Тюнинг безопасности для WordPress htaccess – 100% защита от phpshell и снижение вероятности взлома вдвое

Несмотря на то, что на сегодняшний день ВордПресс является бесспорным лидером среди потенциальных жертв кибер-атак, и ее взломом днем и ночью занимается целая армия кибер-преступников, ежедневно атакуя сотни тысяч сайтов по всему миру, и атаки эти не прекращаются ни на минуту, а лишь меняют цель и методы, каждый случай взлома системы ВордПресс можно отнести к одной из двух противоположных категорий:

1) по вине вебмастера:

1-а) достаточно некоторое время элементарно не обновлять систему или какой-либо из плагинов, либо же тему, после выхода новой версии, вопреки предостережениям, и взлома посредством уязвимости долго ждать не придется (той самой уязвимости, в т.ч. для исправления которой собственно и была выпущена обновленная, и так беспечно проигнорированная, версия ВордПресс/плагина/темы);

1-б) также неопытные вебмастера часто грешат установкой, говоря простым языком, чего попало взятого где попало, включая темы и плагины, от неизвестных и непроверенных разработчиков, скачанные с сомнительных варез-сайтов, а также взломанный, изначально платный, софт (в данном случае оплата происходит путем потери контроля над собственным сайтом);

2) по вине разработчиков, недоглядевших уязвимость в собственном коде, а в худшем случае – еще и узнавших об этом после массовых атак и взломов (в отличии от пункта №1, от такой ситуации не застрахован ни один, даже самый опытный и внимательный пользователь ВордПресс.

Следующее утверждение, возможно, покажется неимоверным, но все же: с помощью предлагаемого ниже тюнинг-пакета для файлов .htaccess системы ВордПресс за каких-нибудь десять минут можно вдвое уменьшить риск взлома, причем как в случае первого варианта развития событий, так и в случае второго из вышеизложенных, таким образом данное совершенствование можно порекоммендовать практически каждому пользователю ВордПресс.

Вопрос: в чем же секрет?

Ответ: дело в том, что большинство взломов заканчиваются внедрением в файловую систему сайта-жертвы скрытого файла phpshell, и в большинстве случаев скрывают его в таких системных папках /wp-includes and /wp-content/uploads, а также /cache если на сайте установлена система кеширования. Волшебство заключается в том, что даже если Вас, порядочного вебмастера, все же взломали, и сделали то что делают чаще всего – залили phpshell (с целью позднее использовать его для отсылки спама, фишинга, участия в атаках, и т.п.), долго радоваться злоумышленникам не придется – только до того времени, когда они поймут, что усилия насмарку, а то, что должно было стать инструментом контроля над Вашим сервером, совершенно непригодно к использованию, и толк от него нулевой; тогда уж и у Вас появится повод порадоваться, если конечно ранее Вы последуете нижеизложенным инструкциям и заблокируете выполнение программных сценариев, таких как phpshell, там, где программным сценариям находиться и выполняться не положено.

1. Создайте простой текстовый файл и вставьте в него четыре блока кода, затем загрузите на сервер, в папку /wp-content/uploads, и назовите его .htaccess (скрытый файл, в названии только маленькие символы); код находится по следующей ссылке: http://pastebin.com/1QW4ydCx

2. Создайте простой текстовый файл и вставьте в него три блока кода, затем загрузите на сервер, в папку /wp-includes и, возможно, (3) /cache, если на сайте установлена система кеширования, и назовите его .htaccess (скрытый файл, в названии только маленькие символы); код находится по следующей ссылке: http://pastebin.com/HuNer3mV

Готово. Теперь Вашим сайтом не овладеть с помощью привычного phpshell, никаких шансов злоумышленникам, пользующимся данным методом, вместо выгоды за Ваш счет – потраченное впустую время.

Работоспособность данного решения проверялось на протяжении довольно длительного периода времени, на разных серверах и с различными наборами плагинов и тем, и зарекомендовало оно себя только с хорошей стороны – абсолютно никаких претензий, полная совместимость, т.е. в принципе данное усовершенствование можно назвать актуальным для абсолютно любого сайта, работающего на ВордПресс.

Блог "Глазами хостера" © 2005 - 2018 ABC Hosting Ltd dba Zzz.com.ua

Log in with your credentials

Forgot your details?