Як захистити і покращити свій Wordpress

13.02.2008  Блоггінг, Статті

Не буду загадувати наперед, однак думаю, що кілька з тих, хто прочитає цю статтю до кінця, обовязково потім кинеться перевіряти налаштування свого блогу і змінювати те, що можливо ще змінити. Адже навіть така суперпотужна система як Wordpress має невеличкі недоліки, про які одразу і не взнаєш. Хіба тут прочитаєш :) Як захистити та покращити свій Wordpress двигунець, читайте у статті.

1. Незахищені директорії. Я з радістю переглянув плагіни, котрі встановлені на українських блогах. Як? - спитаєте ви. - Це ж треба лізти в адмінку, звідки ти взнав паролі до українських блогів?

Паролі не треба. Дізнатись, які плагіни використовує сайт-жертва, щоб атакувати його з цим, можна, набравши всього-навсього таку адресу у себе: назваблогу.com/wp-content/plugins/ . І все. Списочок файлів плагінів видно як на долоні. Те саме стосується і тем оформлення. Навіть якщо ви ніде не напишете, яку тему використовуєте, це можна хоча б приблизно дізнатись, глянувши у вашу директорію з темами назваблогу.com/wp-content/themes/ . Це може зробити будь-хто, як для пізнавальних цілей, так і для цілей зовсім інших, можливо навіть поганих.

Що робити? - Ідіть і одразу закрийте доступ до цих директорій. Для цього досить створити там пустий файл з іменем index.html - після цього при запиті таких директорій буде показуватись саме він. До речі, там можна створити невелике послання для допитливих. Таке я вже зробив у себе.

Список ненадійних директорій, доступних для чужих очей:

  • /wp-content/plugins/
  • /wp-content/themes/
  • /wp-includes/
  • /wp-includes/images/
  • … їх похідні

2. Не показуйте недоліків. У файлі header.php ви можете знайти ось такий рядок коду:

<meta name="generator" content="WordPress <?php bloginfo('version'); ?>" /> <!-- leave this for stats please -->

Ця опція показує всім встановлену на вашому блозі версію Wordpress. Але далеко не всі такі пунктуальні, і часто забувають чи лінуються зробити оновлення двигунця. Тому стоїть стара версія, відкрита до хаків та атак, якщо такі можуть трапитись. А цей рядок коду лише допоможе зловмисникам, бо вони будуть точно знати версію вашого Wordpress, а з нею і список неполадок, через які можна добратися до блогу.

Рекомендується стерти цей код, щоб не викликати зайвих проблем. Кому крім вас потрібно знати версію WP?

3. Залишайтесь на хвилі оновлень. Обов”язково слідкуйте за оновленнями - як самого двигунця так і плагінів, можливо навіть підпишіться на блог розробників. Старі версії постійно перевіряються, допрацьовуються, знаходяться нові баги або незручності. Бути на одній хвилі з оновленнями - це значить мати останню стабільну версію системи.

Час від часу перевіряйте, чи не потрібні оновлення до плагінів. Адже конфліктні плагіни або їх старі версії можуть наробити чимало проблем і змусити вас понервуватися, шукаючи рішення цих проблем.

Старі версії Wordpress відкривають маленькі шляхи для вразливості вашого блогу.

4. Зменшіть кількість запитів до бази даних. Це суттєво пришвидшить роботу сайту і “полегшить” Wordpress. Відвідувачам не доведеться чекати, поки обробляться непотрібні запити. Як це зробити? Пошукайте у своєму коді ось такі рядки або подібні до них:

<title><?php bloginfo(’name’); ?> <?php bloginfo(’description’); ?></title>

<link rel="alternate" type="application/rss+xml" title="RSS 2.0" href="<?php bloginfo(’rss2_url’); ?>” />

<meta http-equiv="Content-Type" content="<?php bloginfo(’html_type’); ?>; charset=<?php bloginfo(’charset’); ?>” />

Проте не перестарайтесь у таких пошуках, щоб не видалити чогось дійсно потрібного. Якщо не впевнені у своїх знаннях, краще попросіть друзів або знайомих відшукати у коді непотрібні речі. У першому випадку виділене жирним можна замінити на

<title>Назва вашого блогу</title>

А в другому і третьому випадках php код замінюється на URL адресу вашого RSS-потоку та типом контенту.

Пам”ятайте, що це зменшить час завантаження сторінки, але все одно дуже важливу роль відіграє хостинг, де розміщений ваш сайт.

