SearchEngines.bg

Това е примерно съобщение за гост. Регистрирайте безплатен акаунт днес, за да станете потребител на SearchEngines.bg! След като влезете, ще можете да участвате в този сайт, като добавите свои собствени теми и публикации, както и да се свържете с други членове чрез вашата лична входяща кутия! Благодарим ви!

Да стегнем малко горкия, беззащитен Wordpress :)

cloxy

Super Moderator
Екип
Re: Да стегнем малко горкия, беззащитен Wordpress :)

Оказа се, че WordPress File Monitor наистина вкарва някакви негови си CSS стилове в кода и това обяснява счупените дизайни. Идея си нямам защо го прави.

Решението е в подобрената версия WordPress File Monitor Plus, която обещава, че това вече няма да се случва. Има и други подобрения, описани са на страницата.

Разширението на руснака на пръв поглед изглежда добро. Но само логва, не изпраща по мейл. Със сигурност няма зловреден код вътре.
 

scoobydoo

Know you can!
За: Да стегнем малко горкия, беззащитен Wordpress :)

За: Да стегнем малко горкия, беззащитен Wordpress :)

Аха. И аз мярнах, че има и някакъв плюс. Сега се зачетох и пише, че е от друг собственик този плюс понеже явно е бил изоставен предния. Този го е подобрил и оправил това дето викаш. Явно него ще ползваме.
 

s1yf0x

banned
Екип
За: Да стегнем малко горкия, беззащитен Wordpress :)

За: Да стегнем малко горкия, беззащитен Wordpress :)

Сигурно само 1/10 част от актуалните към момента атаки са насочени към wp-config.php и wp-settings.php файловете.
 

scoobydoo

Know you can!
За: Re: Да стегнем малко горкия, беззащитен Wordpress :)

За: Re: Да стегнем малко горкия, беззащитен Wordpress :)

Според мен е добра идея да се сменят правата на файла wp-config.php на 600. Отнася се за всеки CMS, не само за WordPress. Вие какво ще кажете?

Това с htaccess-а дето се блокира достъпа не е ли достатъчно? Или по принцип казваш ако го няма това?
 

cloxy

Super Moderator
Екип
Re: За: Re: Да стегнем малко горкия, беззащитен Wordpress :)

Re: За: Re: Да стегнем малко горкия, беззащитен Wordpress :)

Това с htaccess-а дето се блокира достъпа не е ли достатъчно? Или по принцип казваш ако го няма това?

Онова няма нищо общо. То блокира за външната мрежа.

Целта ми е само моят Linux потребител да има права да чете и пише във файла. При някои бъгави хостинги може да те предпази от symlink хака и други подобни. Лично мнение.
 

scoobydoo

Know you can!
За: Да стегнем малко горкия, беззащитен Wordpress :)

За: Да стегнем малко горкия, беззащитен Wordpress :)

Еми тогава може и да е добра идея. То нали тази промяна няма как да попречи на работата на сайта? Защо му е на някой друг достъп освен на нашия потребител?
 

cloxy

Super Moderator
Екип
Re: За: Да стегнем малко горкия, беззащитен Wordpress :)

Re: За: Да стегнем малко горкия, беззащитен Wordpress :)

Еми тогава може и да е добра идея. То нали тази промяна няма как да попречи на работата на сайта? Защо му е на някой друг достъп освен на нашия потребител?

В интерес на истината някои плъгини от време на време се мъчат да вкарват там разни константи, примерно define('WP_CACHE',true); , но според мен нямат работа да пипат там. Ако искат нещо, да ми напишат и ще го добавя. Като се замисля те въпреки това би трябвало да имат достъп.
 

scoobydoo

Know you can!
За: Да стегнем малко горкия, беззащитен Wordpress :)

За: Да стегнем малко горкия, беззащитен Wordpress :)

Еми, аз смятам да послушам съвета ти и да си го направя на 600, пък ако нещо не бачка в бъдеще, ще знам да го оправя. То между другото на един друпал дето имах инсталиран, не можех да му изтрия папката нито през cpanel нито през фтп. Оказа се че някакъв си файл (мисля че е бил конфиг, не помня) имал такива права, че дори аз не мога да го пипам. Наложи се да ги променя и тогава да изтрия папката. А при WP няма такова нещо :).
 

scoobydoo

Know you can!
За: Да стегнем малко горкия, беззащитен Wordpress :)

За: Да стегнем малко горкия, беззащитен Wordpress :)

Някой ще помогне ли с настройката на папките в този плъгин Wordpress File Monitor Plus? Задавам му да не гледа папките /wp-content/uploads/ и /wp-content/cache/, но продължава да ми праща за тях. После ги зададох с пълен път, както е в горното поле:
/home/xxxxx/public_html/xxxxx.com/wp-content/cache/
/home/xxxxx/public_html/xxxxx.com/wp-content/uploads/
И пак продължава да ми праща за тях. Как е правилното? С http:// ли иска?
 

cloxy

Super Moderator
Екип
За: Да стегнем малко горкия, беззащитен Wordpress :)

За: Да стегнем малко горкия, беззащитен Wordpress :)

Я пробвай без наклонена черта отпред. Все-пак са относителни пътища, а с тази наклонена отпред стават абсолютни. При мен работи без проблеми.
 

