Безопасность блога — файлы «wp-config.php» и «.htaccess»

11.02.2011 Распечатать запись Распечатать запись Отправить по почте Отправить по почте

lock Безопасность блога   файлы «wp config.php» и «.htaccess»Иногда блоги становятся объектом нападения злоумышленников. Неважно, какую цель они при этом преследуют — украсть информацию, исказить или угробить сайт, владельцы блогов не желают, чтобы кто-то мешал их работе или сводил их усилия на нет. Зная о том, что подобное может случиться, необходимо заранее позаботиться о том, чтобы защитить свой блог от злоумышленников. В этой статье я рассмотрю некоторые способы защиты блога с помощью файлов «wp-config.php» и «.htaccess».

Конфигурационный файл или файл конфигурации используется для хранения настроек компьютерных программ, в том числе и операционных систем. Обычно он имеет текстовый формат и может быть прочитан и отредактирован пользователем. Конфигурационный файл WordPress «wp-config.php» содержит различные настройки и данные, к примеру: данные для доступа к базе данных, язык кодировки, настройки безопасности. Таким образом, этот файл может стать объектом атаки хакеров, так как его содержимое позволяет получить доступ к базам данных.

1. Измените настройки. Следующие настройки должны быть изменены в файле «wp-config.php», так как все хакерские боты и скрипты обычно настроены на стандартные, устанавливаемые по умолчанию. Установив свое значение, Вы затрудните задачу хакеров. Используйте правило: «Чем более случайным и уникальным будет значение, тем лучше». 1.1. Ключи безопасности или уникальные ключи аутентификации. Аутентификация – это проверка подлинности предъявленного пользователем идентификатора. Она требуется при доступе к интернет-ресурсам. Эти ключи влияют на файлы cookies, которые записываются на компьютеры посетителей сайта. Считается, что каждое значение должно быть уникальным и достаточно большим по размерам. WordPress спасает от необходимости самому разрабатывать длинные ключи. Генерация нужных строк происходит автоматически. Вы просто должны скопировать сгенерированные ключи безопасности в Вашем файл конфигурации. Поскольку в версиях WordPress 2.7 имеется четыре вида ключей безопасности, а в более поздних восемь, то и ссылки на генерацию будут разными (4 ключа, 8 ключей).

1.2. Префикс таблиц базы данных. Под префиксом (лат. praefixum — прикреплённый спереди) в информатике понимают начало строки. Установки для таблиц базы данных WordPress не должны быть стандартным «wp_». Чем сложнее слова, тем меньше вероятность проникновения в базы данных MySQL будет происходить. Так как это значение присваивается только один раз и имеет внутреннюю функцию, то Вам не придется вспоминать о нем. Поэтому следует воспользоваться сервисами генерации паролей, к примеру этим, чтобы получить что-то вроде «vJX4=Kog\3».

2. Переместите файл «wp-config.php». Начиная с версии 2.6, WordPress позволяет перемещать файл конфигурации на более высокий уровень. Так как доступ к корневой папке сервера получить труднее, то есть смысл хранить этот системный файл на уровень выше, чем устанавливается при инсталяции программы. WordPress автоматически найдёт свои настройки на более высоком уровне каталога. Любая попытка со стороны пользователей скорректировать путь будет неудачной. Если Вы установили WordPress в папку «public_html/wordpress», то Вы сможете найти файл «wp-config.php» в папке «wordpress». Переместите его в корневой — «public_html».

3. Защитите файл «wp-config.php» с помощью файла «.htaccess». Если кто-либо получит доступ к файлу «wp-config.php», то он сможет получить доступ к Вашим данным. Поэтому нужно закрыть доступ к этому файлу откуда бы то ни было. Это делается с помощью внесения соответствующего кода в файл «.htaccess». В этом случае, внешний доступ к файлу «wp-config.php» будет исключен. .htaccess (от. англ. hypertext access) — файл дополнительной конфигурации, позволяющий задавать большое количество дополнительных параметров и разрешений для работы веб-сервера в отдельных каталогах (папках). Файлы «.htaccess» часто используются для указания ограничений для конкретной директории, переназначения типов файлов, без изменения главного конфигурационного файла. Он действует только на каталог, в котором располагается, и на его подкаталоги. Вот этот код:

# protect wpconfig.php <files wp-config.php> order allow,deny deny from all </files>

Важно убедиться, что файл «.htaccess» находится в той же папке, что и файл «wp-config.php». Поэтому, если Вы установили WordPress в папку «public_html/wordpress», то Вы сможете найти файл «.htaccess» в папке «wordpress». Переместите его в корневой — «public_html».

