10 уловок для защиты WordPress’a

Набрел на хабрахабре на очень полезную статью, которая пригодиться не только админам wordpress’a:

На сегодняшний день WordPress как никогда популярен. Блоги, мини-сайты, а то и целые порталы — всё это строится на основе такого удобного движка-конструктора как WordPress. Но за удобностью и лёгкостью освоения кроются, прежде всего, вопросы, связанные с безопасностью вашего сайта. Большая распространённость — большее внимание злоумышленников.

В этой статье описаны десять простых уловок, которые позволят сделать ваш сайт на WordPress’e ещё более защищённым и позволят спокойнее спать по ночам.

1. Защищаем WordPress от XSS-инъекций

В чём проблема?
Программисты всегда стараются защитить GET- и POST- запросы, однако, иногда этого недостаточно. Необходимо защитить блог от XSS-инъекций и попыток модификации переменных GLOBALS и _REQUEST.

Что делаем?
Этот код блокирует использование XSS-инъекций и попытки модифицировать переменные GLOBALS и_REQUEST. Вставьте код в ваш файл .htaccess, расположенный в корне сайта. (И не забывайте бэкапить этот файл перед внесением любых изменений).

Options +FollowSymLinks
RewriteEngine On
RewriteCond %{QUERY_STRING} (\<|%3C).*script.*(\>|%3E) [NC,OR]
RewriteCond %{QUERY_STRING} GLOBALS(=|\[|\%[0-9A-Z]{0,2}) [OR]
RewriteCond %{QUERY_STRING} _REQUEST(=|\[|\%[0-9A-Z]{0,2})
RewriteRule ^(.*)$ index.php [F,L]

Как это работает?
Код позволяет проверять все запросы. Если запрос содержит тег <script> или попытку модифицировать значение переменных GLOBALS и _REQUEST, он просто блокирует его и выдаёт пользователю 403-ю ошибку.

2. Убираем показ лишней информации

В чём проблема?
Если при попытке зайти в админку WordPress’a вы ошибётесь с логином или паролем, вежливый движок скажет вам об этом. Ну а зачем злоумышленнику знать, что пароль, который он пытается подобрать – неверен? Давайте просто уберём вывод этой информации и чуток запутаем его.

Что делаем?
Открываем functions.php, лежащий в папке с активной темой нашего блога (wp-content/themes/название-вашей-темы/) и добавляем следующий код:

add_filter('login_errors',create_function('$a', "return null;"));

сохраняем файл. Вуаля – больше никаких сообщений.

Как это работает?
С помощью этого хука мы переписываем стандартную функцию the login_errors(). В результате этого, в случае, когда введены неправильный логин или пароль, никакой информации, объясняющей ситуацию не появится — то, что нам нужно.

3. Принудительное использование SSL

В чём проблема?
Если вы хотите, чтобы передаваемая вами информация была защищена, вам необходимо использовать SSL—протокол, обеспечивающий целостность и конфиденциальность обмена данными. В WordPress’e это сделать проще простого.

Что делаем?
Прежде всего узнаём, есть ли возможность у вашего провайдера использовать SSL. Если да, то открываем файл wp-config.php (обитающий в корне сайта) и добавляем следующую строку:

define('FORCE_SSL_ADMIN', true);

Как это работает?
Всё просто. WordPress использует множество констант и FORCE_SSL_ADMIN всего лишь одна из них. Эта константа включает принудительное использование SSL при заходе в панель администратора.

4. Используем .htaccess для защиты файла wp-config

В чём проблема?
wp-config.php содержит все данные, необходимые для подключения к серверу MySQL и базе данных. Защита этого файла – одна из самых главных задач.

Что делаем?
Находим файл .htaccess в корне нашего сайта и добавляем следующие строки:

<files wp-config.php>
order allow,deny
deny from all
</files>

Как это работает?
Мы просто запрещаем доступ к этому сайту кому бы то ни было. Теперь уж точно ни один бот не сможет и близко подойти к этому файлу.

