Архив рубрики: 'Безопасность'

Защита Вордпресс: Уберите пользователя admin

Ноя 11 2017 Автор рубрики WordPress,Безопасность

Защита Вордпресс: Уберите пользователя admin

По умолчанию Вордпресс нам предлагает создать пользователя admin для управления сайтом. Начиная с версии 3.0 WordPress дает возможность выбора логина администратора. Но все ли пользуются такой возможностью? В большинстве случаев эта возможность просто игнорируется и создается пользователь admin. А ведь это совсем небезопасно. Злоумышленику, если известен логин (я проводил эксперименты: примерно 85% народу на WP сидят именно под логином admin), остается простой перебор пароля/ мы получаем уравнение с одной неизвестной, а это, поверьте, не так сложно. Как же защитить вордпресс? Первое, что  приходит на ум:

Создаем нового пользователя  с правами администратора

Выходим из панели администрирования и заходим под новым аккаунтом.

Убеждаемся, что все опции администрирования доступны новому пользователю и удаляем пользователя admin. при удалении вас спросят связать все записи и ссылки с другим пользователем. Связать необходимо с только что созданным пользователем и подтвердить удаление.

Такие меры вам посоветуют на большинстве сайтов. Но достаточно ли этого?

Океюшки, теперь для входа в админку другой логин. Но радоваться рано. Большинство тем WordPress в постах выводят имя автора статьи. Это и есть логин автора. И в большинстве случаев автор сидит под администратором. И даже если владелец сайта разграничил полномочия участников — ничего хорошего если у злоумышленника есть возможность проникнуть в админку хоть с правами автора. Мы с вами пришли к тому, от чего пытались уйти.

Защита Вордпресс: Уберите пользователя admin

Как быть? У меня пока нет готового рецепта. Если вам интересна тема — пишите в комментариях — обязательно найду решение.

Пока же советую ограничиться настройкой количества попыток авторизации (у меня — 3).

Да прибудет с вами сила и пусть ваш сайт будет неприступной крепостью.

0 коммент. »

Защита доступа к админке с помощью файлов .htaccess и .htpasswd

Ноя 01 2017 Автор рубрики Безопасность,Сайтостроение

Подавляющее большинство веб-серверов управляется HTTP-сервером Apache. Этот сервер позволяет создать надежную защиту доступа к файлам и папкам посредством авторизации используя свой встроенный защитный механизм. От вас потребуется минимум телодвижений, а результатом будет достаточно высокий уровень защищенности, например, админки. Поскольку этот механизм встроен в сервер Apache, абсолютно нет разницы, директории какой CMS мы будем защищать.

«Ближке к телу» — как говорил де Мопассан. Продолжить чтение »

0 коммент. »

Защита WordPress: ограничиваем количество попыток авторизации

Окт 31 2017 Автор рубрики WordPress,Безопасность

Для ограничения количества попыток входа в админку сайта на WordPress используем плагин Login LockDown. Если пользователь с одного IP адреса несколько раз введет неверную пару логин-пароль, то этот плагин блокирует вход в админку на определенное время. Количество попыток авторизации (по умолччнию — 3), время блокировки админки (по умолчанию — 60 мин.) — задается в настройках плагина. Продолжить чтение »

0 коммент. »

WEB Firewall на .htaccess. Они не пройдут

Окт 27 2017 Автор рубрики Безопасность,Сайтостроение

WEB Firewall на .htaccess. Они не пройдут

Firewall (огненная стена — англ) — для веба — это межсетевой фильтр/щлюз между внешним интернетом и внутренней сетью. Эти фильтры защищают локальную сеть и сервера от внешних атак.

Практически каждый хостер имеет грамотно настроенный firewall и практически все хакерские вторжения блокируются.

Немудрено, что злоумышленники перенесли вектор атак на веб приложения. Продолжить чтение »

0 коммент. »

Мониторинг изменений файлов сайта

Окт 24 2017 Автор рубрики Безопасность

Мониторинг изменений файлов сайта

Оглавление

  1. Для чего нужен мониторинг файловой системы сайта
  2. Онлайн сервисы контроля целостности файлов сайта
  3. Скрипт контроля изменений файлов сайта
  4. Плагин WordPress File Monitor для мониторинга изменений файлов

Для чего нужен мониторинг файловой системы сайта

Продолжить чтение »

0 коммент. »

Как проверить сайт на вирусы. Найти и обезвредить

Окт 22 2017 Автор рубрики SEO,Безопасность,Сайтостроение

Как проверить сайт на вирусы. Найти и обезвредить

Оглавление

  1. Что такое вирус на сайте и чем он опасен
  2. Признаки заражения сайта
  3. Методы обнаружения вирусов на сайте. Немного теории
  4. Обнаружение и удаление вирусов. Практика

Что такое вирус на сайте и чем он опасен

Вирус на сайте обычно представляет собой исполняемый код, внедренный в html страницу. Продолжить чтение »

0 коммент. »

Проверьте свои пароли. Не скомпрометированы ли они?

Авг 09 2017 Автор рубрики Безопасность

пароль скомпроментированДобрый человек по имени Трой Хант (Troy Hunt) решил помочь пользователям и организациям надежно хранить свои данные. Для этого он создал сервис Have I Been Pwned. На этом сервисе Трой выложил более 300 млн. паролей, которые ранее были скомпрометированы из-за различных взломов. Вы можете скачать архив или проверить свой пароль в режиме онлайн Продолжить чтение »

0 коммент. »

Мошенники переключились на солдат срочников

Июл 24 2017 Автор рубрики Безопасность

Мошенники переключились на солдат срочников

Такое предложение красуется на одной из групп ВК. Меня как человека, когда-то проходившего службу в еще Советской Армии, заинтересовал такой мессиж. Мне захотелось узнать, что это за работа. Продолжить чтение »

0 коммент. »

Единственный способ спасти банковскую карту от нового вируса Нейтрино

Июл 12 2017 Автор рубрики Безопасность

вирус нейтрино

Только улеглись страсти вокруг вируса Petya, который заражал компьютеры преимущественно крупных корпораций, шифруя данные на них.

Эксперты Лаборатории Касперского предупреждают о новом вирусе Neutrino («Нейтрино»), нацеленного на клиентов малого бизнеса — магазинчики, кафе. Это модификация известного трояна, который ворует данные с банковских карт с магнитной полосой. На долю России, по данным экспертов пришлась четверть атак.

О способах защиты рассказал ведущий антивирусный эксперт «Лаборатории Касперского» Сергей Голованов: Продолжить чтение »

0 коммент. »

Как не поймать вирус «Петя»

Июл 02 2017 Автор рубрики Безопасность

Как не поймать вирус "Петя"

На смену вирусу Wannacry, против которого быстро нашли противоядие, пришла новая модификация. Это вирус Petya, В отличии от других зловредов этот локер блокирует не только окно браузера или рабочий стол, но и не дает загрузиться системе. Появляется сообщение с требованием выкупа, которое утверждает, что малварь использует свой алгоритм шифрования и шифрует весь диск сразу. Продолжить чтение »

0 коммент. »

Предыдущие записи »

93 - столько SQL запросов к базе.
0,551527 - за столько сгенерировалась страница.
Политика конфиденциальности
Правила пользования сайтом