WordPress – очень успешный проект, который за короткое время стал мощным, продуманным web-приложением. Это приложение привлекло к себе не мало внимания как со стороны блогеров, так и багоискателей.
Так как багов WordPress содержал не мало, но с каждым годом их находили все больше и больше :
![статистика багов Wordpress](../../wp-content/uploads/2008/12/tabl.jpg)
Хакеры вплотную начали заниматься изучением WordPress, что заставило разработчиков повысить безопасность приложения путем дополнения и модернизации. Именно это коснулось версии 2.5, основные изменения которой припали на улучшение безопасности. При хешировании паролей в приложении используется salt и библиотека phpass – укорачивает хэши, что не позволяет злоумышленнику расшифровать хэш. В этом случае брутфорс бесполезный. Пример хэша:
![хеш WordPress](../../wp-content/uploads/2008/12/tabl2.jpg)
Пример хэша в предыдущих версиях:
![Wordpress безопасность](../../wp-content/uploads/2008/12/tabl3.jpg)
Ранее cookies включали в себя постфикс, узнать его легко, при помощи обращения в wp-pass.php – возвращает хэш cookies в заголовок:
![cookies Wordpress куки вордпресс](../../wp-content/uploads/2008/12/tabl4.jpg)
Имеющийся хэш проганялся через md5() и вставлялся в cookies с названием wordpress_[cookiehash].
Обновленная версия 2.5 теперь делает так:
![wordpress_[cookiehash] хэш WordPress](../../wp-content/uploads/2008/12/tabl5.jpg)
![константы WordPress](../../wp-content/uploads/2008/12/tabl6.jpg)
Такой способ раскрывает пути в стандартных ошибках PHP, WordPress - не имеет своего обработчика ошибок. Единственное чем Вы можете защитить блог, так это создать .htaccess с следующим кодом:
![повышение безопасности wordpress](../../wp-content/uploads/2008/12/tabl7.jpg)
Он не допускает вывода ошибок. Еще одним недостатком есть вывод версии приложения, WordPress выводит свою версию в тегах head. Этого можно избежать используя плагин Replace WP-Version, описанный в статье Плагины для повышения безопасности WordPress блогов.В версиях 2.5 и выше сложно сломать пароль админа, устанавливайте длинные пароли, теперь есть индикатор сложности пароля, это еще более усложнит жизнь злоумышленникам. В админке, в новых версиях, поддерживается загрузка одновременно, нескольких файлов. Можно загружать беспрепятственно скрипты PHP, это действие было запрещено в старых версиях. Разработчики исправили это создав .htaccess в папку wp-contents/uploads:
![Безопасность WordPress](../../wp-content/uploads/2008/12/tabl8.jpg)
3 комментария к статье
Вы пишете: “Единственное чем Вы можете защитить блог, так это создать .htaccess с следующим кодом:…..”. Не написано, где его создать, в какой папке?![:sad:](../../wp-includes/images/smilies/icon_sad.gif)
Также не нашел файл .htaccess в папке wp-content/uploads, о котором Вы пишете.
самая лучшая защита - это статика, если не знаете php - учите! а если чайники тупорылые - то и нефиг о безопасности рассуждать! правильно? правильно. ручками делаете сайтик и всё
статический кеш на nginx спасет почти любой проект на ворпресе конечно