blog [dot] hook

С метками

«wordpress»

Времена, когда приходилось ручками заливать изменения файлов на prod-сервер - стремительно проходят, и на смену им приходят системы контроля версий и автоматизированный деплой. Ведь это чертовски удобно, когда ты один или с командой можешь работать над проектом, обкатывать изменения на локальном/тестовом сервере, и уже протестированный код отправлять на “боевой” сервер простым коммитом или слиянием. Ничего более не запуская, Карл! Временами так же приходиться работать над проектами, построенными на (пускай и по дизайну очень убогому) WordPress, у которого очень низкий порог вхождения как у разработчиков, так и у конечных заказчиков (с первого раза правильно прочитал “конечных заказчиков”?).

Кэп, “по умолчанию” все сниппеты добавляются в ./wp-content/%theme%/functions.php твоей темы Изменяем путь к статике темы В ряде случаев полезно вынести всю статику на отдельный субдомен или директорию в корне сайта. Так мы и путь к теме скрываем, и располагаем статический контент “поближе” да поудобнее:

В прошлом посте мы рассматривали методы повышения безопасности WordPress с помощью nginx. В данной же записи мы рассмотрим дополнительные меры противодействия сбору информации о работающей CMS (и плагинах), версии WP и некоторым типам атак на сайт. Помогать нам будет уже не только nginx - но и fail2ban вкупе с некоторыми дополнениями и настройками самого WP.

Маленький но довольно полезный плагин для повышения безопасности сайта на WordPress, который всё что делает - это скрывает версию CMS, удаляя: Во-первых теги <meta generator="..." /> (и иже с ними), что генерирует сам Wordoress; Во-вторых из запросов к css и js файлам подстроку ?ver=%версия%, которая всё беспощадно палит.

В ряде случаев для сайта на WordPress совершенно не требуется RSS лента. Отключив эту возможность мы не только освобождаем дополнительные ресурсы системы (нет необходимости формировать фид, т.к. его не запрашивают только ленивые боты), но и усложним задачу тем, кто уже сейчас (или собирается) грабит наш контент.

Первая часть доступна по этой ссылке. Так же у данного поста имеется обновленная версия этой ссылке Проанализировав логи одного блога на WordPress заметил, что присутствует довольно большое количество запросов к страницам, которых не существует. Посмотрев внимательнее стало очевидно, что имеет место как сбор данных как об используемой CMS, так и попытки эксплуатировать различные уязвимости плагинов, тем и самого WP.

WordPress, сука, популярный. А как следствие — дырочки в нем ищутся и находятся с завидной периодичностью. Исходя из этого - сам по себе напрашивается список рекомендаций по повышению его безопасности.