Безопасность wordpress. Самое необходимое

Безопасность wordpressПро эту самую безопасность – нынче не писал только ленивый. Здесь у меня тоже нет-нет да проскочит что-нибудь этакое.
Однако при написании здешней писанины я все время стараюсь донести до читателя одну весьма простую мысль: вся эта «безопасность» – вещь очень и очень эфемерная.
И безопасность wordpress тут не исключение.
И если этим самым вордпрессом займутся серьезно – никакие узбекские хитрости не помогут.
Пример товарища Митника – показателен.
Если уж расковыряли Самого, то расковырять какого-нибудь Васю Пупкина из Верхнезалупаевска… ну вы поняли.

Однако все вышесказанное вовсе не означает того, что на безопасность wordpress нужно откровенно забить.

Это – другая крайность, впадать в которую тоже не стоит.
Сегодня – про самые необходимые меры, которые неплохо бы предпринять для обеспечения безопасности блога на движке wordpress.

Начать нужно с мероприятий, которые следует проделать в момент установки блога.

Пароль к базе данных блога – должен быть как можно длиннее и сложнее.
Наряду с цифрами и буквами неплохо бы использовать спецсимволы, а также верхний и нижний регистр.

Еще один момент – префикс базы данных.
Если его не трогать – он будет «wp», а это не есть хорошо.
Потому при редактировании конфига на место этих «wp» следует прописать пару других буковок.
Вообще-то префикс базы данных можно поменять и на уже установленном движке, забравшись в php myadmin и подредактировав все созданные движком таблицы вручную. Но если что-то пойдет не так, то эта нехитрая с виду операция может привести к тому, что многострадальная база – ВНЕЗАПНО встанет раком. Именно поэтому префикс лучше менять при установке, а не после нее.

А вообще – тема префиксов благодатна. Как-нибудь напишу об этом подробнее.

Раз уж зашла речь о базах – надо сказать и про логин блога. Он ведь у всех по-умолчанию «admin». Его можно (и нужно) изменить. Для того, чтобы это сделать – опять придется лезть в базу.

Про то, что версию движка неплохо бы спрятать – тут уже писалось, повторяться не будем.

Про то, что нужно регулярно обновлять движок – тут тоже писалось. И хотя все в один голос визжат, что обновление – это хорошо, в той заметке было наглядно показано, что это – далеко не всегда верно.
Но тем не менее, обновляться все же надо.
Новый движок хорош не тем, что в нем нет дырок.
А тем, что их – еще не нашли.

Также в целях безопасности в блоге нужно оставить только те плагины, которые подключены в данный момент. Остальные – удалить. Во избежание. А те, что используются – регулярно обновлять.

Есть еще кучка мер, которые можно предпринять для безопасности движка. Но мне уже надоело об этом писать, если честно.

Потому что

а) эти меры один черт никто и никогда не предпринимает, и
б) беда – может прийти вовсе не из дырявого движка, и из вашего собственного компа

Об этом подробнее.

Подавляющее большинство граждан – для загрузки плагинов и тому подобного добра подключаются к хостингу по FTP.
Это – не есть хорошо.
А если юзер не дружен с головой, и имеет обыкновение шариться по порносайтикам и прочим «скачать бесплатно тока сдесь», а после этого – лезет по FTP в уютненький бложек, то это – нехорошо вдвойне.
Нет, не потому что клавиатура становится мокрой, и печатать неудобно.
А потому, что прощелкать пароль от любимого бложека при таком поведении в сети – можно на раз-два.

В этом месте все обычно советуют подключаться по SSH.

Оно, мол, безопаснее.

И параллельно с этим – советуют систематически проверять комп на вирусы.

Оно может и так.

Но я знаю способ лучше.
Взять и уебать windows.
Не использовать винду для работы в сети.
Вообще.
Вот этот пост, к примеру, публикуется из-под «убунты».
За номером 9.04.
С совершенно упоротым названием «бойкий рогатый заяц».
Да, да.
Вы правильно догадались.
Линукс.
И пока граждане до хрипоты спорят о том «какой антивирь лучче» – мы смотрим на них, и посмеиваемся.
Потому что нам антивирусы вообще без надобности.
Хотя особо параноидально настроенные граждане могут воткнуть себе на ляликс какой-нибудь антивирь.
Скажем, тот же avast.
Нет, не для того, чтобы сберечь систему, а для того, чтобы не перезаразить окружающих виндузятников, когда вздумаешь скинуть им чего-нибудь на комп.

Если ходить по сети из-под ляликса – возможность подцепить заразу практически исключена. Она если и попадет в систему, то ничего не сможет там сделать. Соответственно, возможность прощелкать пароль от блога по причине внедрившегося трояна – исключена тоже.

А вообще – хватит на сегодня.



Запись опубликована в рубрике Wordpress. Добавьте в закладки постоянную ссылку.

2 комментария на «Безопасность wordpress. Самое необходимое»

  1. Олег. говорит:

    Даа, насчет убунты — поддерживаю вполне. Сам стартанул еще с 8.04. Для лазанья по Сети лучше не придумаешь.Да только от форточек пока отказаться не получается, приходится ставить или две оси,или юзать виртуальную машину. Что порой весьма неудобно.

  2. merlin говорит:

    В настоящее время форточки мне нужны лишь для двух операций: слазить в вебманиевый кошель, да поиграть иногда.
    Со всем остальным — успешно справляется ляликс.

Обсуждение закрыто.