АРМАДА
Word Press блоги и их защита
На страницу Пред.  1, 2
Новая тема Написать ответ Advanced Hosters - профессиональный хостинг
Пт Dec 07, 2007 9:05 pm Start Post: Word Press блоги и их защита 

vitvirtual
виртуальный
Зарегистрирован: 11.06.2007
Сообщений: 9061
Contest (Сумма: 1)
Обратиться по нику
# Добавлено:Пн Dec 10, 2007 5:54 pmОтветить с цитатой
я тоже подписываюсь: советы в студию!!! А то здесь пока только Taburetkin нормально отпостился Wink
www.King-Servers.com - Dedicated Servers от 65$, VDS от 25$

Вацлав
Сетевой Гугляка
Зарегистрирован: 21.02.2006
Сообщений: 4965
Обратиться по нику
# Добавлено:Пн Dec 10, 2007 6:09 pmОтветить с цитатой
Самая главная дырка вордпресса, это его плагины и темплеты. Никогда не качайте и не устанавливайте без инспекции кода плагины и темплеты с неофициальных сайтов.
Второе пришествие Вацлава. Камингсуново.

Black_SEO +
Опытный
Зарегистрирован: 29.11.2007
Сообщений: 282
Обратиться по нику
# Добавлено:Чт Dec 13, 2007 6:04 pmОтветить с цитатой
Вобщем так как обещал – пишу…

Немного о безопасности WP (чтобы узнать больше читайте специализированные форумы по WP и сетевой безопасности):
После установки WP стоит сделать следующее:

закинуть .htaccess в следующие папки...

Код:

http://wordpress/wp-content/plugins/
http://wordpress/wp-content/themes/

http://wordpress/wp-admin/import/
http://wordpress//wp-admin/images/

http://wordpress/wp-includes/images/

и т.д. содержимое которых не желательно знать другим…



htaccess думаю все знают какого содержания (Options -Indexes)

- За ненадобностью можно удалить install.php и install-helper.php…

- Можно подправить версию WP в скрипте wp-includes/version.php (тем самым пустить по ложному следу, тока не перестарайтесь, а то могут вылететь некоторые плагины…)
Хотя если будут пользоваться сканером то это вам не поможет Wink

В старых версиях WP куча XSS (могут украсть плюшки, и будет вам горе)… Как лекарство - можно использовать учетную запись с ограниченными правами, а акк с админскими правами оставить в стороне…

Алгорит хранения паролей md5 (не сложный в плане перебора) – так что используйте пасс с разными регистрами и цифробуквенный больше 8 – и будет Вам счастье…

На данный момент уязвимы следующие версии:
Код:
1.43 (1.4b4)
1.5.1.* (1.5.1.1/1.5.1.2/1.5.1.3)
2.0.* (2.0.2/2.0.5/2.0.6)
2.1* (2.1.2/2.1.3)
2.2


Так же существуют уязвимости в плагинах, полный список приводить не буду (глянете на мильворме если вдруг ) Wink

Одно из основных правил – своевременное обновление, хотя бы до стабильных версий вашей ветки…

Думаю этого достаточно чтоб иметь общее представление о безопасности вашего блога

P.S. Ходят слухи о наличии инъекции в WP 2.3.1,но рабочего сплоита я не видел Wink
Кому надо дам консультацию в расширенном виде (стучим в асько,ставим плюсеги,присылаем WM) :smk:
Адальт под СМС ПОДПИСКИ Теперь никаких СМСок... КОНВЕРТ ЖГЕТ!

vitvirtual
виртуальный
Зарегистрирован: 11.06.2007
Сообщений: 9061
Contest (Сумма: 1)
Обратиться по нику
# Добавлено:Чт Dec 13, 2007 7:36 pmОтветить с цитатой
если напишеш про рабочий сплойт для 2.3.1 - то будет плюс :mrgreen:
www.King-Servers.com - Dedicated Servers от 65$, VDS от 25$

Black_SEO +
Опытный
Зарегистрирован: 29.11.2007
Сообщений: 282
Обратиться по нику
# Добавлено:Пт Dec 14, 2007 7:21 pmОтветить с цитатой
Напишу...но чуть позже Smile
Адальт под СМС ПОДПИСКИ Теперь никаких СМСок... КОНВЕРТ ЖГЕТ!

agrasoff
Опытный
Зарегистрирован: 08.12.2007
Сообщений: 106
Обратиться по нику
# Добавлено:Пт Dec 14, 2007 10:00 pmОтветить с цитатой
Black_SEO писал(а):

закинуть .htaccess в следующие папки...


проще его "положить" в корень сайта,
т.к. все дочерние каталоги будут
наследовать все настройки.

agrasoff
Опытный
Зарегистрирован: 08.12.2007
Сообщений: 106
Обратиться по нику
# Добавлено:Пт Dec 14, 2007 10:03 pmОтветить с цитатой
Black_SEO писал(а):
P.S. Ходят слухи о наличии инъекции в WP 2.3.1,но рабочего сплоита я не видел


не про это?

Black_SEO +
Опытный
Зарегистрирован: 29.11.2007
Сообщений: 282
Обратиться по нику
# Добавлено:Сб Dec 15, 2007 12:58 pmОтветить с цитатой
да,про это...там много но ...поэтому мне кажется проще плюшки красть или получать удаленно Smile,например для версии 2.1.3 это дело 1 минуты...
P.S. Не воспринимать серьезно,я ничего в этом не понимаю
Адальт под СМС ПОДПИСКИ Теперь никаких СМСок... КОНВЕРТ ЖГЕТ!

Taburetkin
Гуру
Зарегистрирован: 25.02.2007
Сообщений: 1426
Star (Сумма: 1)
Обратиться по нику
# Добавлено:Пн Dec 17, 2007 1:39 pmОтветить с цитатой
agrasoff писал(а):
Black_SEO писал(а):
P.S. Ходят слухи о наличии инъекции в WP 2.3.1,но рабочего сплоита я не видел


не про это?



Его давно уже пофиксили. Причем в тот же день как обнаружили. Фиксят все очень оперативно
Новая тема Написать ответ    ГЛАВНАЯ ~ ТЕХНИЧЕСКИЕ ВОПРОСЫ

Перейти:  





Генеральный спонсор



Партнеры