Відкрити меню

Про безпеку WordPress і не тільки – захищаємо свої сайти від втручання

День добрий, шановні друзі! Сьогодні ми з Вами поговоримо про безпеку блогів на WordPress і будь-яких сайтів взагалі. На цю статтю надихнув мене лист одного користувача, який дещо мені показував і прислав посилання, перейшовши за яким я побачив не зовсім прийнятну картину. Зараз я все поясню та розкладу по поличках.

Безпека сайту

Повторювати очевидні речі, такі як зміна логіну admin, встановлення складного пароля, ми не будемо, це відомо всім, а розглянемо випадок, коли будь-який сторонній користувач може переглянути внутрішнє наповнення Вашого ресурсу. Тобто – будь-хто має можливість продивитись, а що Ви тримаєте в теках на сервері, які файли, які архіви і т.д.

Я покажу Вам на прикладі свого блогу, де я цей захист зніму на хвилинку для статті. Отже, користувач прислав мені лінк, який я випадково не до кінця скопіював та вставив в адресний рядок браузера. Натиснувши Enter, я побачив повний перелік всіх файлів, які містились в певній директорії.

Приклад: є у мене на блозі тека buttons, де я зберігаю різні малюночки, кнопочки, банерки і тому подібне. Ось що відбувається, коли вміст ресурсу фактично загальнодоступний. Будь-хто набирає в браузері адресу

https://olegvoloshchuk.com/buttons/

і бачить перед собою все, що я в цій теці зберігаю.

Відкриті файли

Така ситуація недопустима, адже мало що я можу там зберігати … Якісь секретні архіви, наприклад, які не призначені для широкого загалу, тощо, тому цю ситуацію потрібно виправляти негайно, адже це неприємно і небезпечно.

Багато хостинг-майданчиків по-замовчуванню мають увімкнену функцію, яка забороняє доступ до директорій, якщо ж ні – Вам необхідно зробити це самостійно. Проаналізуйте, візьміть будь-яку теку на Вашому сервері і спробуйте відкрити її в браузері. Якщо перед собою побачите білу сторінку або Вас перенаправить на сторінку 404 – значить все окей, якщо ж Ви будете спостерігати перелік файлів, які містяться в цій директорії – читайте статтю далі.

Отже, захист я вмикаю назад і тепер при наборі в адресному рядку

https://olegvoloshchuk.com/buttons/

я бачу наступну картину

Закриті файли

Тобто зараз ніхто не зможе продивитись серверний вміст, а тим більше нашкодити, всі теки закриті від прямого доступу – якщо у Вас навпаки, поставте цей захист НЕГАЙНО!

Як це зробити.

Кожна CMS в початковому стані має в собі файл .htaccess, де прописані певні налаштування. Якщо у Вас звичайний, самописний сайт, то Вам такий файл необхідно створити. Це дуже просто – створюєте звичайний текстовий файл htaccess.txt, видаляєте розширення .txt і додаєте крапку перед назвою файлу. В результаті у Вас вийде порожній .htaccess

Але, як я вже казав, практично кожен двигунець, WordPress однозначно, цей файл вже має.

Відкриваємо його текстовим редактором Notepad++ і вносимо невеличку зміну. Якщо там у Вас є якісь записи, то в самому кінці прописуємо

Options -Indexes

Тут будьте уважні, після слова Options обов’язково повинен стояти пробіл, інакше Вам видасть помилку. Якщо ж у Вас в .htaccess не було ніяких записів, то просто вписуємо цю функцію на початку.

htaccess

Все, тепер Ви можете бути спокійні за збереження вмісту Ваших серверних тек. Проаналізуйте свої сайти і виправте цю “дірочку” обов’язково, адже захист та безпека блогу завжди повинні бути в пріоритеті.

Також хочу нагадати всім, хто тільки починає освоювати WordPress, блогінг та блогосферу – ОБОВ’ЯЗКОВО змінюйте логін адміністратора, не використовуйте стандартний admin, про пароль, я гадаю, всім і так зрозуміло – він повинен бути складний та такий, який не підбирається. Ніяких днів народження, адрес, назви улюблених музичних гуртів і т.д.

Пам’ятайте, безпека Ваших проектів багато в чому залежить від Вас самих, а зловмисники дуже добре знають поширені пробіли в захисті і вміло цим користуються.

Не забувайте робити резервні копії своїх сайтів (я це роблю приблизно раз на два тижні), тоді будете мати гарантію, що не приведи Господи до якоїсь халепи – Ви будете мати звідки відновити свою працю.

Бажаю Вам безпечної роботи в мережі, вдалого блогінгу та просто гарного настрою, не дивлячись на похмуру осінню погоду.

Шануйтеся!

Нічого цікавогоТак собіНормальноДобреЧудово (Голосів: 1, середній: 5,00 з 5)
Loading...
Обговорення: 2 коментарі
  1. Мирослав сказав:

    коли спочатку я побачив 404, подумав що то проблема хостингу.

    Відповіcти
    1. Олег Волощук сказав:

      Якщо хостинг, якимось чудом, Вам все це закрив – то хостингу подякувати можна.

      Відповіcти

Залишити відповідь

Ваша e-mail адреса не оприлюднюватиметься. Обов’язкові поля позначені *

© 2017 Блог Олега Волощука · Копіювання матеріалів сайту без дозволу заборонено
Авторство підтверджено Google