Пару дней назад я опубликовал статью о массовом взломе сайтов на Вордпресс. Могу дать один совет — как защитить ваш сайт на Вордпресс от взлома. Для начала — небольшое встпуление.
Давайте вместе анализировать. Представьте, что вы — квартирный вор, у которого в кармане — отличная коллекция отмычек для любого типа замков. Вы стоите возле двери, за которой — квартира. Один ваш взгляд на дверной замок или замочную скважину дает вам массу информации о замке, его типе, и, соответственно — помогает определить тип отмычки из вашей коллекции.
Тоже самое — ваш сайт. Прежде чем его взломать, вору-взломщику необходимо знать — на каком типе «движка» или «не — движка» стоит ваш сайт. Для этого нет ничего более простого, как открыть ваш сайт в режиме чтения исходного кода. В любом браузере есть такая функция. Например, открываю сайт известного многим Гудвина — wpbot.ru. Можно сказать — моего конкурента. Его сайт постарше моего каталога. Гудвин умный парень, много пишет о шаблонах и способах защиты, но. В браузере Мазилла я открываю его сайт в режиме чтения исходного кода и что вижу: в разделе заголока, описании тема-тегов, есть вот такая строка (я убрал символы начала и конца тега) :
meta name=»generator» content=»Serendipity v.1.2-beta4″
Ух ты! Оказывается, сайт Гудвина уже не на Вордпрессе! Движок называется Serendipity версия 1.2-beta4. Не знаю, не слышал, да, и мне это не инетерсно.
Теперь открываем еще один сайт одного из моих «конкурентов» — сайт Анастасии, blogstyle.ru. Что я вижу в исходном коде у неё:
meta name=»generator» content=»WordPress 2.9.1″
Отлично! Сразу видно, Анастасия следит за обновлениями. Стоит предпоследняя рабочая версия Вордпресс.
Кто умеет открывать исходный код — попробуйте открыть у них, увидите то же самое. А теперь — попробуйте открыть у меня. Ну, и как результат? Увидели? Нет? Отлично!
Все, что вы там можете увидеть, выглядит вот так:
meta http-equiv=»Content-Type» content=»text/html; charset=UTF-8″
meta name=»robots» content=»index, follow»
Почему нет мета-тега «generator»? Потому что я его закрыл. Очень простой вариант. Правда, он не 100% защита, но все же. Взломщик не видит, на каком движке работает ваш сайт, это почти то же, что если бы вор, стоя возле вашей двери в квартиру, не видел замка и не мог определить его тип. Соответственно. ему надо методом «тыка» потратить гораздо больше времени на подбор отмычки. Есть ли у него время для этого? Вопрос. Захочет он возиться? Если имеет на это время и заказ — будет возиться. Если нет — пойдет дальше, искать менее защищенный сайт. Попробуйте посмотреть исходный код главной страницы Яндекса. Там вы почти ничего не увидите. Яшка знает, что надо защищать свой дом…
А теперь — короткая инструкция, как закрыть мета-тег, сообщающий тип (имя) вашего генератора сайта.
Откройте файл function.php и добавьте вверху после начала функции — <?php — вот такую конструкцию:
remove_action(‘wp_head’,’wp_generator’);
Если файла function у вас в шаблоне нет, создайте его (только правильно!), и вставьте эту функцию между тегами начала и конца функции PHP: <?php и ?>.
Есть вопросы — спрашивайте в комментариях.
Один из вариантов защиты вашего блога
Олег Власов Олег Власов ovlasov49@gmail.com Коллекция бесплатных тем WordPress с авторским переводом WordPress Collection Wordpress,Безопасность,защитаПару дней назад я опубликовал статью о массовом взломе сайтов на Вордпресс. Могу дать один совет — как защитить ваш сайт на Вордпресс от взлома. Для начала — небольшое встпуление.
Давайте вместе анализировать. Представьте, что вы — квартирный вор, у которого в кармане — отличная коллекция отмычек для любого типа замков. Вы стоите возле двери, за которой — квартира. Один ваш взгляд на дверной замок или замочную скважину дает вам массу информации о замке, его типе, и, соответственно — помогает определить тип отмычки из вашей коллекции.
Тоже самое — ваш сайт. Прежде чем его взломать, вору-взломщику необходимо знать — на каком типе «движка» или «не — движка» стоит ваш сайт. Для этого нет ничего более простого, как открыть ваш сайт в режиме чтения исходного кода. В любом браузере есть такая функция. Например, открываю сайт известного многим Гудвина — wpbot.ru. Можно сказать — моего конкурента. Его сайт постарше моего каталога. Гудвин умный парень, много пишет о шаблонах и способах защиты, но. В браузере Мазилла я открываю его сайт в режиме чтения исходного кода и что вижу: в разделе заголока, описании тема-тегов, есть вот такая строка (я убрал символы начала и конца тега) :
meta name=»generator» content=»Serendipity v.1.2-beta4″
Ух ты! Оказывается, сайт Гудвина уже не на Вордпрессе! Движок называется Serendipity версия 1.2-beta4. Не знаю, не слышал, да, и мне это не инетерсно.
Теперь открываем еще один сайт одного из моих «конкурентов» — сайт Анастасии, blogstyle.ru. Что я вижу в исходном коде у неё:
meta name=»generator» content=»WordPress 2.9.1″
Отлично! Сразу видно, Анастасия следит за обновлениями. Стоит предпоследняя рабочая версия Вордпресс.
Кто умеет открывать исходный код — попробуйте открыть у них, увидите то же самое. А теперь — попробуйте открыть у меня. Ну, и как результат? Увидели? Нет? Отлично!
Все, что вы там можете увидеть, выглядит вот так:
meta http-equiv=»Content-Type» content=»text/html; charset=UTF-8″
meta name=»robots» content=»index, follow»
Почему нет мета-тега «generator»? Потому что я его закрыл. Очень простой вариант. Правда, он не 100% защита, но все же. Взломщик не видит, на каком движке работает ваш сайт, это почти то же, что если бы вор, стоя возле вашей двери в квартиру, не видел замка и не мог определить его тип. Соответственно. ему надо методом «тыка» потратить гораздо больше времени на подбор отмычки. Есть ли у него время для этого? Вопрос. Захочет он возиться? Если имеет на это время и заказ — будет возиться. Если нет — пойдет дальше, искать менее защищенный сайт. Попробуйте посмотреть исходный код главной страницы Яндекса. Там вы почти ничего не увидите. Яшка знает, что надо защищать свой дом…
А теперь — короткая инструкция, как закрыть мета-тег, сообщающий тип (имя) вашего генератора сайта.
Откройте файл function.php и добавьте вверху после начала функции — <?php — вот такую конструкцию:
remove_action(‘wp_head’,’wp_generator’);
Если файла function у вас в шаблоне нет, создайте его (только правильно!), и вставьте эту функцию между тегами начала и конца функции PHP: <?php и ?>.
Есть вопросы — спрашивайте в комментариях.
Понравилась статья? Поделись с друзьями!