5. Скрываем версию WordPress’a

В чём проблема?
Wordpress автоматически вставляет номер своей версии в исходный код страниц. К сожалению, не всегда удаётся вовремя обновлять движок. А это означает, что зная какая у вас версия WordPress’a со всеми её брешами и слабыми местами, злоумышленник может очень-очень огорчить вас. Что делаем? Правильно, убираем вывод версии.

Что делаем?
Снова открываем functions.php, лежащий в папке с активной темой нашего блога (wp-content/themes/название-вашей-темы/) и добавляем туда этот код —

remove_action('wp_head', 'wp_generator');

Как это работает?
Хуки WordPress’a позволяют легко заменять одну функцию на другую. Именно этим мы сейчас и воспользовались – мы просто запретили вывод информации о версии нашего движка.

6. Баним спамеров и ботов

В чём проблема?
Надоедливые постеры и спамеры. Решение – запретить им доступ к сайту по IP. Конечно, это не защитит от спам-скриптов, постоянно меняющих прокси, но немного облегчить жизнь вполне может.

Что делаем?
Вставьте этот код в файл .htaccess. Просто поменяйте адрес 123.456.789 на IP того редиски нехорошего человека, который вас достаёт и всё — он забанен всерьёз и надолго.

<Limit GET POST PUT>
order allow,deny
allow from all
deny from 123.456.789
</LIMIT>

Как это работает?
И снова нам на помощь приходит apache. Посредством файла .htaccess мы запрещаем доступ к сайтe пользователям с конкретным IP. Нужно забанить ещё кого-то? Просто добавим ещё одну строку, к примеру —

deny from 93.121.788

7. Пишем плагин для защиты от зловредных url-запросов

В чём проблема?
Хакеры и недохакеры всех родов очень часто пытаются найти слабые места при помощи всевозможных зловредных запросов. WordPress неплохо защищён от этого, но лишняя защита никогда не повредит.

Что делаем?
Создаём новый файл под названием blockbadqueries.php и помещаем его в папку wp-content/plugins. Затем просто активируйте его в админке как любой другой плагин.

<?php
/*
Plugin Name: Block Bad Queries
Plugin URI: perishablepress.com/press/2009/12/22/protect-wordpress-against-malicious-url-requests/
Description: Protect WordPress Against Malicious URL Requests
Author URI: perishablepress.com/
Author: Perishable Press
Version: 1.0
*/
global $user_ID;

if($user_ID) {
  if(!current_user_can('level_10')) {
    if (strlen($_SERVER['REQUEST_URI']) > 255 ||
      strpos($_SERVER['REQUEST_URI'], "eval(") ||
      strpos($_SERVER['REQUEST_URI'], "CONCAT") ||
      strpos($_SERVER['REQUEST_URI'], "UNION+SELECT") ||
      strpos($_SERVER['REQUEST_URI'], "base64")) {
        @header("HTTP/1.1 414 Request-URI Too Long");
	@header("Status: 414 Request-URI Too Long");
	@header("Connection: Close");
	@exit;
    }
  }
}

?>

Как это работает?
Работа этого плагина проста – он проверяет все длинные запросы (более 255 символов) и наличие php-функций eval или base64 в URI. Если что-то из этого находится, браузеру пользователя отдаётся страница с ошибкой 414.

8. Личеры!

В чём проблема?
Мир полон добрых людей, которые изо всех сил пытаются донести до других новость или статью, написанную вами. Всё бы ничего, но ведь по доброте душевной они берут картинки прямо с наших с вами серверов, скромно забывая при этом про слово «трафик». А теперь представьте что будет, если ссылки на наши картинки попадут на какой-нибудь популярный китайский блог, с их-то почти уже четырёхсотмиллионным интернет-населением! Свят-свят-свят… Значит сейчас будем защищать хотлинкинг, a.k.a. личинг, a.k.a. «да я просто вставил ссылки на файлы с вашего сервера».

