- Поисковые системы
- Практика оптимизации
- Трафик для сайтов
- Монетизация сайтов
- Сайтостроение
- Социальный Маркетинг
- Общение профессионалов
- Биржа и продажа
- Финансовые объявления
- Работа на постоянной основе
- Сайты - покупка, продажа
- Соцсети: страницы, группы, приложения
- Сайты без доменов
- Трафик, тизерная и баннерная реклама
- Продажа, оценка, регистрация доменов
- Ссылки - обмен, покупка, продажа
- Программы и скрипты
- Размещение статей
- Инфопродукты
- Прочие цифровые товары
- Работа и услуги для вебмастера
- Оптимизация, продвижение и аудит
- Ведение рекламных кампаний
- Услуги в области SMM
- Программирование
- Администрирование серверов и сайтов
- Прокси, ВПН, анонимайзеры, IP
- Платное обучение, вебинары
- Регистрация в каталогах
- Копирайтинг, переводы
- Дизайн
- Usability: консультации и аудит
- Изготовление сайтов
- Наполнение сайтов
- Прочие услуги
- Не про работу
Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий
Кто смелый?
Плагин для ВП, предназначен для защиты РНР файлов от "незаконных" обращений. По сути (частично) дублирует громоздкие конструкции в htaccess, которые предлагает Григорий Земсков (автор айболита), но, понятно, удобнее в установке.
ПС на живых людях, то есть на своих сайтах протестировал, если чего )
ППС автор не я)
выкладывайте как аттачмент, думаю, желающих будет много.
Да можно прямо ссылку: http://barlog.ru/pl (сайт не доделан еще, но подразумевает сборник максимальной защиты от взлома от профессионалов Серча)
Примечание:
1. Любой профессионал сразу поймет, что плагин не вредоносный
2. Писал не я, я только немного дополнил
3. Собственно вопрос тестирования в том, не перекроет ли он какие-либо функции Вордпресса.
На данный момент я вижу странный баг - если создаю страницу с названием (соответственно адресом) wp-***.php то настройки безопасности не дают ее открыть :) Не уверен, что из-за плагина, там еще стопиццот настроек безопасности.
Слабоват плагинчик. "Громоздкие конструкциив htaccess" не просто так пишутся. Второе и последнее, имхо, бессмысленно проверять в REQUEST_URI. Четвертый 1) не учитывает регистр 2) обходиться заменой на %20. Для сканеров может чем-то и поможет...
В чем отличие от Better WP Security ?
Громоздкие конструкции в htaccess" не просто так пишутся
Они тоже есть. Целая "Война и Мир" )
Ребята, еще раз: Я не претендую ни на авторство ни на собственность на этот плагин. Задача в том, что бы помочь участникам Серча слегка обезопасить свои ВПшки.
К примеру, защита админки на указанном сайте реализована с подсказки Ю. Милованова, как мне кажется, работает хорошо.
В чем отличие от Better WP Security
Как мне кажется, плагин должен быть максимально простым, как гвоздь и не нагружать и без того тормозной ВП.
Так что если есть идеи по улучшению - велкам.
Они тоже есть. Целая "Война и Мир" )
Ребята, еще раз: Я не претендую ни на авторство ни на собственность на этот плагин. Задача в том, что бы помочь участникам Серча слегка обезопасить свои ВПшки.
К примеру, защита админки на указанном сайте реализована с подсказки Ю. Милованова, как мне кажется, работает хорошо.
Как мне кажется, плагин должен быть максимально простым, как гвоздь и не нагружать и без того тормозной ВП.
Так что если есть идеи по улучшению - велкам.
Есть 5 пациентов, правда только днем их запустил, так что результаты видны будут не сразу. Посплю и поставлю на них), сейчас сил уже нет). На них и буду тестировать, ну и отписываться что и как.
Насчет загруженности, как я заметил от хостинга еще все зависит. Есть один сайт (проектик небольшой), на нем 24 плагина (в том числе и Баттер), не хочу ни одного убирать, с ними просто "конфетка" сайт. Так вот, сменил 2 хостинга, на всех тормоза были. Сейчас на простом шареде за 150 руб в месяц, все летает). Ни каких дополнительных настроек не делал, установил и все. Одна проблема была, конфликтовала парочка плагинов друг с другом.
Не поможет от взлома "через соседей" и некоторых других вещей.
+ есть не только sql-inject, а и куча других дыр.
Я бы сделал единую панельку и универсальный плагин для всех CMS.
Суть - крайне простая.
обходим папки (можно сразу указать какие не трогать) и сохраняем хеш, все это - льем на единый сервер (где все будет видно для всех сайтов, ибо так удобно).
Какой-то файл изменился из директории, где это не подразумевается (для стандартных движков можно наваять спокойно "стандартные папки") - выводим алерт, можно даже с смс.
Вполне реально это в виде сервиса замутить.
Также можно из архива автоматически восстанавливать файл.
При обновлении - снимаем на некоторое время защиту.
Но тут тестировать много надо, и это собственно - последний рубеж, когда уже есть дыра и через неё пытаются пробиться.
Также можно прикрутить из коханы xss-защиту, её даже на yii портировали:
Для фильтрации используются регулярные выражения из фреймворка Kohana версии 2.3.4
Любая защита - должна быть комплексной.
И хакеру - надо найти всего 1 дыру, а программисту/админку/вебмастеру - закрыть тысячи возможных!
strpos($_SERVER['REQUEST_URI'], "eval(") - обойдется подстановкой eVaL и прочих аналогов
strpos($_SERVER['REQUEST_URI'], "CONCAT") - тоже самое с регистром
strpos($_SERVER['REQUEST_URI'], "UNION+SELECT") - в РЕКВЕСТ_УРИ уже не плюс находится, а пробел.
strpos($_SERVER['REQUEST_URI'], "base64") - вряд ли кто сует в строку запроса бейс64
лучше уж использовать if (strpos(strtoupper($_SERVER['REQUEST_URI']), "CONCAT"))
всё имхо;)
TF-Studio, все натыкается на то, что 90% пользователей ВП холявщики, которые не хотят платить ни за что. Даже такие вещи их не останавливают от холявы: http://barlog.ru/132.html - а ведь скриншот с большого, солидного сайта :)
А если у кого есть деньги на админа, то нормальный админ, естественно, сам и вирусы почистит и поставит защиту хоть какую и не будет шаблоны с встроенной САПОЙ ставить )