Защита Вордпресс: Уберите пользователя admin

Ноя 11 2017

По умолчанию Вордпресс нам предлагает создать пользователя admin для управления сайтом. Начиная с версии 3.0 WordPress дает возможность выбора логина администратора. Но все ли пользуются такой возможностью? В большинстве случаев эта возможность просто игнорируется и создается пользователь admin. А ведь это совсем небезопасно. Злоумышленику, если известен логин (я проводил эксперименты: примерно 85% народу на WP сидят именно под логином admin), остается простой перебор пароля/ мы получаем уравнение с одной неизвестной, а это, поверьте, не так сложно. Как же защитить вордпресс? Первое, что  приходит на ум:

Создаем нового пользователя  с правами администратора

Выходим из панели администрирования и заходим под новым аккаунтом.

Убеждаемся, что все опции администрирования доступны новому пользователю и удаляем пользователя admin. при удалении вас спросят связать все записи и ссылки с другим пользователем. Связать необходимо с только что созданным пользователем и подтвердить удаление.

Такие меры вам посоветуют на большинстве сайтов. Но достаточно ли этого?

Океюшки, теперь для входа в админку другой логин. Но радоваться рано. Большинство тем WordPress в постах выводят имя автора статьи. Это и есть логин автора. И в большинстве случаев автор сидит под администратором. И даже если владелец сайта разграничил полномочия участников — ничего хорошего если у злоумышленника есть возможность проникнуть в админку хоть с правами автора. Мы с вами пришли к тому, от чего пытались уйти.

Как быть? У меня пока нет готового рецепта. Если вам интересна тема — пишите в комментариях — обязательно найду решение.

Пока же советую ограничиться настройкой количества попыток авторизации (у меня — 3).

Да прибудет с вами сила и пусть ваш сайт будет неприступной крепостью.

2 комментария

Подсветка програмного кода в WordPress

Ноя 10 2017

Очень часто возникает необходимость поделиться с читателями блога програмным кодом. Для повышения итабельноасти желательно еще и сделать подсветку синтаксиса. В случае если вы работаете на платформе WordPress, вас ждет «сюрприз». Дело в том, что  текстовый редактор неоднозначно воспринимает символы одинарной и двойной кавычек, преобразуя их текстовые аналоги:

Совершенно естественно, что после такого преобразования скопированный код работать не будет. Ваши читатели будут очень недовольны. Continue Reading »

No responses yet

Генератор HTML + CSS кода шаблона

Ноя 07 2017

Верстка сайта начинается с подготовки шаблона. В далеком 2010 году я написал несколько генераторов для CSS разметки. Эти генераторы актуальны до сих пор и дают чистый HTML код, который проходит проверку на валидность.. Поэтому я решил их выложить в публичный доступ в виде сервисов. На момент написания статьи всего 3 генератора:

  • генератор фиксированной разметки с отрицательными полями с тремя колонками
  • генератор фиксированной разметки с отрицательными полями с двумя колонками
  • генератор гибкой разметки с тремя колонками

Continue Reading »

No responses yet

Мультифлешка. Все дистрибутивы на одной флешке.

Ноя 05 2017

В предыдущем посте мы разобрали как сделать загрузочную флешку с помощью UltraIso. Сейчас поговорим о том, как сделать мультизагрузочную флешку. Еслуи вам нужны причины перехода на мультифлешку,  то вот они

  • многие дистрибутивы имеют вес менее 1GB (Kaspersky Rescue Disk 10, например, весит всего 329 MB) и нерационально для такого дистрибутива отдавать целую флешку
  • дистрибутивов для работы может понадобиться очень много и гораздо удобнее все их разместить на одной флешке.

Continue Reading »

No responses yet

Как сделать загрузочную флешку с помощью UltraIso

Ноя 03 2017

Еще сравнительно не так давно я пользовался исключительно загрузочными дисками. Плюс у меня была куча LiveCD на все случаи жизни. И все это безобразие меня устраивало ровно до тех пор пока не накрылся медным тазом дисковод и уже не было возможности запуститься с диска. К тому же диск — крайне ненадежное хранилище данных.

Пришло время подумать о загрузочной флешке. Перепробовав несколько вариантов я остановился на изготовлении загрузочной флешки с помощью UltraIso. Простота использования, бесплатность (хоть и условная) — несомненные преимущества данной проги. Continue Reading »

No responses yet

Защита доступа к админке с помощью файлов .htaccess и .htpasswd

Ноя 01 2017

Подавляющее большинство веб-серверов управляется HTTP-сервером Apache. Этот сервер позволяет создать надежную защиту доступа к файлам и папкам посредством авторизации используя свой встроенный защитный механизм. От вас потребуется минимум телодвижений, а результатом будет достаточно высокий уровень защищенности, например, админки. Поскольку этот механизм встроен в сервер Apache, абсолютно нет разницы, директории какой CMS мы будем защищать.

«Ближке к телу» — как говорил де Мопассан. Continue Reading »

No responses yet

Защита WordPress: ограничиваем количество попыток авторизации

Окт 31 2017

Для ограничения количества попыток входа в админку сайта на WordPress используем плагин Login LockDown. Если пользователь с одного IP адреса несколько раз введет неверную пару логин-пароль, то этот плагин блокирует вход в админку на определенное время. Количество попыток авторизации (по умолччнию — 3), время блокировки админки (по умолчанию — 60 мин.) — задается в настройках плагина. Continue Reading »

No responses yet

Защита WordPress: убираем сообщение об ошибках при авторизации

Окт 30 2017

При неверной авторизации на сайт на движке вордпресс появляются сообщения об ошибках: либо

либо Continue Reading »

No responses yet

Устанавливаем AdSense рекламу на вордпресс с помощью виджета

Окт 29 2017

Если вы хорошо знакомы с html и css, то вам не составит особого труда разместить рекламный блок AdSense в любом месте вашего сайта. А если вы не знаете язык гипертекстовой разметки и таблицы стилей или особо заморачиваться нет желания? В этом случае, если ваш сайт на движке вордпресс  выручит нас плагин AdSense Manager, который позволяет создать виджет для управления установкой кода рекламной сети Google AdSense. Continue Reading »

2 комментария

WEB Firewall на .htaccess. Они не пройдут

Окт 27 2017

Firewall (огненная стена — англ) — для веба — это межсетевой фильтр/щлюз между внешним интернетом и внутренней сетью. Эти фильтры защищают локальную сеть и сервера от внешних атак.

Практически каждый хостер имеет грамотно настроенный firewall и практически все хакерские вторжения блокируются.

Немудрено, что злоумышленники перенесли вектор атак на веб приложения. Continue Reading »

No responses yet

« Newer posts Older posts »

37 - столько SQL запросов к базе.
0,146157 - за столько сгенерировалась страница.