, МЕРЕЖІ, ХОСТІНГ » 9.4 Системи управління сайтами (CMS) » Защита сайта на WordPress с использованием .htaccess
Сторінка 1 з 11
Пошук:


© Форум інформатиків України, 2007-2017.