Мы предлагаем:У нас есть:
1 базу данных MySQL(50MB)PHP 5
Прикрепление своих доменовMySQL
Предустановленные движки сайтовPerl
Место под файлы(300MB)Ruby
Бесплатно и без рекламы!
Авторизация:
e-mail: Пароль:
Забыли пароль?    Запомнить  
Все блогиSoftware → Better WP Security: thou shall not pass!
Rss

Шедевр плагиностроения, благодаря которому о недавнем DoS я узнал из письма, пришедшем на почту сайта. Письмо было от системы безопасности, и уведомляло, что какой-то злоумышленник попал под каток за неприлично большое количество неудачных попыток входа. Я с удивлением сообщил об этом cyber01 (сайт новый совсем, кому он нужен?), узнав от него, что так стучатся очень ко многим.

Рассмотрим несколько стандартных уязвимостей, которые используют для вредительства и то, как с этими уязвимостями бороться. Сразу успокою – вам не придётся изучать каждую из них и подбирать средства борьбы с ними – это уже реализовано в плагине Better WP Security (далее BWPS). Он бесплатен, и ставится на сайт без особенных проблем. Однако – только ставится, удалять его несколько сложнее. Но мне сейчас непонятно, для чего это может быть нужно.

Перед тем, как начинать развлекаться с этим плагином, рекомендую вооружиться системой резервного копирования (любой, у меня BackWPup).

Основных способов навредить два:

Способ первый – несанкционированный доступ к ресурсам сайта.

Способов вломиться к файлам сравнительно немного, обычно они предполагают наличие логина/пароля жертвы или их добыча при помощи перебора. Держите их в безопасности. Если они записаны в конфигурационных файлах вашего сайта – убедитесь, что его невозможно прочитать, стучась браузером снаружи. У BWPS есть опции, изменяющие права доступа на критические файлы. Обратите внимание – после их активации установка некоторых плагинов может быть затруднена. Целесообразно ставить BWPS после всего остального, что вам нужно – когда система настроена, и вы вряд ли будете её изменять (кроме непосредственного пользования и правки кода вручную).

Способов вломиться к базе ровно на 1 больше – можно попытаться отыскать уязвимости в скрипте, управляющем сайтом. Поскольку он делает запросы к базе данных, составляя их с использованием введённых данных – ошибка при их обработке может дать возможность внедрять во введённые данные произвольные команды для вашей базы. Подобного рода атаки называются “SQL injection” (по-русски перевод звучит немного глупо), а давать им отпор проще, чем кажется. Как правило, выполняя подобную атаку, злоумышленник уже знает CMS, которую использует сайт, и названия таблиц в базе, которые он использует. Зная о структуре данных – известно, чему отдавать команды. Однако есть префикс, который сильно портит всё веселье. Это последовательность символов, которая “приклеивается” к названиям всех таблиц. BWPS позволяет сгенерировать случайный префикс, обработать базу данных и изменить нужным образом настройки – за пару секунд ваш префикс становится неизвестным никому, кроме вас самих, и сайт (внешне) никак не изменяется. Даже если в WordPress обнаружатся подобного рода уязвимости, они не позволят никому подобраться к вашей базе.

Способ второй – перегрузка сайта до отказа.

Википедия утверждает, что атака сайта до перегрузки бывает направлена на то, чтобы получить критические данные, отображаемые на отладочных сообщениях. Но в нашем случае, это чаще попытки наших недоброжелателей испортить нашу репутацию и аптайм. И они чаще проваливаются, проявляясь в редких подтормаживаниях и страницах 502. Сопротивляться атакам на перегрузку можно, отлавливая большое количество однотипных запросов с одного и того же адреса. Чаще всего, CMS сама устроена так, чтобы обнаруживать подобные запросы и выдавать бан. Но иногда остаются уязвимости, одна из которых была исправлена в обновлении WordPress 3.5.2.

И тем не менее – BWPS позволяет защитить вашу форму входа одновременно и от перегрузок (это популярный узел для атак), и от подбора пароля. Он просто изменяет адрес, по которому вы будете входить в админку. Вы можете ввести свой адрес, вам его будет запомнить проще. Как убедиться, что его не подберут? Включите в BWPS защиту от большого количества запросов, вернувших 404. Однако позаботьтесь, чтобы ваш сайт не производил таких запросов в процессе нормальной работы. Иначе вы можете оказаться забанены сами. Ненадолго. Но на достаточное время, чтобы злоумышленнику на ваш сайт было бесполезно стучаться.

Даже если к форме подберутся – за большое количество неудачных попыток входа злоумышленник окажется забанен. Тоже ненадолго, но регулярными атаками перегружать сайт он уже не сможет, а подбирать хороший пароль ему придётся веками (не считая развития интернета и компьютеров, но ситуацию это не сильно облегчит). Долго, правда?

Что с этим плагином делать?

После установки в консоли, в панели слева вы увидите пункт “Безопасность”. Плагин переведён “кусочно”, стандартные надписи WordPress кое-где срабатывают. Вам, скорее всего, нужен пункт Dashboard, на котором по пунктам перечислено, как у вашего сайта с безопасностью. Делятся состояния по каждому из критериев на 4 вида:

  • Зелёный – всё в порядке, через эту дверь никто не влезет.
  • Синий – может быть проблемой, но её устранение может что-нибудь сломать.
  • Жёлтый – не серьёзная проблема, но для гарантии лучше поправить.
  • Красный – известная и распространённая уязвимость, от которой лучше избавиться!

Мой сайт, как я считаю, защищён от вторжений настолько, насколько возможно это сделать не сильно в этом разбираясь. На дэшборде: одна жёлтая строка, четыре синих и 16 зелёных. При том, что посетители моего блога могут исключительно комментировать посты без необходимости (и возможности) входа.

Прочие советы по безопасности:

  • Используйте для администрирования аккаунт, с которого не оставите не одного комментария. Конечно, постоянные вход и выход – головная боль, для этого есть хитрость – используйте “анонимный режим” браузера. У разных браузеров он называется “приватная вкладка” (Opera), “режим инкогнито” (Chrome), “InPrivate” (IE), возможно, есть и другие. Он позволит вам без проблем в разных окнах одного и того же браузера быть в различных аккаунтах.
  • Не используйте для админки аккаунт с логинами: admin (по умолчанию такой), support, administrator. В WordPress его просто сменить – создайте новый с правами администратора, зайдите под ним и сотрите запись admin.
  • Проверьте с помощью BWPS – какие ссылки на сайте регулярно выдают 404. И либо уничтожьте упоминания о них, либо добавьте, чего не хватает.
  • Очень осторожно пользуйтесь опциями, у которых упоминается о возможности поломать плагины и шаблоны при включении. И вообще внимательно читайте описание каждой опции BWPS – вам это делать всего один раз, зато впоследствии можно быть уверенным, что сайт неприступен для злоумышленника. Если он и ляжет, то только со всем хостингом.

Stay safe and keep your site safe!


Автор: Павел | Дата создания: 23 июня 2013, 21:46 UTC | 0.624


Комментарии(1)
rednager  24 июня 2013, 12:14 UTC  #
0.0
77657a

Спасибо!


Простите, Ваш браузер не поддерживает html5
Управление стрелками. Пробел - пауза.