cloxy

Super Moderator
Екип
За: Да стегнем малко горкия, беззащитен Wordpress :)

За: Да стегнем малко горкия, беззащитен Wordpress :)

wp-content/uploads
sitemap.xml

Но аз съм на старата версия, работи за моите сайтове и не ми се пипа.
 

scoobydoo

Know you can!
За: Да стегнем малко горкия, беззащитен Wordpress :)

За: Да стегнем малко горкия, беззащитен Wordpress :)

ОК, мерси. И аз така ги направих пък да видим. Сигурно това е проблема :). Иначе си работи. Праща за промените. Много добро разширение :).
 

scoobydoo

Know you can!
За: Да стегнем малко горкия, беззащитен Wordpress :)

За: Да стегнем малко горкия, беззащитен Wordpress :)

Ще обобщя допълнителните съвети и ще добавя и нови. Ще помоля някой модератор да помогне и да ги добави след текста на първия пост от темата (ако е позволено) по следния начин:

Редактирано на dd.mm.yyyy:

Допълнителни съвети

9. Този код също може да се добави в главния .htaccess файл. Той защитава от script injection:
Код:
Options +FollowSymLinks
RewriteEngine On
RewriteCond %{QUERY_STRING} (\<|%3C).*script.*(\>|%3E) [NC,OR]
RewriteCond %{QUERY_STRING} GLOBALS(=|\[|\%[0-9A-Z]{0,2}) [OR]
RewriteCond %{QUERY_STRING} _REQUEST(=|\[|\%[0-9A-Z]{0,2})
RewriteRule ^(.*)$ index.php [F,L]
Източник: ЦЪК

10. Този код да се добави в .htaccess файла на wp-content/uploads. Той забранява изпълняването на php файлове от там. (Благодаря на Sucuri SiteCheck Malware Scanner за идеята)
Код:
<Files *.php>
deny from all
</Files>

11. Може да се инсталират следните два плъгина, които са много полезни. Първия автоматично засича всяка промяна на файловете ви и дава отчет, така че ако някой вирус промени някакъв файл, вие ще знаете. Всякакви други промени също са видими, за това е добре да се игнорират някои папки, примерно uploads или cache. А с втория можете да сканирате за вируси когато поискате.
WordPress File Monitor Plus (Благодаря на Cloxy за идеята)
Sucuri SiteCheck Malware Scanner (Благодаря на accent за идеята)

12. Това е като допълнение към стъпка 5. Изтрийте readme.html файла, защото там е видима WP версията, а това е полезна информация за вирусите. (Благодаря на Sucuri SiteCheck Malware Scanner за идеята). Също вместо да ръчкате по файлове, както казах в стъпка 5, то сложете това във functions файла на темата ви: remove_action('wp_head', 'wp_generator');

13. Също може да зададете правата на wp-config.php файла да са 600. Става лесно през ftp програма с десен бутон на файла. Възможно е, но е малко вероятно някои плъгини да искат достъп до него и да не го получат. Имайте едно на ум за това. (Благодаря на Cloxy за идеята)
 

accent

New member
За: Да стегнем малко горкия, беззащитен Wordpress :)

За: Да стегнем малко горкия, беззащитен Wordpress :)

Благодарско на всеки, който е написал по нещо в тази хубава тема. Доста от нещата вече съм ги използвал, но научих и доста нови неща. Направо си беше размисли и страсти докато изчета всички мнения :)
 

accent

New member
За: Да стегнем малко горкия, беззащитен Wordpress :)

За: Да стегнем малко горкия, беззащитен Wordpress :)

И още 1 съвет от мен. Каквото и да променяте по главният .htaccess файл (този, който се намира в root директорията на сайта ви), в никакъв случай не премахвайте следните редове:

<IfModule mod_rewrite.c>
RewriteEngine On
RewriteBase /
RewriteRule ^index\.php$ - [L]
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule . /index.php [L]
</IfModule>

Макар WordPress да не генерира автоматично собствен .htacess файл, посочените по-горе редове трябва да присъстват в него по default. Ако при опит да заредите вътрешен адрес на сайта ви, било то пубкликация или страница и получите следното съобщение за грешка:

Not Found

The requested URL /articles/ was not found on this server.

Additionally, a 404 Not Found error was encountered while trying to use an ErrorDocument to handle the request.

...бъдете сигурни, че посочените редове липсват във вашия .htacess файл. Добавете ги и проблемът ще бъде решен. Надявам се това да е от полза на някого :)
 

s1yf0x

banned
Екип
За: Да стегнем малко горкия, беззащитен Wordpress :)

За: Да стегнем малко горкия, беззащитен Wordpress :)

Интересно ми е

Код:
RewriteRule ^index\.php$ - [L]

какво общо има със сигурността? Вече се пише наизуст .....
 

scoobydoo

Know you can!
За: Да стегнем малко горкия, беззащитен Wordpress :)

За: Да стегнем малко горкия, беззащитен Wordpress :)

Да, това дето каза accent не е за сигурността. То е за нормалната работа на WP. :) Но то си го има, така че нищо не трябва реално да се прави. Само да се внимава да не се изтрие.
 

Горе