Съобщение

Collapse
No announcement yet.

Да стегнем малко горкия, беззащитен Wordpress :)

Collapse
Това е важна тема.
X
X
  • Филтър
  • Период
  • Показване на
Clear All
нови коментари

  • #61
    Re: Да стегнем малко горкия, беззащитен Wordpress

    Оказа се, че WordPress File Monitor наистина вкарва някакви негови си CSS стилове в кода и това обяснява счупените дизайни. Идея си нямам защо го прави.

    Решението е в подобрената версия WordPress File Monitor Plus, която обещава, че това вече няма да се случва. Има и други подобрения, описани са на страницата.

    Разширението на руснака на пръв поглед изглежда добро. Но само логва, не изпраща по мейл. Със сигурност няма зловреден код вътре.

    Коментар


    • #62
      За: Да стегнем малко горкия, беззащитен Wordpress

      Аха. И аз мярнах, че има и някакъв плюс. Сега се зачетох и пише, че е от друг собственик този плюс понеже явно е бил изоставен предния. Този го е подобрил и оправил това дето викаш. Явно него ще ползваме.

      Коментар


      • #63
        Re: Да стегнем малко горкия, беззащитен Wordpress

        Според мен е добра идея да се сменят правата на файла wp-config.php на 600. Отнася се за всеки CMS, не само за WordPress. Вие какво ще кажете?

        Коментар


        • #64
          За: Да стегнем малко горкия, беззащитен Wordpress

          Сигурно само 1/10 част от актуалните към момента атаки са насочени към wp-config.php и wp-settings.php файловете.

          Коментар


          • #65
            За: Re: Да стегнем малко горкия, беззащитен Wordpress

            Първоначално публикувано от cloxy View Post
            Според мен е добра идея да се сменят правата на файла wp-config.php на 600. Отнася се за всеки CMS, не само за WordPress. Вие какво ще кажете?
            Това с htaccess-а дето се блокира достъпа не е ли достатъчно? Или по принцип казваш ако го няма това?

            Коментар


            • #66
              Re: За: Re: Да стегнем малко горкия, беззащитен Wordpress

              Първоначално публикувано от scoobydoo View Post
              Това с htaccess-а дето се блокира достъпа не е ли достатъчно? Или по принцип казваш ако го няма това?
              Онова няма нищо общо. То блокира за външната мрежа.

              Целта ми е само моят Linux потребител да има права да чете и пише във файла. При някои бъгави хостинги може да те предпази от symlink хака и други подобни. Лично мнение.

              Коментар


              • #67
                За: Да стегнем малко горкия, беззащитен Wordpress

                Еми тогава може и да е добра идея. То нали тази промяна няма как да попречи на работата на сайта? Защо му е на някой друг достъп освен на нашия потребител?

                Коментар


                • #68
                  Re: За: Да стегнем малко горкия, беззащитен Wordpress

                  Първоначално публикувано от scoobydoo View Post
                  Еми тогава може и да е добра идея. То нали тази промяна няма как да попречи на работата на сайта? Защо му е на някой друг достъп освен на нашия потребител?
                  В интерес на истината някои плъгини от време на време се мъчат да вкарват там разни константи, примерно define('WP_CACHE',true); , но според мен нямат работа да пипат там. Ако искат нещо, да ми напишат и ще го добавя. Като се замисля те въпреки това би трябвало да имат достъп.

                  Коментар


                  • #69
                    За: Да стегнем малко горкия, беззащитен Wordpress

                    Еми, аз смятам да послушам съвета ти и да си го направя на 600, пък ако нещо не бачка в бъдеще, ще знам да го оправя. То между другото на един друпал дето имах инсталиран, не можех да му изтрия папката нито през cpanel нито през фтп. Оказа се че някакъв си файл (мисля че е бил конфиг, не помня) имал такива права, че дори аз не мога да го пипам. Наложи се да ги променя и тогава да изтрия папката. А при WP няма такова нещо .