4. Настройте права доступа к файлам. Убедитесь, что права доступа к обоим этим файлам – 640. Это запрещает доступ к ним по внешним запросам, при этом выдается код 403- Forbidden (Запрещено). Если Вы хотите еще больше обезопаситься, то установите права 444, которые позволяют только читать. Если Вам понадобиться внести изменения, то Вы всегда сможете поменять права, внести изменения, и снова вернуться на 444.

5. Закройте доступ к файлу «wp-login.php». Содержимое файла конфигурации «wp-login.php» является очень ценным для работоспособности  блога, но он также очень уязвимым для атак. Файл используется для того, чтобы войти в административную панель блога. Чтобы максимально обезопасить файл от внешнего доступа нужно запретить к нему доступ со всех IP-адресов, кроме тех, с которых Вы администрируете блог. Для того, чтобы сделать это, нужно в файл «.htaccess» добавить специальный код. При этом, если Вы выполнили предыдущие шаги, то нужно создать новый файл «.htaccess» и разместить его в той папке, в которой находится файл «wp-login.php». Не трогайте файл «.htaccess», находящийся в корневом каталоге «public_html».

<Files «wp-login.php»> Order deny,allow Deny from All Allow from aaa.bbb.cc.ddd </files>

Первая строчка задает имя файла, к которому нужно будет ограничить доступ. Команда «order» означает «порядок»; «deny» — «запрет»; «allow» — разрешение. Если порядок будет указан как «deny,allow», то вначале идет запрет, а потом разрешение. Если порядок «allow, deny», то вначале идет разрешение, а потом запрет. В нашем случае запрещается доступ для всех, кроме IP -aaa.bbb.cc.ddd. Если бы стоял другой порядок, то можно было бы разрешить доступ всем, но запретить доступ для указанного IP фразой «Deny from aaa.bbb.cc.ddd». В данном случае IP-адрес aaa.bbb.cc.ddd приведен как пример. Используйте свой. При этом обязательно обратите внимание на то, что IP-адрес может меняться, если провайдер не назначил Вам постоянный IP-адрес.

Примечание: Если Вы создаете новый файл«.htaccess» для ограничения доступа по IP-адресу, то достаточно будет иметь только этот код. Если Вы редактируете файлы или пишите их вручную, то убедитесь, что кодировка при сохранении выбрана UTF-8 (без ВОМ) или UTF-8 without ВОМ.

Присоединяйтесь к обсуждению или поделитесь с друзьями:

 
 
 
 
 
 
 
 
 
 
 
 

В Социальной Сети Facebook:


Если Вам понравилась моя статья, то Прямо Сейчас нажмите выше на кнопку Мне нравится или присоединяйтесь ниже к обсуждению непосредственно на Фейсбуке!

В Социальной Сети Twitter:


Если Вам понравилась моя статья, то Прямо Сейчас нажмите выше на кнопку Твитнуть и в открывшемся окошке напишите Ваш отзыв!

В Социальной Сети ВКонтакте:


Если Вам понравилась моя статья, то Прямо Сейчас нажмите выше на кнопку Это интересно или присоединяйтесь ниже к обсуждению непосредственно ВКонтакте!

В Социальной Сети Мой Мир:

Нравится

Если Вам понравилась моя статья, то Прямо Сейчас нажмите выше на кнопку Нравится и в открывшемся окошке напишите Ваш отзыв!

В Социальной Сети Одноклассники:


0

Если Вам понравилась моя статья, то Прямо Сейчас нажмите выше на кнопку Класс и в открывшемся окошке напишите Ваш отзыв или же нажмите ниже на кнопку Поделиться, чтобы разместить ссылку на статью без личной оценки!

