Возвращаясь к вопросам безопасности, поднятом в одном из предыдущих постов, хочу предложить Вашему вниманию следующий плагин — belavir. Данный плагин хорош тем, что он информирует об измененных .php файлах (файлы где создается внешний вид Вашего блога, и выполняются различные функции и команды).
Как он работает? Плагин подсчитывает контрольные суммы (хэш) каждого файла .php и сравнивает со значениями сохраненными ранее. Если эти суммы не совпадают, то в «Консоль» Административной панели будет выведено соответствующее предупреждение указывая измененные файлы.
Если данные изменения сделаны Вами или по Вашей просьбе, то все в порядке, нажимаете кнопку «Сбросить/Обновить хэш файлов», причем сделать это могут только пользователи, которые обладают соответствующими правами (в данном случае нужны права на редактирование шаблона). Пользователи у которых не хватает прав будут видеть только сообщения. После сброса «хэша файлов», плагин сохраняет новое значение и приступает к дальнейшей службе по наблюдению за php-файлами Вашего блога.
Установка плагина стандартная, скачиваем -> устанавливаем -> активируем
Случается, что на некоторых блогах директория /wp-content/uploads/, где плагин belavir хранит файл хешей, доступна всем. В этом случае любой «плохиш» может заиметь данный файл и узнать , какие плагины Вы используете на своем блоге. Особо страшного в этом ничего нет, поскольку «плохиши» находят уязвимости в обороне Вашего блога перебирая, в том числе и известные им уязвимости распространенных плагинов. Поэтому настоятельно рекомендуется обновлять используемые Вами плагины, по мере выпуска «заплаток» для них. К тому же многие плагины просто «кричат» о себе со страниц Вашего блога, нужно только просмотреть html код сгенерированной страницы.
Для дополнительной защиты рекомендую дать разрешения посетителям Вашего блога на скачивание из данной директории только файлов определенного типа. Для этого создаем в директории uploads файл с названием .htaccess и прописываем в нем следующий код:
<FilesMatch "\.(gif|jpg|png)$"
>Allow from all
</FilesMatch
>Deny from all
Желаю Вам удачи и большого числа посетителей вашего Блога
P.S. В текущей версии плагина belavir хэш php-файлов сохраняется в файле с названием .htbelavir. Если на Вашем хостинге такие файлы доступны для просмотра по http, то никакие Ваши действия не смогут помочь Вам защитить свой блог от злоумышленников.
Безопасность сайта нельзя недооценивать.
Благодарю за совет.
Нужно попробовать.
спасибо за совет
Очень хорошие советы.Спасибо.
С праздником Пасхи!
Вам подарок-награда «Красивый блог»
http://zoninfo.ru/?p=647
Принимайте эстафету.
Интересный плагинчик.
Очень полезная у Вас инфа, как в этой статье, так и вообще на сайте!!!