5. Почистіть код. Уявіть, що ви прибираєте запорошений будинок. Вам треба видалити все зайве з коду, що вже не використовується, або ж лише заважає. Не жалійте нічого, залишаючи тільки найпотрібніше. приберіть пробіли у стилях. Згрупуйте стильові комбінації, тим самим ви зменшите код і зробите його інтерпретацію браузером більш швидкою. Наприклад таке

.test {
font-family: Georgia, Times, serif;
font-size: 12px;
color: #000000;
}

.test {margin-top: 7px; margin-right: 1px; margin-bottom: 5px; margin-left: 3px;}

можна легко замінити на таке

.test {font-family: Georgia, serif; font-size: 12px; color: #000000;}

.test {margin: 7px 1px 5px 3px;}

Правда, менше і компактніше? Таких прикладів коду ви знайдете багато в своїх стилях.

6. Загляніть до плагінів. Чи й досі ви використовуєте їх усі? Погляньте кілька разів, і вирішіть - можливо деякі плагіни вже більше не потрібні, тому видаліть їх. Чи мменше плагінів - тим скоріше завантажиться блог, а відвідувачі будуть раді читати вашу інформацію. Пошукайте схожі варіанти. Можливо доцільним буде знайти лише один плагін, котрий об’єднає або замінить функціонал кількох.

Пам”ятайте - всі ці кроки не будуть варті нічого, якщо ваші матеріали будуть нудні, нецікаві і не корисні для читачів. Тому дана стаття лише частина з того, що треба зробити щоб мати хороший сайт.

Використано матеріали: WPCandy, Matt Cuts.

Посилання: Wordpress.com, остання версія двигунця Wordpress.

hellveen, спеціально для Блогорідера .

top of hotblogs.org.ua

Popularity: 27%

del.icio.usDiggTechnoratiMa.gnoliaStumble UponGoogle BookmarksChuvBlogosvitMyNews

Тут є чимало цікавого! Вам сподобається:

Реклама на сайті | Стати автором | RSS-підписка | Новини на e-mail | Технічна сторінка

22 Коментарів на цей пост »

  1.  

    БлоґоТиждень 16.0 - Blogoreader 2.6 – українська блоґосфера - блоґи, новини, статті, персони

    am Лютий 11 2008 @ 7:08

    [...] помилився, бо новий блогохостинг використовує двигун Wordpress MU - такий самий, як і на blog.net.ua. Цей двигун дозволяє [...]

  2.  

    masterpiecer

    am Лютий 13 2008 @ 9:56

    Включатиму фантазію - і складатиму послання кулхацкерам! ;)

  3.  

    my.ukrweb.info УКРВЕБ ІТ веблог

    am Лютий 13 2008 @ 9:57

    Локалізація для української мови…

    Чи задавали ви собі запитання - чому на мій сайт заходять по ключових словах, але в мене взагалі немає подібного контенту, так, просто в тек…

  4.  

    virua

    am Лютий 13 2008 @ 11:21

    Бувають випадки, коли створити файл “index.html” і помістити його в потрібну папку не можна. Для заборони доступу до папки в такому випадку (щоб її вміст не міг побачити зловмисник :) ) можна використати наступний спосіб. В папці, яку Ви бажаєте заховати від очей відвідувачів, створіть файл “.htaccess”. І в ньому пропишіть такий текст “Options -Indexes”.

  5.  

    podarok

    am Лютий 13 2008 @ 11:28

    якщо не можна створити файл index.html - то яким чином ти створиш там файл .htaccess
    Думай перед постінгом таких слів 8)))

  6.  

    virua

    am Лютий 13 2008 @ 11:36

    Фраза “Бувають випадки, коли створити файл “index.html” і помістити його в потрібну папку не можна.” зайва. Завтикав :) Ще сплю, не прокинувся. Але, як ще один спосіб заборони перегляду папки спосіб згодиться.

  7.  

    Tod

    am Лютий 13 2008 @ 13:44

    По повода защиты директорий с плагинами, то часто их названия можно найти в самом ХТМЛ коде:) в виде закомментированных строк.

  8.  

    [LP]LordPro.teus

    am Лютий 13 2008 @ 14:29

    Нажахано поліз перевіряти свій блог… Усі подібні жахи відсутні за дефолтом)

  9.  

    Link Ads

    am Лютий 14 2008 @ 23:38

    .htaccess :

    Order Deny,Allow
    Deny from All

    кидати у wp-content/plugins

    а загалом яка рiзниця чи бачить хто плагiни чи не ?

  10.  