Что делаем?
И опять всемогущий apache поможет защищить нам наш трафик. Достаём в очередной раз файлик.htaccess и пишем следующее:

RewriteEngine On
#Замените ?mysite\.ru/ на адрес вашего сайта
RewriteCond %{HTTP_REFERER} !^http://(.+\.)?mysite\.ru/ [NC]
RewriteCond %{HTTP_REFERER} !^$
#Замените /images/nohotlink.jpg на название вашей картинки с лозунгом «личер идёт на…»
RewriteRule .*\.(jpe?g|gif|bmp|png)$ /images/nohotlink.jpg [L]

Как это работает?
При помощи этих правил мы заставляем сервер проверять откуда пришёл запрос на нашу фотку — если со страниц нашего сайта, он отдаёт её пользователю. Если с «вражеского» — то показывает личерам какую-нибудь обидную картинку.

9. Убить админа. (Нет дефолтному юзернейму «admin»)!

В чём проблема?
Злоумышленникам всегда проще получить доступ к сайту при помощи брута, если уже известен логин. При этом на протяжении многих лет дефолтный логин админа был примитивным до зубного скрежета — «admin».

Надо сказать, что в новом WordPress 3.0 у вас есть право указать любой логин, какой только душе будет угодно. Для остальных версий нужно применить одно волшебное заклинание.

Что делаем?
Просто выполняем этот запрос к базе данных:

UPDATE wp_users SET user_login = 'Ваш новый логин' WHERE user_login = 'Admin';

Как это работает?
С помощью sql-запроса меняем дефолтный логин. Правда, есть одно «но». Посты, написанные ранееadmin‘ом не поменяют своего автора. А для того чтобы извести admin‘a на корню, необходимо выполнить ещё один запрос:

UPDATE wp_posts SET post_author = 'Ваш новый логин' WHERE post_author = 'admin';

10. Защита директорий на сервере от просмотра

В чём проблема?
Очень многие хостеры позволяют просматривать директории на своих серверах. Поэтому, если ввести в адресную строку www.вашблог.ru/wp-includes, то очень часто можно увидеть всё содержимое этой директории. Безусловно это небезопасно, поэтому лучше это сразу запретить.

Что делаем?
Вы можете либо добавить пустые файлы index.html в папки, просмотр которых хотели бы запретить. Либо дополнить наш .htaccess ещё одной строкой:

Options All -Indexes

Как это работает?
Пустой index.html будет выдаваться каждый раз, когда последует запрос к директории. Ну а директива в.htaccess просто запрещает апачу выдавать список содержимого директории.

Источник

Метки: WordPress, безопасность

Храним бэкапы WordPress в DropBox

Сегодня обновил WordPress до 3-й версии, после чего проглючил старый плагин  WordPress Database Backup Plugin. Пришлось его удалить. И тут я наткнулся в этом блоге на запись о плагине wp Time Machine, который создает и сохраняет копию базы данных MySQL от вашего WordPress-блога, + содержание папки  wp-content + файл .htaccess + файл конфигурации блога wp-config.php. В результате получается архив со всем важным содержимым для восстановления работоспособности блога. Полученную копию он может загружать на указанный FTP-сервер, либо на сервис Amazon S3 и самое главное на сервис Dropbox, про который уже много написано, который прост в использовании и дает достаточно много места для хранения файлов, у меня на данный момент 2.5 Гб.

Просто установите плагин на своем блоге, активируйте его, зайдите в настройки, укажите адрес Email, и пароль для авторизации на сервисе Dropbox, укажите папку, куда сохранять резервные копии и нажмите на кнопку, будет создана резервная копия вашего блога, нужно будет подождать, в зависимости от объема базы данных блога и количества файлов, некоторое время, и файл с резервной копией появится в вашей папке Dropbox, откуда в случае необходимости его можно будет скопировать и восстановить блог.

Источник

Метки: plugin, WordPress, wp Time Machine

20 стилей оформления для плагина WP-PageNavi

Нашел 20 стилей оформления для плагина PageNavi. Что это за плагин я уже писал тут. Также можете посмотреть на мою подборку плагинов вот тут.