                    Коментар


                    • #70
                      За: Да стегнем малко горкия, беззащитен Wordpress

                      Някой ще помогне ли с настройката на папките в този плъгин Wordpress File Monitor Plus? Задавам му да не гледа папките /wp-content/uploads/ и /wp-content/cache/, но продължава да ми праща за тях. После ги зададох с пълен път, както е в горното поле:
                      /home/xxxxx/public_html/xxxxx.com/wp-content/cache/
                      /home/xxxxx/public_html/xxxxx.com/wp-content/uploads/
                      И пак продължава да ми праща за тях. Как е правилното? С http:// ли иска?

                      Коментар


                      • #71
                        За: Да стегнем малко горкия, беззащитен Wordpress

                        Я пробвай без наклонена черта отпред. Все-пак са относителни пътища, а с тази наклонена отпред стават абсолютни. При мен работи без проблеми.

                        Коментар


                        • #72
                          За: Да стегнем малко горкия, беззащитен Wordpress

                          При теб как са? По краткия начин, но без наклонена ли?

                          Коментар


                          • #73
                            За: Да стегнем малко горкия, беззащитен Wordpress

                            wp-content/uploads
                            sitemap.xml
                            Но аз съм на старата версия, работи за моите сайтове и не ми се пипа.

                            Коментар


                            • #74
                              За: Да стегнем малко горкия, беззащитен Wordpress

                              ОК, мерси. И аз така ги направих пък да видим. Сигурно това е проблема . Иначе си работи. Праща за промените. Много добро разширение .

                              Коментар


                              • #75
                                За: Да стегнем малко горкия, беззащитен Wordpress

                                Ще обобщя допълнителните съвети и ще добавя и нови. Ще помоля някой модератор да помогне и да ги добави след текста на първия пост от темата (ако е позволено) по следния начин:

                                Редактирано на dd.mm.yyyy:

                                Допълнителни съвети

                                9. Този код също може да се добави в главния .htaccess файл. Той защитава от script injection:
                                Code:
                                Options +FollowSymLinks
                                RewriteEngine On
                                RewriteCond %{QUERY_STRING} (\<|%3C).*script.*(\>|%3E) [NC,OR]
                                RewriteCond %{QUERY_STRING} GLOBALS(=|\[|\%[0-9A-Z]{0,2}) [OR]
                                RewriteCond %{QUERY_STRING} _REQUEST(=|\[|\%[0-9A-Z]{0,2})
                                RewriteRule ^(.*)$ index.php [F,L]
                                Източник: ЦЪК

                                10. Този код да се добави в .htaccess файла на wp-content/uploads. Той забранява изпълняването на php файлове от там. (Благодаря на Sucuri SiteCheck Malware Scanner за идеята)
                                Code:
                                <Files *.php>
                                deny from all
                                </Files>
                                11. Може да се инсталират следните два плъгина, които са много полезни. Първия автоматично засича всяка промяна на файловете ви и дава отчет, така че ако някой вирус промени някакъв файл, вие ще знаете. Всякакви други промени също са видими, за това е добре да се игнорират някои папки, примерно uploads или cache. А с втория можете да сканирате за вируси когато поискате.
                                WordPress File Monitor Plus (Благодаря на Cloxy за идеята)
                                Sucuri SiteCheck Malware Scanner (Благодаря на accent за идеята)

                                12. Това е като допълнение към стъпка 5. Изтрийте readme.html файла, защото там е видима WP версията, а това е полезна информация за вирусите. (Благодаря на Sucuri SiteCheck Malware Scanner за идеята). Също вместо да ръчкате по файлове, както казах в стъпка 5, то сложете това във functions файла на темата ви: remove_action('wp_head', 'wp_generator');

                                13. Също може да зададете правата на wp-config.php файла да са 600. Става лесно през ftp програма с десен бутон на файла. Възможно е, но е малко вероятно някои плъгини да искат достъп до него и да не го получат. Имайте едно на ум за това. (Благодаря на Cloxy за идеята)

                                Коментар

                                Изчакайте...
                                X