Google XML Sitemaps: убираем версию и сигнатуру из карты сайта

После установки различных плагинов, отвечающих за псевдобезопасность сайта — например, путем сокрытия используемой версии WordPress, имён и версий установленных плагинов и т.п. — обычно выясняется, что они не могут справиться с : он как выдавал секретные данные о версии WordPress в карте сайта, так и продолжает их выдавать.

Очевидно, что это очень смущает людей, зацикленных на безопасности сайта.

К счастью, это лечится (во всех смыслах). Далее »

Автор: Wandering Soul, опубликовано в: Патчи, комментариев: нет
23
Авг
2010

Борьба с ботами-взломщиками средствами rsyslogd

В предыдущих частях статей цикла «Скажи «Нет!» взломщику» со взломщиками мы боролись при помощи связки  + : проводил анализ системного журнала сообщений, использовался для блокировки непрошеных гостей.

Тем не менее, используя на нескольких серверах, я не могу сказать, что я полностью им доволен: слишком уж он хрупок. Завершение дочернего tail приводит к тихой гибели самого , в системе могут оставаться зомби и т.п.

Одна из альтернатив — использование rsyslogd. Далее »

Автор: Vladimir, опубликовано в: Администрирование, Безопасность, комментариев: 5
21
Апр
2010

Опять сломали!!!

В очередной раз разработчики WordPress ломают совместимость… Хотя справедливости ради стоит отметить, что затронуты будут далеко не все плагины, а только те, которые полагаются на то, что функция wp_nonce_field() создаёт в форме поле с именем _wp_http_referer. Далее »

Автор: Vladimir, опубликовано в: WordPress, комментариев: 1
9
Дек
2009

Скажи «Нет!» взломщику: часть 2

Продолжение статьи Скажи «Нет!» взломщику.

Прошлый раз мы использовали swatch и iptables для защиты от нехороших ботов, пытающихся сделать наш компьютер частью ботнета. У приведённого способа был существенный недостаток: IP-адреса блокировались навсегда. Это плохо, так как IP-адреса можно подделывать.

Tamdiu discendum est, quamdiu vivas, поэтому сегодня рассмотрим вариант с блокированием атакующего на заданный промежуток времени. Далее »

Автор: Vladimir, опубликовано в: Linux, Безопасность, комментариев: 2
8
Дек
2009

Безопасный логин в WordPress с использованием nginx

WordPress, начиная с версии 2.6, имеет улучшенную поддержку работы с .

У администратора есть две возможности:

  1. Использование для работы в панели управления (wp-admin).
  2. Использование только для входа в систему.

Первое достигается путём добавления строки

[-]
View Code PHP
define('FORCE_SSL_ADMIN', true);

в wp-config.php, второе — путём добавления строки

[-]
View Code PHP
define('FORCE_SSL_LOGIN', true);

Добавляем одну из этих двух строк в wp-config.php и проблема решена? Но в действительности всё не так, как на самом деле :-)
Далее »

Автор: Vladimir, опубликовано в: WordPress, Безопасность, комментариев: 2
5
Дек
2009
Вперёд »