Установить стиль очень просто – скачайте архив понравившегося стиля и распакуйте в папку плагина /wp-content/plugins/wp-pagenavi/.

	1.zip
	2.zip
	3.zip
	4.zip
	5.zip
	6.zip
	7.zip
	8.zip
	9.zip
	10.zip
	11.zip
	12.zip
	13.zip
	14.zip
	15.zip
	16.zip
	17.zip
	18.zip
	19.zip
	20.zip

Взято отсюда

Метки: PageNavi, WP-PageNavi

10+ самых креативных WordPress тем 2009ого года

Хотите верьте хотите нет, но в 2009ом выходили действительно замечательные бесплатные темы для WordPress.

В этом посте собраны одни из самых креативных тем, из тех, что я встречал в 2009ом. Имейте ввиду, я публикую не каждую красивую тему, которую я увидел, а именно те, которые кажутся мне наиболее креативными.

Фотография / Галерея

AutoFocus – эта тема ориентирована на фотографов которые ищут интересные способы подать свои фото на сайте. У темы довольно нестандартный макет.

Viewport – Посты представлены на главной странице в виде слайдшоу с коротким описанием. Для перехода к посту достаточно нажать на название поста.

Gallery – Отличная галерея с красивыми эффектами javascript. Подробное описание можно прочитать в англоязычном обзоре этой темы.

Личные страницы / Персональный блог

Seven Five – Созданная Джейсоном Шуллером из Press75, эта тема подается как “полу-автоматическая” тема, которая может быть интегрирована с Twitter и Flickr, что бы объединить всю вашу информацию в одном месте.

Irresistible – Очень красивая тема от WooTheme, для персонального блога. Есть возможность показывать фото из Flickr, твиты, последние посты на красивой главной странице.

Необычные / Остальные

LiveTwit – Эта тема от Templatic позволяет создать микросайт на основе твиттера, на сайты выводятся твиты от определенного пользователя или твиты на определенную тему. В комплекте несколько вариантов цветовых схем.

Visiting Card – Эта тема сделана не для блоггеров, а для тех, кто хочет сделать свой мини-сайт или сайт-визитку с контактной информацией, включая ссылки на разные социальные сети.

RS16 – У этой темы не только красивый и креативный дизайн, навигация этой темы состоит исключительно из иконок, что довольно необычно.

Видео / Мультимедиа

Selecta – Бесплатная тема для видео-блоггинга с шестью разными цветовыми схемами.

Smashing Multimedia – Отличная тема от Smashing Magazine, разработанная специально для подкастеров и фотографов. С этой теме вы можете легко вставлять видео и картинки, а пользователи смогут выставлять им оценки.

Журналы

Meta-Morphosis – Еще одна тема от WooThere с интересным макетом главной страницы и с большим количеством места под недавние посты и горячие новости.

Magazeen – Одна из немногих “журнальных” тем в этом посте. Главная страница очень удобна для чтения и позволяет добавить множество ссылок на разные статьи.

Blue Rooster – Отличная бесплатная тема от Fearless Flyer. В комплекте несколько разных шаблонов страниц, которые выделяют эту темы над остальными.

Удачного выбора!

Эта статья – вольный перевод статьи от themelab.

Источник: http://www.wordpresser.ru/temy/10-samyx-kreativnyx-wordpress-tem-2009ogo-goda.html

Обсуждение на хабре: http://habrahabr.ru/blogs/wordpress/80380/

Метки: WordPress, Тема

Подборка плагинов (Plugin) для WordPress

Тут я буду добавлять WordPress плагины, которые показались мне полезными, и ссылки на их официальные сайты. Когда встречу очередной полезный плагин – буду просто редактировать эту запись.

1. Feed Footer WordPress Plugin

Плагин позволяет добавлять в записи RSS-ленты определенный текст, ссылку. Указать там можно что угодно, текст можно менять, позволяет вставлять баннеры после записей фида.

