1. This site uses cookies. By continuing to use this site, you are agreeing to our use of cookies. Learn more.

Да развенчая малко митове свързани със сигурността на Wordpress

Дискусията в 'Wordpress Форум' стартирана от ktomov, Февру 20, 2012.

  1. tuger

    tuger Well-Known Member

    Рег.:
    Ян 30, 2010
    Съобщения:
    1,463
    Харесвания:
    139
    Точки:
    63
    Място:
    Навсякъде и никъде конкретно
    От: Да развенчая малко митове свързани със сигурността на Wordpress

    Имам един такъв въпрос - ако примерно искам да направя сайт, който в последствие ще има много посещения достатъчно безопасно ли е да се използва premium wordpress тема ? Или е по-добре да е нещо custom ?
     
  2. Noke

    Noke Well-Known Member

    Рег.:
    Септ 15, 2008
    Съобщения:
    3,487
    Харесвания:
    466
    Точки:
    83
    От: Да развенчая малко митове свързани със сигурността на Wordpress

    Темите (повечето) не предоставят много слаби мяста откъм секюрити.
    Зависи откъде си взел премиум темата. Ако е място от рода на ТемеФорест, значи е 94% вероятност да е боклук отвътре.

    Гледаш да не прави разни нетипични за тема неща, там всякакви екзотични функционалности увеличават вероятността за осиране (на много нива).
    Да няма интерфейс за юзър инпут отвън - всякакви събмитвания на постове, контактни форми, уиджети с форми и прочие. Ако има - просто не ги ползвай, да не ги виждат посетителите по никакъв начин. Ползвай доказани плъгини за тия работи (контактни форми примерно).

    Ако ще правиш такъв сайт, вземи тема от сериозно място.

    Ако е мултиюзър сайт, работата става много по-рискова и трябва да се внимава 20 пъти повече и дори не бих съветвал никой да ползва Уордпрес за такъв (сериозен) сайт, ако е начинаещ уебмастър. Иначе за бъзикни и тестове става.

    Това е в общи линиии за темите.
     
  3. Sash888

    Sash888 New Member

    Рег.:
    Март 17, 2012
    Съобщения:
    186
    Харесвания:
    46
    Точки:
    0
    От: Да развенчая малко митове свързани със сигурността на Wordpress

    И при премиум теми има проблеми. Например конфронтация на темата с нова версия на WP след ъпдейт или заразяване на специфични за темата файлове.
    По-големите фирми с премиум теми поддържат добра обратна връзка и форуми и реагират относително бързо на бъгчета, но при сериозен проблем или зараза общо взето не се ангажират. Къстъм дизайна пък дава предимство по отношение на уникалност, което си е фактор +.

    Колегите са споменали всички важни неща. Сериозен хостинг, настройки, администриране...по-скоро това е решението, а не вида на темата.
     
  4. aWeS

    aWeS New Member

    Рег.:
    Юли 8, 2012
    Съобщения:
    58
    Харесвания:
    2
    Точки:
    0
    От: Да развенчая малко митове свързани със сигурността на Wordpress

    Супер тема! Благодаря.
     
  5. Firefly

    Firefly Well-Known Member

    Рег.:
    Март 21, 2010
    Съобщения:
    1,221
    Харесвания:
    77
    Точки:
    48
    От: Да развенчая малко митове свързани със сигурността на Wordpress

    Тя и custom да е темата, за да ти я направят по-хубава и по-сигурна от тези, които виждаш като премиум, ще трябва да отделиш доста по-солидна сума (ако разбира се не говорим ти да си я пишеш). Пък и custom темите също могат да се счупят при някой ъпдейт на уърдпреса. Аз вероятно бих избрал някоя премиум тема и ако имам бюджет щях да заделя малко пари някой да я прегледа и оптимизира.
     
  6. tizata

    tizata New Member

    Рег.:
    Авг 28, 2012
    Съобщения:
    2
    Харесвания:
    0
    Точки:
    0
    От: Да развенчая малко митове свързани със сигурността на Wordpress

    Благодаря за темата!
    Много ми беше полезна!

    Преди седмица ми смениха юзъра :)

    Въпросът ми е как да проверяваме , каква тема инсталираме, има ли метод за проверка или основни напътствия?
     
  7. Attacker

    Attacker Active Member

    Рег.:
    Септ 7, 2008
    Съобщения:
    564
    Харесвания:
    93
    Точки:
    28
    Не би трябвало да е проблем, ако разреша само моето IP в htaccess-а на wp-admin, нали?
     
