Безопасность WordPress

WordPress – популярный движок для блогов (в том числе и этого) и простеньких сайтов. 

Обновляется с завидной регулярностью, однако все больше и больше обновлений носит «заплаточный» характер – устраняются дыры в безопасности.

Статья на Lifehacker приводит один из радикальных методов борьбы с несанкционированным доступом к блогу путем прописывания в .htaccess ограничений по IP-адресу. Сей лежащий на поверхности метод с примерами рекомендует сам Matt Cutts, легендарная личность в среде WordPress.

Правило простое:

# Matt страсть как любит красивые выражения и ссылки на /dev/null =)
AuthUserFile /dev/null
AuthGroupFile /dev/null
AuthName "Access Control"
AuthType Basic
order deny,allow
deny from all
# IP-адрес дома
allow from 64.233.169.99
# IP-адрес работы
allow from 69.147.114.210
allow from 199.239.136.200

Беда в том, что у некоторых до сих пор динамические IP (как у меня), либо есть необходимость заходить с мобильника. В таком случае способ бесполезен, не будешь же вбивать в .htaccess адреса нескольких подсетей. Ждем способ с использованием специальных SSL-сертификатов =)

Второй совет более разумный. Так как уязвимости содержатся только в некоторых версиях WordPress, отображение версии предлагается скрыть. По умолчанию в header.php всех тем есть строчка meta name="generator" content="WordPress < ?php bloginfo('version'); ?>" /meta>, которую желательно убрать или изменить на что-то вида meta name="generator" content="WordPress. Latest and most secure version. Do not even try to hack me, dude =)" /meta. Злоумышленник затруднится определить версию и скорее всего отстанет.

Следует отметить, что многие популярные блоги (например Macradar.tu) уже сделали это.

  • http://designmilana.ru Виктор

    Спасибо за информацию, буду использовать. А то поломали меня как-то раз, весь блог снесли, так обидно было.