В этой статье я буду говорить об усиленной безопасности вашего блога на WordPress. Об обязательной безопасности блога на WordPress я уже писал в своих публикациях: “Безопасность блога WordPress” / “Безопасность WordPress и DOS атаки” / “Антивирус для WordPress” и в публикации “Плагин защиты информации и посетители”.
Теперь еще больше усилим защиту блога на WordPress, тем самым обезопасив его от происков хакеров и других мошенников. Если вы хотите спать спокойно и не переживать из-за того, что ваш блог в один черный день может быть взломан или что могут быть утеряны ценные для вас файлы, документы и т.д., вам нужно будет предпринять еще несколько шагов в отношении безопасности вашего блога.
Начнем с защиты от спам-ботов. Спам-боты автоматически размещают свои комментарии к вашим публикациям на блоге. На этот счет существуют и специальные плагины (дополнительные модули) для WordPress, о них я расскажу позже.
Но некоторые программы в состоянии обойти защиту этих плагинов. Однако при помощи этого метода, вы поставите двойной блок защиты от спам-ботов. Вам надо будет добавить следующий код в ваш .htaccess файл, который расположен в корне WordPress:
[stextbox id=»warning» caption=»Код для файла .htaccess»]
order allow,deny
allow from all
deny from 123.456.789
[/stextbox]
Только обязательно не забудьте заменить 123.456.789 на реальный IP-адрес того, кого вы хотите заблокировать.
Мы знаем, что блог на WordPress это динамичная структура, поэтому в связи с этим она более уязвима. Будем защищать свой блог от внешних инъекций и любых других попыток изменить в коде PHP такие переменные, как: GLOBALS и_REQUEST. Вам надо будет добавить следующий код в ваш .htaccess файл, который расположен в корне WordPress:
[stextbox id=»warning» caption=»Код от внешних инъекций»]
Options +FollowSymLinks
RewriteEngine On
RewriteCond %{QUERY_STRING} (\<|%3C).*script.*(\>|%3E) [NC,OR]
RewriteCond %{QUERY_STRING} GLOBALS(=|\[|\%[0-9A-Z]{0,2}) [OR]
RewriteCond %{QUERY_STRING} _REQUEST(=|\[|\%[0-9A-Z]{0,2})
RewriteRule ^(.*)$ index.php [F,L]
[/stextbox]
Следующий метод предназначен для защиты от парсеров и грабберов. Что это такое? Это когда, допустим, создается сайт, а весь размещенный на нем псевдо – контент, скачивается с вашего сайта или же блога при помощи грабберов. Для того, чтобы этого избежать, вам надо будет добавить следующий код в ваш .htaccess файл, который расположен в корне WordPress:
[stextbox id=»warning» caption=»Код от парсеров и грабберов»]
RewriteEngine On
#Replace ?myblog\.ru/ with your blog url
RewriteCond %{HTTP_REFERER} !^http://(.+\.)?myblog\.ru/ [NC]
RewriteCond %{HTTP_REFERER} !^$
#Replace /images/nohotlink.jpg with your «don’t hotlink» image url
RewriteRule .*\.(jpe?g|gif|bmp|png)$ /images/nohotlink.jpg [L]
[/stextbox]
Хакеры, которые ищут слабые места в защите вашего блога на WordPress, часто посылают разного вида запросы, чтобы найти брешь и через нее вломиться. Для того, чтобы этого не произошло, мы создадим собственный плагин (дополнительный модуль / plugin ) и установим его на наш WordPress. Данный плагин вы сможете скачать по ссылке в конце этой публикации. Ну а ниже вы можете увидеть код этого плагина:
[stextbox id=»warning» caption=»Код плагина от вредных запросов»]
strpos($_SERVER[‘REQUEST_URI’], “eval(“) ||
strpos($_SERVER[‘REQUEST_URI’], “CONCAT”) ||
strpos($_SERVER[‘REQUEST_URI’], “UNION+SELECT”) ||
strpos($_SERVER[‘REQUEST_URI’], “base64″)) {
@header(“HTTP/1.1 414 Request-URI Too Long”);
@header(“Status: 414 Request-URI Too Long”);
@header(“Connection: Close”);
@exit;
}
}
}
?>
[/stextbox]
На этом пока все. Удачи вам, успехов и процветания! До новых встреч в новых обзорах на этом блоге.