На фоне подобных вот событий волей неволей задумаешься о вечном защите своего блога. Конечно же, иранским кулхацкерам он и даром не нужен, но все же. Этим постом я открываю новую рубрику на блоге Вебсовет, посвященную защите движка Wordpress. Америк не пооткрываю. Вся эта инфа уже есть в сети. Но для читателей Вебсовета, уверен, будет удобно и полезно иметь под рукой такую вот рубрику, чтобы можно было легко ее найти и применить на практике кой-какие полезняшки.
Приступим. Перво-наперво, что приходит на ум, это уже упоминаемая мною в статье о создании шаблона для Wordpress правка файла header.php. По-умолчанию там практически во всех шаблонах прописан код вывода версии используемого движка. Есть мнение, что это лакомая приманка для злодеев, ибо по номеру версии можно подобрать соответствующие отмычки. Многие (и я в том числе) рекомендуют удалить из этого файла строку:
<meta name="generator" content="WordPress <?php bloginfo('version'); ?>" />
Все это хорошо и замечательно. При просмотре кода самого блога номера версии нет. Но если зайти на страницу авторизации, то версия в коде высвечивается как ни в чем не бывало. И это понятно: правка шаблона не заменяет саму версию движка. Что же делать?
Решение на самом деле весьма простое и изящное. Нужно всего лишь забраться в папку wp-includes и найти там пхп файлик, который как раз и хранит данные о версии ВП. Файл называется version.php. Открываем его в программке PSPad или другой подобной (но только не в Блокноте!) и видим вот такую строчку:
$wp_version = '2.8.4';
Номер, естетственно, у каждого свой. 2.8.4 взято лишь для примера. Нужно всего лишь заменить эти три цифры. Лучше писать что-то нейтральное, номера версий, которых не существует в природе. Например, 9.1.1 или 0.0.2 :)
Кроме защиты такой финт также избавит от надоедливой надписи в админке блога “Ваша версия устарела, бла, бла, бла…”
Салют, Игорь!
Интересное кино
Стоит Akismet+Simple Captcha
На версии 2.8.6 все комменты ловятся без проблем, ни на одобрении, ни в спаме ничего нет
Поставил 2.9 - моментально полезли комменты
Не сталкивался с таким?
По поводу предыдущего коммента
В моей теме на http://helpxap.ru в хедере тег generator встречается два раза - второй, похоже, вставляется откуда-то из скриптов
А с причино проникновения спама надо разбираться - похоже, что под 2.9 simple captcha перестала работать
Привет, Михаил! Нет, не сталкивался, так как не использую данную версию движка. Скорее всего плагин капчи не дружит с этой версией и нужно искать замену.
Полезно, про страницу авторизации не знал.
Добрый день. У меня стоит 2.9 и все комменты ловит без проблем: “Вы используете WordPress 2.9. Akismet уже защитил ваш сайт от 32 спам-комментариев, и на текущий момент в очереди спама 32 комментария.”
Игорь, Ваш блог отличный, много полезных материалов. Что касается безопасности, то я считаю, что нужно не прятать версию движка и избавляться от предложений обновиться, а наоборот, всегда ставить новую версию. Ведь в новых версиях устраняются все баги предыдущей.
Здравствуйте, Константин! Увы, вынужден с вами не согласиться. Не всегда свежее означает лучшее. Просто для размышлений: в версии движка 2.3 было около 470 файлов в 60 примерно папках. В версии 2.9 их уже 750 в 80-ти папках. И эта тенденция будет продолжаться. ВП и раньше не отличался легковесностью, а теперь и вовсе на недорогих хостингах тормозит достаточно сильно. Кроме того, в старых версиях баги уже найдены, пофиксены и выложены в сеть. В то время как в новых версиях их еще только предстоит найти и пофиксить. Так что в плане безопасности не все однозначно.
Спасибо за подсказку со скрытием версии движка.
Приятный пост - все что надо Описание проблемы - как решить - где и что изменить, без “воды”.
Здравствуйте!
Константин! Дело в том, что я специально указал, что приходится ставить две капчи. Дело в том, что у меня сайт удостоился сомнительной чести попасть под бот-атаку и в день влетало по 400-500 комментов. Akismet их ловил на раз и ставил в очередь спама - но при этом шел обратный почтовый трафик, за что я схлопотал замечание от хостера. Или причина в другом?
Игорь, по поводу замены версии. Уточните, плз, как выкладываются в сети исправления ошибок в движке. Мое впечатление, что изменение последней цифры версии и показывает наличие мелких исправлений, поэтому такое обновление ставить нужно обязательно. А вот с нулевыми (типа 2.8, 2.9) нужно быть осторожнее - вполне возможно напороться на сырой вариант.
С другой стороны, обновляться все-таки нуно, поскольку все новые модули и плагины будут разрабатываться под последние версии движка. При этом не стоит забывать, что по крайней мере была одна замена версии (по моему 2.3 на 2.4) после которой изменилась структура БД и обновление у тех, кто отстал превратилось в целую проблему.
С уважением
М.Олейников
Михаил, про уязвимости и ошибки в ВП можно почитать здесь:
http://tinyurl.com/yhxtytd
и вот тут:
http://wp-guard.com/
Что же касается обновлений - тут уж каждый решает сам, что ему нужно. По сути все полезные и нужные плагины уже созданы. Причем с избытком. Положение дел напоминает навороченный смартфон, большинством фишек которого вы никогда не будете пользоваться. Важным на сайте (блоге) как была так и останется одна лишь информация: текст, картинки, звук и видео. Для управление этим добром уже предостаточно инструментов и придумать что-то на самом деле новое и полезное в ближайшее время вряд ли получится.