    Style)r

    am Лютий 15 2008 @ 0:56

    2 пункт потішив :)

  11.  

    mekal

    am Лютий 15 2008 @ 18:01

    Мне понравилась идея с ограничением доступа по айпи - http://lifehacker.ru/2008/01/28/wordpress-security/

  12.  

    podarok

    am Лютий 15 2008 @ 18:05

    2mekal
    Ага.. і одним ІР банищ одразу цілий хостінг із 500-600 сайтів…
    В результаті трекбек не пошлеш… Перевірено! 8(
    Тому найрозумніше - агрорітм баєра в спамі… Плюс фільтрація по веб адресам - вони ж розраховують на посилання, що пишуть в профілі…

  13.  

    G3!>

    am Лютий 24 2008 @ 12:05

    автор цієї статті забув захистити http://blogoreader.org.ua/wp-includes/.

  14.  

    hellveen

    am Лютий 26 2008 @ 15:20

    Дякую за зауваження

  15.  

    Most Wanted

    am Березень 2 2008 @ 3:16

    Спасибо! Если надумаю делать свой собственный блог, обязательно учту ))) Думаю не кому из нас не хотелось бы быть взломанным )

  16.  

    Автор і читач. Аналіз стосунків - Blogoreader 2.6 – українська блоґосфера - блоґи, новини, статті, персони

    am Березень 17 2008 @ 7:04

    [...] Якйнайкраще для цього підходить плагін для Wordpress Top Commentators. Саме такий є на Блогорідері. Однією [...]

  17.  

    hristofor

    am Березень 29 2008 @ 0:11

    Советую также закрыть доступ к админке через .htaccess, разрешите доступ только с того айпи который у вас.

    Для .htaccess который лежит в корне, добавьте следующий код, обращаю внимание, что заместо 193.0.0.193 должен быть написан ваш IP адрес.

    Order Allow,Deny
    Allow from 193.0.0.193

    Для .htaccess который лежит в папке wp-admin

    Order Allow,Deny
    Allow from 193.0.0.193

    Если айпи у вас динамический и постоянно меняется, то пишем вот так
    193.0.0
    Обратите внимание что точку ставить не надо после последней цифры!!!

    Проверить работает или нет, достаточно просто. Поменяйте одну из цифр в айпи адресе .htaccess и попробуйте зайти в админку, должна появиться 403 ошибка. ))

    Также запретим индексацию роботами следующие папки и файлы
    файл robots.txt

    User-agent: *
    Disallow: /wp-content/
    Disallow: /wp-includes/
    Disallow: /wp-admin/
    Disallow: /images/
    Disallow: /wp-login.php
    Disallow: /wp-register.php
    Disallow: /xmlrpc.php

  18.  

    Wordpress 2.5 - велике оновлення - Blogoreader 2.6 – українська блоґосфера - блоґи, новини, статті, персони

    am Березень 31 2008 @ 7:21

    [...] Більше безпеки. Паролі та cookies зберігаютсья за новим принципом, що робить ваш блог ще безпечнішим та захищеним від чужих рук. →Читайте також статтю “Як захистити і покращити свій Wordpress” [...]

  19.  

    bohdaqs

    am Травень 5 2008 @ 18:24

    якщо урізати код то при зміні теми незручно все заново переставяти + не дуже то й багато часу вимагають саме ці запити

  20.  

    OOxDj

    am Травень 13 2008 @ 19:34

    Keep Up The Good WorkRead Your Comment, Loved It bbw pantie hose free

  21.  

    10 ознак хорошого HTML-коду - Blogoreader 2.6 – українська блоґосфера - блоґи, новини, статті, персони

    am Травень 31 2008 @ 11:58

    [...] за таким принципом працює відома CMS Wordpress - сама сторінка index.php складається з набора функцій, що [...]

  22.  

    OxGDp

    am Червень 22 2008 @ 12:03

    Great Site,Keep Up The Good WorkHey,

Коментарі RSS · TrackBack URI

Залиши свій коментар

Логін: (Потрібно)

eMail: (Потрібно також, ніякого спаму)

Сайт:

Коментар:

 


Украинская Баннерная Сеть

 

Spampoison UA TOP Bloggers Add to Technorati Favorites количество читателей онлайн и всего Блогосфера в иконках Каталог блогов Blogdir.ru мир Иинтернет блогов Рейтинг блогов

УкрБаш — Український цитатник! Участник Blograte.ru Каталог україномовних сайтів Подільська зоря Mehanik Apple — український блоґ

Нагору ↑

Передрук матеріалів можливий, якщо дотримуватись обов'язкових правил.

Хочете бути нашим автором? Ласкаво просимо.