Добавить в Google+:

Если Вам понравилась эта статья, то Прямо Сейчас нажмите кнопку +1 выше и в открывшемся окошке напишите Ваш отзыв!

Добавить в блог на Blogger.com:

Если Вам понравилась эта статья, то Прямо Сейчас нажмите выше на кнопку Опубликовать на Blogger.com и в открывшемся окне напишите Ваш отзыв!

Добавить в блог на Liveinternet.ru:

Если Вам понравилась эта статья, то Прямо Сейчас нажмите выше на кнопку Опубликовать в LiveInternet.ru и в открывшемся окне напишите Ваш отзыв!

Добавить в блог на Livejournal.com:

Если Вам понравилась эта статья, то Прямо Сейчас нажмите выше на кнопку Опубликовать в LiveJournal и в открывшемся окне напишите Ваш отзыв!

Добавить в закладки Yandex:

Если Вам понравилась эта статья, то Прямо Сейчас нажмите выше на кнопку Добавить в Яндекс.Закладки и в открывшемся окне напишите Ваш отзыв!

Добавить в закладки Google:

Если Вам понравилась эта статья, то Прямо Сейчас нажмите выше на кнопку Сохранить в закладках Google и в открывшемся окне напишите Ваш отзыв!

Добавить в Evernote:

Если Вам понравилась эта статья, то Прямо Сейчас нажмите выше на кнопку Добавить в Evernote и в открывшемся окне сохраните Ваши заметки или содержание всей страницы!

Или прокомментируйте ниже прямо на блоге!

С уважением, Игорь Блохин!

Другие статьи по этой теме

  • Рейтинг статьи: оцените, насколько она была полезна для Вас?
    1 звезда2 звезд3 звезд4 звезд5 звезд (Еще не оценили)

  • Метки: , , , , ,   Рубрики: Блог на WordPress  7 комментариев

    7 комментариев

    1. Игорь Блохин - 14.02.2011

      Если Вы не знаете свой IP-адрес, то воспользуйтесь услугой сайта: www.whatismyip.com

      Ответить

    2. Блохин Игорь - 14.02.2011

      Содержимое каталога «wp-admin» также как и файл конфигурации «wp-login.php» является очень ценным для работоспособности блога, и он также очень уязвимым для атак. Чтобы максимально обезопасить весь каталог «wp-admin» от внешнего доступа можно запретить к нему доступ со всех IP-адресов, кроме тех, с которых Вы администрируете блог.

      Для того, чтобы сделать это, нужно в файл «.htaccess», размещенном в папке «wp-admin», добавить специальный код, который закроет доступ ко всем файлам и подкаталогам, размещенным в «wp-admin»:

      Order deny,allow

      Deny from All

      Allow from aaa.bbb.cc.ddd

      Ответить

    3. Семён - 12.04.2011

      Огромное спасибо за инфу! оч. помогли!

      Ответить

    4. Олег - 25.05.2012

      Здравствуйте, подскажите пожалуйста если выставляю права к htaccess на 640 то сайт слетает

      Ответить

      Игорь Блохин Ответил:

      Попробуйте тогда 755. Что означает, что владелец может делать всё — чтение/запись/выполнение, группы и все только чтение/выполнение.

      Ответить

    5. Олег - 25.05.2012

      и ещё вопрос при Ограничение доступа к wp-content следующим кодом

      Order deny,allow

      Deny from all

      Allow from all

      Слетает аудио плеер на этой странице:

      prostor.pro/music/muzyka-dlya-meditacii.html

      Буду очень признателен если поможете)

      Ответить

      Игорь Блохин Ответил:

      НЕЛЬЗЯ закрывать доступ к папке wp-content, так как там хранятся Ваши статьи, картинки и т.д. Эта папка для содержимого блога. В статье говорилось о файле wp-login.php, который используется для того, чтобы войти в административную панель блога. Т.е. Вы должны запретить всем заходить в админку блога с чужих IP, прописав только Ваш, чтобы Вы сами могли зайти. При этом ОБЯЗАТЕЛЬНО пропишите Ваш IP полностью, если он статичный, или его часть aaa.bbb, если последние цифры часто меняются при перезагрузке модема.

      Ответить

    Написать комментарий

    Страница 1 из 11