  8. Firefly

    Firefly Well-Known Member

    Рег.:
    Март 21, 2010
    Съобщения:
    1,221
    Харесвания:
    77
    Точки:
    48
    От: Да развенчая малко митове свързани със сигурността на Wordpress

    tizata, трябва да си имаш на идея как изглежда добрия код и как - лошия. Тук можем да задълбаем много, тъй като различните разработчици пишат по различен начин и си имат свои предпочитания. Трябва обаче да се спазват някои "правила", за да бъде оптимизирана и сигурна темата - предимно скриптове, които може и не може да се използват.

    Attacker, няма проблем. Това се прави така или иначе, когато имаш нужда да работиш нещо по сайта не искаш да се отваря от посетителите, примерно за отстраняването на проблем и зловреден код.
     
  9. TheCrazyBastard

    TheCrazyBastard Well-Known Member

    Рег.:
    Ян 9, 2012
    Съобщения:
    1,198
    Харесвания:
    125
    Точки:
    63
    От: Да развенчая малко митове свързани със сигурността на Wordpress

    Не пускам нова тема. Реших да добавя една позната сигурно на много от вас дупка в сигурността от един плъгин за wp. Днес имах посещение от бот или човек, представяш се за googlebot, който се опита да стигне до път на плъгин с име spotlightyour и да качи шел, но аз такъв плъгин нямам и затова ме усъмни работата. Проверих и се оказа следната пролука. Затова, който го ползва това нещо, може да го маха, че не се знае как ще я фтаса.
     
    ktomov харесва това.
  10. Amigo0o

    Amigo0o Well-Known Member

    Рег.:
    Апр 29, 2008
    Съобщения:
    1,242
    Харесвания:
    62
    Точки:
    48
    Място:
    Las Vegas
    От: Да развенчая малко митове свързани със сигурността на Wordpress

    Нещо странно се случи с моя блог, днес влизам в контрол панела и виждам че фавиконката ми се е сменила на ин-ян http://store.picbg.net/pubpic/F0/52/17ede7f6307bf052.png Не виждам никакви промени по блога, през фтп то когато сваля файла на фавикона ми излиза старата фавиконка.

    Някакви идеи ?
     
  11. ArtBean

    ArtBean Active Member

    Рег.:
    Февру 16, 2013
    Съобщения:
    283
    Харесвания:
    33
    Точки:
    28
    Пол:
    Мъж
    Професия:
    Software engineer
    От: Re: Да развенчая малко митове свързани със сигурността на Wordpress

    Не виждам нищо лошо да се ъпдейтва системата, това е все едно да кажеш "ами той моя windows си работи добре, защо да му позволявам ъпдейти?" и после да се оплакваш шо това и онова. И аз мисля че е нормално УП да е най-хакван, най-много се пише за него, най-голям интерес има и т.н....

    Едит: Сори, едно мнение на първата страница ме провокира да пиша и чак после осъзнах, че е от 2009-та.......
     
  12. TopHi

    TopHi New Member

    Рег.:
    Окт 15, 2008
    Съобщения:
    15
    Харесвания:
    1
    Точки:
    3
    От: Да развенчая малко митове свързани със сигурността на Wordpress

    Малко бъмп но да споделя и аз идеи как да се подсигурим.
    Най-сигурният начин за мен е като ползвам платени или често обновявани теми, логин юзера е различен от юзера, който се показва като постващ постовете - това спасява 100% от оцелване на юзер/пас (brute force) от . Като добавка може да се сложи плъгин, който банва по ИП след 1 или 2 неуспешни опита за логин.
    Готино е също да смените пътя на админ панела и/или да добавите deny from all, allow from MY IP. Имам един мега подсигурен УП сайт но и към 10 не толкова подисгурени... до ден днешен да чукна на дърво не са ме хаквали никога (10 години).
    Понякога правата над файловете и папките мисля, че могат да помогнат при проблеми с темите.
     
    coolice харесва това.
  13. happyslacker

    happyslacker New Member

    Рег.:
    Юли 14, 2007
    Съобщения:
    6,750
    Харесвания:
    382
    Точки:
    0
    Място:
    Слънчевата система
    От: Да развенчая малко митове свързани със сигурността на Wordpress

    Изключване на XML-RPC с плъгина "Disable XML-RPC" и слагане на капча при логин спасява от brute force.

    Само капча не е ефективно - атаката става чрез XML-RPC, при което няма капча.

    Като капча може да се ползва FUN Captcha.
     

Сподели страницата