2. WordPress Database Backup Plugin

Плагин делает бэкапы базы данных из админ. панели вручную  на сервер, на локальный компьютер или отправляя бекапы по электронной почте по расписанию в автоматическом режиме через заданные промежутки времени.

3. PageNavi WordPress Plugin

Плагин позволяет реализовать постраничную навигацию в Вашем блоге. Тут я уже о нем упоминал.

4. Subscribe to comments WordPress Plugin

Плагин позволяет читателю Вашего блога подписаться на комментарии к конкретной записи. Ведь приятно, когда ответ на Ваш комментарий придет по почте и Вы сможете поддержать обсуждение. Описание можно прочитать тут.

5. Antispam Bee WordPress Plugin - Antispam Bee подменяет текстовое поле для комментария на своё, т.е. реальные читатели блога пишут в новое поле, а спам-роботы – в скрытое со стандартным именем “comment”:
   <!– Текстовое поле для реальных комментаторов –>
   <textarea name=»comment-1e163″ cols=»50%» rows=»8″ id=»comment» class=»com-a»>
   </textarea>
   <!– Текстовое поле для спам-роботов –>
   <textarea name=»comment» rows=»1″ cols=»1″ style=»display:none»>
   </textarea>

   Возможности и преимущества плагина Antispam Bee: легкий, не потребляет ресурсов и ничего не пишет в базу данных; не надо вносить никаких изменений в шаблон, активировал и забыл;  не передает информацию сторонним серверам (как делает тот же Akismet);  предоставляет выбор: удалять весь спам сразу или помечать как спам и отправлять в соответствующую папку; предоставляет выбор: проверять или нет на наличие спама трекбеки и пингбеки; очищает папку со спамом через определенное количество дней;  по вашему желанию из отправленных в папку со памом комментариях убирает пометку “MARKED AS SPAM”.

6. SEO Friendly Images WordPress Plugin – Этот wordpress плагин автоматически оптимизирует атрибуты ALT и TITLE для каждой картинки, для которой они не были прописаны . Это сделает их валидным для поисковиков, и пусть совсем немного, но улучшит ваш рейтинг в их суровых глазах.
7. Scissors WordPress Plugin - Плагин позволяет быстро отредактировать изображение для вставки в блог. Ведь если изменить изображение даже на пару пикселей, оно будет присутствовать в выдаче по изображением как уникальное. Настраивается плагин в меню «Настройки — Медиафайлы». Также плагин меня привлек тем, что можно вставлять водяные знаки для защиты от копирования.
8. Rus-to-Lat WordPress Plugin – Этот wordpress плагин меняет постоянную ссылку заголовка поста с кириллицы на латиницу. Например заместь ссылки  на запись http://elims.org.ua/подборка-плагинов-plugin-для-wordpress будет ссылка http://elims.org.ua/podborka-plaginov-plugin-dlya-wordpress
9. Canonical URL’s WordPress Plugin – Плагин предназначен для автоматической вставки соответствующего тега в тело страниц. Плагин добавляет в секцию head каждой страницы тег <link> с атрибутом rel=”canonical”. О том, что это такое и зачем оно надо можно прочитать тут.
10. TAC WordPress Plugin – Этот плагин проверяет файлы каждой WordPress темы из папки themes на наличие нежелательного, закодированого кода. Если такой код есть, то TAC показывает путь к файлу, и указывает номер строки где этот код находиться.
11. WP-Cumulus — «живое» облако тегов – Думаю тут все ясно из названия, красивый плагин облака тегов.

Метки: WordPress Plugin, Wordpress плагин, Вордпрес плагин

Убираем закодированный подвал (footer.php)

Вчера возился с одним шаблончиком, который нашел на забугорном сайте. Я вообще с wordpress’ом познакомился недавно (наконец-то руки до него дошли), но уже успел пару раз услышать про закодированные футеры. Что они из себя представляют и зачем их кодируют – не знал, но на заметку взял – надо проверять footer.php в шаблонах (так.. на всякий случай). Вот вчера мне такой шаблон и попался, с закодированным подвалом.

