WP-Scanner: посчитайте «дыры» в вашем блоге

Владимир | | WordPress, Безопасность.

wordpress security

Безопасность, защита от вирусов, спама – это как игра в кошки-мышки. Кто убегает, кто-то догоняет, кто-то капканы ставит 😉 .

Заниматься безопасностью нужно, но, прежде всего, необходимо определить источник угрозы. В этом может сервис BlogSecurity.

Он ищет уязвимости в блогах, работающих на движке WordPress.

Перед проверкой необходимо установить специальный плагин – WP-scanner.

После его активации в админке блога, можно начинать сканирование.

По-моему, это правильный подход. Иначе искать «дыры» в вашем блоге сможет кто угодно.

Конечно, сервис ищет только известные уязвимости, и, скорее всего, не все. Список можно посмотреть на этой странице.

К тому же, плагинов для WordPress написаны тысячи, и создать проблемы может любой из них.

Но, в любом случае, лишней такая проверка не будет.

Что касается этого блога.

Уязвимостей сервис не нашел. Но предложил ограничить доступ к папке wp-content. Как это сделать описано здесь.

Насколько я знаю, тот же результат можно получить с помощью плагина AskApache Password Protect .

Но у этого метода есть недостаток – некоторые плагины могут просто перестать работать.

В общем, в панику впадать не стоит 😉 , но периодически искать «дыры» в блоге все-таки стоит.

Удачи!

P.S. Не забудьте деактивировать плагин после проверки. А еще лучше – удалите его вообще с сервера 😉 .

  • >>Но у этого метода есть недостаток – некоторые плагины могут просто перестать работать.

    Да, а еще станет невозможным функция загрузки из админки.

    Спасибо за плагин. У меня не так уж много ошибок оказалось 🙂

  • >>Но у этого метода есть недостаток – некоторые плагины могут просто перестать работать.

    Да, а еще станет невозможным функция загрузки из админки.

    Спасибо за плагин. У меня не так уж много ошибок оказалось 🙂

  • Наверно один из обязательных моментов которые нельзя пропускать при ведении блогов =) а то хватает всяких …

  • Наверно один из обязательных моментов которые нельзя пропускать при ведении блогов =) а то хватает всяких …

  • *****Да, а еще станет невозможным функция загрузки из админки

    а почему???

    • Я сам не проверял, но в любом случае, проблема та же, что и с плагинами.

      Сервер откажет в доступе к скрипту.

      Хотя, при правильной настройке все эти проблемы решаемые. В статье, на которую я ссылался, довольно подробная инструкция.

  • *****Да, а еще станет невозможным функция загрузки из админки

    а почему???

    • Я сам не проверял, но в любом случае, проблема та же, что и с плагинами.

      Сервер откажет в доступе к скрипту.

      Хотя, при правильной настройке все эти проблемы решаемые. В статье, на которую я ссылался, довольно подробная инструкция.

  • Думаю, что такие вещи могут быть полезны не только блогерам старающимся защититься, но и малоопытным «хакерам». Последние только и ждут как бы это проявить себя в нехитром деле взлома.
    Я всё же считаю, что нужно не только ставит какие-то средства защиты, но и провести нормальный аудит безопасности с помощью специалиста. По крайней мере новые уязвимости всегда быстрее попадают в уши секуристов, чем в код сканнеров.

    • Аудит со специалистами — удовольствие не дешевое. И без 100% результата. Но для хорошо раскрученного сайта или интернет-магазина имеет смысл.
      К банкам это не относится. У них должен быть свой отдел со специалистами 😉

      • Ну у банков я так думаю и не должно быть потребности в критичной оценке вордпресса. Для для хорошо раскрученного сайта или интернет-магазина это тоже с помощью тулзы для WP не сделаешь — движок другой — элементарно )))
        А вот напасть на тех кто сам себе блог наваял без особых внканий в то, как это сделано — им, если они ценят свое время и творчество — хорошо бы иногда обращаться за поддержкой ну хотя бы к продвинутому школьнику

        • Вы, конечно, правы. Консультация со специалистом поможет увеличить безопасность. Но повторюсь, стоить это будет не дешево. Аудит сайта, работающего на самописном движке, за 5 минут не сделаешь. А бесплатно в нем ковыряться вряд ли кто-то захочет (кроме автора).
          Поэтому инструменты, которые позволяют протестировать сайт хотябы на устойчивость к самым распространенным атакам могут очень пригодиться.

  • Думаю, что такие вещи могут быть полезны не только блогерам старающимся защититься, но и малоопытным «хакерам». Последние только и ждут как бы это проявить себя в нехитром деле взлома.
    Я всё же считаю, что нужно не только ставит какие-то средства защиты, но и провести нормальный аудит безопасности с помощью специалиста. По крайней мере новые уязвимости всегда быстрее попадают в уши секуристов, чем в код сканнеров.

    • Аудит со специалистами — удовольствие не дешевое. И без 100% результата. Но для хорошо раскрученного сайта или интернет-магазина имеет смысл.
      К банкам это не относится. У них должен быть свой отдел со специалистами 😉

      • Ну у банков я так думаю и не должно быть потребности в критичной оценке вордпресса. Для для хорошо раскрученного сайта или интернет-магазина это тоже с помощью тулзы для WP не сделаешь — движок другой — элементарно )))
        А вот напасть на тех кто сам себе блог наваял без особых внканий в то, как это сделано — им, если они ценят свое время и творчество — хорошо бы иногда обращаться за поддержкой ну хотя бы к продвинутому школьнику

        • Вы, конечно, правы. Консультация со специалистом поможет увеличить безопасность. Но повторюсь, стоить это будет не дешево. Аудит сайта, работающего на самописном движке, за 5 минут не сделаешь. А бесплатно в нем ковыряться вряд ли кто-то захочет (кроме автора).
          Поэтому инструменты, которые позволяют протестировать сайт хотябы на устойчивость к самым распространенным атакам могут очень пригодиться.

  • Что-то спамом запахло…

  • Что-то спамом запахло…

  • Павел

    Смешно читать о безопасности в контексте распространённых движков, тем более, WP, которого по дырявости может обойти только Жумла. 🙂

    • Дыр в WP действительно находят больше чем хотелось бы. Но где гарантия, что в движке собственной разработки их не будет? Или просто никому не захочется их искать? 😉

  • Павел

    Смешно читать о безопасности в контексте распространённых движков, тем более, WP, которого по дырявости может обойти только Жумла. 🙂

    • Дыр в WP действительно находят больше чем хотелось бы. Но где гарантия, что в движке собственной разработки их не будет? Или просто никому не захочется их искать? 😉

  • Julie

    Старая смотрю тема. А этот сервис видели? wpsec.ru

    Что думаете?

    • Оценить насколько качественно реализован wpsec.ru я не могу, но идея проверить сайт по известному списку уязвимостей — хорошая.

      • Julie

        Ну он на основе довольно известного http://wpscan.org/ c открытым кодом сделан.
        В принципе любой может эти скрипты себе поставить и проверить

        • Я не ставлю под сомнение результаты. У сервиса есть база уязвимостей, которые он проверяет. Вопрос в полноте этой базы. Чтобы ее проверить нужно иметь собственную базу или доступ к базам других аналогичных сервисов. У меня таких баз нет, поэтому я и написал, что не могу проверить этот сервис.