Să ne întoarcem la teoria. Ce tipuri de hacking blog poate fi?
Punctul 1. wordpress de protecție. Schimbarea vârfului la intrare
Deschideți fișierul functions.php și inserați următorul cod la sfârșitul anului:
Acum, când introduceți parola greșită, sau de conectare incorectă, sau chiar informații incorecte, va apărea un mesaj care datele sunt incorecte. Cu asta, chiar dacă numele de utilizator și parola corecte se va scrie în continuare: „conectare invalid și parola“, care în avantajul nostru.
Sorteze parole va fi acum imposibil, dacă utilizați plugin-ul Conectare autoblocare. despre care am scris deja. Acest plug-in de refulare trebuie să aibă. Deci, asigurați-vă că să-l puneți!
Punctul 2. Protecția wordpress. Protejează împotriva XSS-atacuri.
Îmi amintesc că, odată ce a scris deja un întreg articol pe acest subiect, și a oferit acolo pentru a descărca un dispozitiv special. Astăzi vom face fără el. Sincer, astăzi a mers la panoul de administrare, plug-in, și nici măcar nu-l găsiți. Se poate observa, pentru o lungă perioadă de timp a fost deja ștearsă. Facem totul cu mâna!
Deschideți fișierul .htaccess. Apropo, am foarte recomanda pentru incepatori pentru a citi acest articol aici despre acest fișier. Înțelegeți ce este interesant și important.
Vă recomandăm să faceți o copie de rezervă a fișierului. Desigur, am verificat mai întâi la el, după ce a scris acest articol, dar cu toate acestea, este mai bine să fie în siguranță. Și dacă acest lucru nu este suficient. 🙂
Inserați următorul cod în fișierul:
Totul! Acum, ajunge la dosar nu va fi posibilă. Cu excepția cazului prin găzduirea sau ftp.
Punctul 4. Ascunde versiunea de WordPress
Nu știu despre tine, dar personal am versiunea funcția de tip generator. Pur și simplu nu pot înțelege de ce se face? Ce bună este că valoarea generată în cheder, „WordPress 3.8“. Pentru hackeri folosesc cel mai mult. Este mult mai ușor să funcționeze! Acum, nu este necesar să ghicească ce versiune a PE ar trebui. Chiar și elevii pot hack. Doar scrie într-un motor de căutare „o vulnerabilitate în WordPress 3.4.2,“ în cazul în care, de exemplu, aveți o astfel de versiune. Și totul va veni o listă lungă de vulnerabilități și bug-uri, care va fi suficient pentru a profita.
Deci, nu poate fi luat în Cheder - Nu veți găsi această caracteristică 🙂 Faptul că aceasta se adaugă printr-o altă funcție - wp_head (). Din păcate, această caracteristică este în plus față de generatorul adaugă multe altele: biblioteci de conectare pentru scripting, conectarea diferitelor stiluri și fișiere. Puteți, desigur, prin codul sursă pentru a copia toate fișierele pe care această caracteristică inserturi și introduceți-le și scoateți funcția. Dar motorul este actualizat frecvent, și poate fi că numele unei modificări fișier, sau pentru a adăuga un prieten. Prin urmare, recomandăm să părăsească funcția în sine, ci generatorul de la ea vom putea curăța, datorită fișierul functions.php. Deschide-l.
Lipiți următorul cod:
remove_action ( 'wp_head' 'wp_generator'.);
În principiu, puteți face acest lucru orice lucru scos din orice funcție. remove_action (), metoda este doar că și este angajată. Este suficient să indice în paranteze numele prima funcție de care este ceva pe care doriți să îl ștergeți, apoi ștergeți obiectul în sine.
P.S. Vă recomandăm insistent să șteargă fișierele readme.html și license.txt. Și scoateți-le după fiecare actualizare a motorului. Din păcate, aceste fișiere oferă de asemenea, informații suplimentare despre motorul.
Punctul 5. Ssl-protocol.
Lucrul este: voi toți ați observat că site-ul începe cu http. Nu-i așa? Acest protocol neprotejat. Asta este, dacă introduceți parola de conectare, datele pot fi interceptate. Același furnizor. Nu se știe niciodată cine a angajat biroul furnizorului.
Rareori se întâmplă acest lucru, dar orice se poate întâmpla.
Mai devreme într-un fel am făcut-o fără certificat, de lucru prin găzduirea. Din anumite motive, acum nu funcționează. Am încercat două gazde. Deci, ce cip. Certificatul este format din două părți. În primul rând criptează datele. a doua lor primește și decodează. Este foarte simplu.
După certificatul achiziționat, conectați-l la blog-ul nostru. Pentru a face acest lucru, deschideți fișierul wp-config.php. Introduceți partea din spate, de preferință mai aproape de partea de sus-centru, că aceste linii:
Dar eu personal nu am încredere în această funcție. Dintr-o dată nu mai funcționează, sau ceva de genul asta se întâmplă. Chance, desigur, mici, dar orice se poate întâmpla. Așa că am arunca manual fișierele goale în toate dosarele pe care doresc să le ascund.
Schimbați numele administratorului
Cele mai multe dintre bloggeri își rezervă de autentificare admin. Aceasta este o mare greșeală. Spune-mi că este mai ușor pentru a ridica parola (chiar dacă acesta este de 50 de caractere) la datele de conectare deja cunoscut sau alege datele de conectare la mare, și pentru fiecare dintre ele parola? Desigur, a doua opțiune. Deci, sau pentru a crea un alt cont utilizând datele de conectare dorit, du-te prin și să ștergeți administratorul existent. Sau du-te la baza de date, și acolo, în tabelul de utilizatori WP, schimba datele de conectare de pe dreapta.
Schimbarea parolele pe un foarte sofisticat. În general, pentru toate: pentru admin, pentru FTP, baze de date. Închide ochii și doar să introduceți pe tastatură parola de caractere 20-30, cu litere mari și mici, cu numere și caractere speciale. Puteți utiliza generatoare de parole, dar personal am un pic de paranoia în acest sens. Nu am încredere generatoare și un manager de parole. Și generatoarele sunt prea leneși pentru a scrie. Așa că fac acest lucru: sunt stocate în fișierul text simplu, toate parolele generate, și atunci când este necesar, deschideți fișierul, copiați parola - mă duc la panoul de administrare. Fișierul în sine este, de asemenea, în arhiva cu o parolă.
Da, este mult mai mult decât atât pentru a salva parola în browser-ul dvs., sau de a folosi ceva de genul qwerty123. Dar, din păcate, atunci când dintr-o dată ești „norocos“ să fie piratat, cred că timp pentru a crea un nou sau restaurare a acestui blog va dura mult mai mult.
Te sfătuiesc să citiți toate articolele pe care le-am dat în această lecție. Informațiile nu sunt redundante.
Și este, de asemenea, destul de des cazul în care oamenii descărca un șablon din partea publicului, și în ea script-ul viral la mare.
Pe aceasta am totul, mă bucur că a trecut o astfel de lecție ca protecția wordpress. Să sperăm că va inspira încredere 🙂
Până când ne vom întâlni din nou!