Как защитить блог: меняю права на запись файлов и папок

Как защитить блог от незаконного проникновения и завладения управлением моим блогом: такие вопросы у меня возникают довольно часто. Не то чтобы я был параноиком, тем более я не считаю, что мой блог настолько ценен, что его будут пытаться взламывать каждый день. Но я ведь работаю, со временем этот ресурс наберет популярности, я в этом уверен, и тогда может быть.

Вот потому я решил позаботится о защите блога уже сегодня, тем более у меня имеется некая информация у меня есть, которую я желаю проверить.

Кроме того, я уже кое-какие меры по защите блога предпринял, и изменил префикс таблиц базы данных этого блога. Но страховка никогда не повредит, тем более проведение оценки степени защищенности блога. Потому я опять начал искать.

Нашел плагин WordPress wp-security, его можно скачать по адресу — http://wordpress.org/extend/plugins/wp-security-scan/. А теперь по порядку зачем он нужен, и как может помочь. После того как его установил , я увидел в админке моего блога такое меню.

Значит так, 5 пунктов:

support – никогда не пользовался, чисто авторские ссылки.

Database – предоставляет возможность поменять префикс таблиц базы данных блога. У меня он уже изменен. Я не пользовался этой опций, так как ручками надежней и не занимает много времени. Если рискнете пользоваться этой опцией – backup вам в помощь.

Password Tools – менять пароль моего профиля блога. Я это могу сделать и в своем профиле в блоге. Не тяжёлая операция и в дополнительных плагинах я не нуждаюсь.

А вот двумя первыми опциями я воспользуюсь.

Security – выводит основные характеристики моего хостинга (справа на скрине), анализ сканирования моего WordPress блога: версия, префикс таблиц, а также некоторые предупреждения (выделяются красным, слева).

Вот на эти зеленные, красные надписи обращу своё внимание.

Мне показывает версию WordPress 3.0.1, эти данные плагин получает с файла  version.php, который находится в каталоге wp-includes, так что я не верю ему, так как я его редактировал.

Если Вы много читали о движке WordPress – то вы знаете, что защищенность блога гарантируется только после обновления блога до новой версии. Дело в том, что сами обновления движка частые, при этом делаются только прикрытие обнаруженных дыр в защите самой CMS-ки.

Your table prefix is not wp_. – дело в том, что я давно изменил префикс баз данных, так что все с эти у меня хорошо.

Your WordPress version is successfully hidden – после каждого обновления я редактирую файл  version.php. Как это делать я описывал в посте на блоге, ссылка на который размещена выше по тексту).

WordPress DB Errors turned off – ошибки базы данных не обнаружены, ну и слава Богу.

WP ID META tag removed form WordPress core – вообще не понял, что значит, но понял, что здесь нет проблем.

No user «admin» – защитить блог от взлома и пользоваться логином слово “admin” не возможно. Потому я его изменил во время установки блога. Если вам не повезло и до сих пор вы им пользуетесь, измените его срочно. Как это сделать я написал в одном из постов по защите блога от “плохих мальчиков и девочек”. У меня с эти все в порядке.

The file .htaccess does not exist in wp-admin/. – строка красная, потому здесь у меня проблема. Дело в том, что есть один вариант для защиты административной панели блога от нежданных посетителей. Она сводится к тому, что в подкаталог с файлами админки помещается файл – .htaccess. В нем прописывается инструкция, которая не открывает администраторскую панель, никому, кроме владельца одного IP адреса. Вот только я не могу получить один не динамический IP – адрес. Легкий и платный способ я знаю, но для меня это дорого, ищу трудный и бесплатный способ.

В принципе все, короче эта вкладка ничего нового мне не поведала. Потому перехожу к другой вкладке – Scanner.

Вот здесь меня ждало веселие, так как все каталоги, что помечены красным фоном – не защищены от несанкционированного доступа, и с этим нужно что-то делать. Но для начала я должен ознакомится с таким понятием, как CHMOD. Эта команда, которая позволяет устанавливать права на запись, чтение, изменение файлов и доступ ко всем папкам домена. Эти права раздает администратор. Значит, есть одно уязвимое место – если взломают мой аккаунт на моем хосте, я теряю блог. А если не взломают, то я выставлю ограничение, которое не позволит выполнять никакие действия с каталогами и файлами не админам.

Эту операцию по защите блога я буду выполнять с помощью программы FileZilla, если честно я не фанат программ и взял самый популярный и бесплатный FTP – клиент.

Смотрю на скриншот, в колонке Current Chmod указываются права на управление у меня стоят сейчас.

В предыдущей колонке Needed Chmod – указаны значения прав на управление файлами и каталогами, которые я должен выставить для усиления защиты блога от взлома.

Получаю доступ к файлам блога, выделяю первую попавшуюся папку wp-admin, вызываю контекстное меню. Выбираю нижний пункт “Права доступа  к файлу…”

Обратите внимание на выделенное зеленным число 700 и сравните с тем числом, которое стоит в колонке  Current Chmod на против названия каталога wp-admin. И обратите внимание на изменение прав доступа к каталогу, когда я меняю CHMOD, на рекомендованное значение 0755.

Меняется расположение флажков – их становится больше. А теперь вопрос: я ограничил права доступа этому каталогу файлов или нет.

Согласно следующему скриншоту, плагин WordPress wp-security говорит мне, что я защиту блога усилил. Ладно пока я ему поверю, но меня очень сильно настораживает тот факт, что на скриншоте, где я установил код 0755 появились два флажка: чтение: групповые права и публичные права.

Первые изменения применились, теперь с помощью программы FileZilla выполняю изменения прав доступа в всем другим каталогам подкаталогам и файлам.

root directory – это всего то корневая папка на хостинге, куда закидывают файлы блога, на TimeWeb она называется public_html.

После обновления вкладки Scanner весь красный фон стал зеленным. Значит я все сделал верно. Осталось проверить корректность работы блога и администраторской блога.

После этого плагин  WordPress wp-security можно с легким сердцем удалить и жить себе спокойно, радуясь тому, что успешно была проведена операция по защите блога от взлома.

Следует помнить, что после обновления CMS WordPress до более новой версии, а я это делаю регулярно, нужно опять проверять правильность присвоения файлам и каталогам команд CHMOD.