Открыв файл footer.php я опытным глазом увидел текст в кодировке Base64. Текст закодированный в этой кодировке обычно заканчивается символами «==».

Вот код, если кому интересно:

<?php $_F=__FILE__;$_X=’Pz48ZDR2IDRkPSJmMjJ0NXIiPgkNCgk8Z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’;eval(base64_decode(‘JF9YP
WJhc2U2NF9kZWNvZGUoJF9YKTskX1g9c3RydHIoJF9YLCcxMjM
0NTZhb3VpZScsJ2FvdWllMTIzNDU2Jyk7JF9SPWVyZWdfcmVwbGFjZSgnX19GS
UxFX18nLCInIi4kX0YuIiciLCRfWCk7ZXZhbCgkX1IpOyRfUj0wOyRfWD0wOw==‘));?>

Следующий шаг: декодировать этот текст. Вводим в гугле «online base64 decode» и попадаем сюда.

Присмотревшись к коду, копируем первую часть зашифрованного подвала:

Pz48ZDR2IDRkPSJmMjJ0NXIiPgkNCgk8ZDR2IGNsMXNzPSJmMjJ0NXJsNG5rcyI+IA0KCQkNCgkJR
DVzNGduNWQgYnk6IDwxIGhyNWY9Imh0dHA6Ly93d3cucDJ3NXJuNXRzaDJwLjF0LzFkMXB0NX
IvZjFocno1M2c1L2YycmQvIiB0NHRsNT0iRjJyZCI+RjJyZDwvMT4gOjogDQoJCQ0KCQkgSW4gQ
zJsbDFiMnIxdDQybiB3NHRoIDwxIGhyNWY9Imh0dHA6Ly93d3cuZjRyNWMxczRuMnMuYzJtIiB0N
HRsNT0iT25sNG41IEMxczRuMnMiPk9ubDRuNSBDMXM0bjJzPC8xPiwgPDEgaHI1Zj0iaHR0cDovL3
d3dy5jaDUxcC1jMXItNG5zM3IxbmM1LXQ0cHMuYzJtIiB0NHRsNT0iQzFyIEluczNyMW5jNSI+QzF
yIEluczNyMW5jNTwvMT4sIDwxIGhyNWY9Imh0dHA6Ly93d3cuaDJtNTRtcHIyIiB0NHRsNT0iSDJ
tNSBJbXByMnZtNW50Ij5IMm01IEltcHIydm01bnQ8LzE+DQoJCQ0KCTwvZDR2Pg0KPC9kNHY+D
Qo8L2Q0dj4NCjwvYjJkeT4NCjwvaHRtbD4NCg0K

Тыцкаем на сайте «decode the data from a Base64 string (base64 decoding)» – тоесть говорим что мы хотим из кодировки получить текст, а не наоборот. И жмем кнопку «Convert the Data source»

В результате видим следующее:

?><d4v 4d=»f22t5r»> <d4v cl1ss=»f22t5rl4nks»> D5s4gn5d by: <1 hr5f=»http://www.p2w5rn5tsh2p.1t/1d1pt5r/f1hrz53g5/f2rd/» t4tl5=»F2rd»>F2rd</1> :: In C2ll1b2r1t42n w4th <1 hr5f=»http://www.f4r5c1s4n2s.c2m» t4tl5=»Onl4n5 C1s4n2s»>Onl4n5 C1s4n2s</1>, <1 hr5f=»http://www.ch51p-c1r-4ns3r1nc5-t4ps.c2m» t4tl5=»C1r Ins3r1nc5″>C1r Ins3r1nc5</1>, <1 hr5f=»http://www.h2m54mpr2″ t4tl5=»H2m5 Impr2vm5nt»>H2m5 Impr2vm5nt</1> </d4v> </d4v> </d4v> </b2dy> </html>

Посмотрев на эту абракадабру и на слова t4tl5 и d4v, можно заметить что заместь «4″ должна быть буква «i». Ага, значит некоторые символы заменены.

Метки: footer, зашифрованный подвал