« На сколько уязвим WordPress?
Tot 5 плагинов WordPress »

Повышение безопасности после выхода WordPress 2.5

10.12.2008, 11:53. Автор admin

Повышение безопасности после выхода WordPress 2.5WordPress – очень успешный проект, который за короткое время стал мощным, продуманным web-приложением. Это приложение привлекло к себе не мало внимания как со стороны блогеров, так и багоискателей.
Так как багов WordPress содержал не мало, но с каждым годом их находили все больше и больше :

статистика багов Wordpress

Хакеры вплотную начали заниматься изучением WordPress, что заставило разработчиков повысить безопасность приложения путем дополнения и модернизации. Именно это коснулось версии 2.5, основные изменения которой припали на улучшение безопасности. При хешировании паролей в приложении используется salt и библиотека phpass – укорачивает хэши, что не позволяет злоумышленнику расшифровать хэш. В этом случае брутфорс бесполезный. Пример хэша:
хеш WordPress

Пример хэша в предыдущих версиях:
Wordpress безопасность

Ранее cookies включали в себя постфикс, узнать его легко, при помощи обращения в wp-pass.php – возвращает хэш cookies в заголовок:
cookies Wordpress куки вордпресс

Имеющийся хэш проганялся через md5() и вставлялся в cookies с названием wordpress_[cookiehash].
Обновленная версия 2.5 теперь делает так:
wordpress_[cookiehash] хэш WordPress
Параметр sk – это SECRET KEY, его указывают в wp-config.php. Этот ключ используется в криптографических функциях. Разработчики предлагают сервис, который случайным образом генерирует строку, тем самым позволяет снизить риск атак к минимуму.Но все же есть и слабые места, стандартные папки не защищены. В папке wp-content/plugins можно раскрыть все установленные плагины, вплоть до их версий. Скрипты WordPress, вызывают не проинициализированные внутренние функции, так как не проверяется выполнение их в контексте. Вместо этого назначаются константы в основном скрипте с проверкой в остальных.
константы WordPress

Такой способ раскрывает пути в стандартных ошибках PHP, WordPress - не имеет своего обработчика ошибок. Единственное чем Вы можете защитить блог, так это создать .htaccess с следующим кодом:
повышение безопасности wordpress

Он не допускает вывода ошибок. Еще одним недостатком есть вывод версии приложения, WordPress выводит свою версию в тегах head. Этого можно избежать используя плагин Replace WP-Version, описанный в статье Плагины для повышения безопасности WordPress блогов.В версиях 2.5 и выше сложно сломать пароль админа, устанавливайте длинные пароли, теперь есть индикатор сложности пароля, это еще более усложнит жизнь злоумышленникам. В админке, в новых версиях, поддерживается загрузка одновременно, нескольких файлов. Можно загружать беспрепятственно скрипты PHP, это действие было запрещено в старых версиях. Разработчики исправили это создав .htaccess в папку wp-contents/uploads:
Безопасность WordPress



3 комментария к статье

  • auditor_se
    Размещено 6. May 2009 в 21:15

    Вы пишете: “Единственное чем Вы можете защитить блог, так это создать .htaccess с следующим кодом:…..”. Не написано, где его создать, в какой папке?
    Также не нашел файл .htaccess в папке wp-content/uploads, о котором Вы пишете. :sad:

  • Rus
    Размещено 24. May 2010 в 10:41

    самая лучшая защита - это статика, если не знаете php - учите! а если чайники тупорылые - то и нефиг о безопасности рассуждать! правильно? правильно. ручками делаете сайтик и всё

  • обои на рабочий стол
    Размещено 28. Augu 2010 в 13:26

    статический кеш на nginx спасет почти любой проект на ворпресе конечно

Статью комментируют

 



Поиск