Советы по защите блога на WP

Автор Dexo, 19-08-2012, 22:53:57

« назад - далее »

Segoro

DmitriyM, на работу движка этот файл никак не влияет, он служит только для входа и регистрации.

Можно зайти в свой аккаунт (нажав запомнить меня), потом переименовать этот файл как нибудь чтобы никто не догадался или вообще его скачать к себе, а на хостинге удалить и входить в админку по закладке или через меню, роли не играет, сайт будет помнить владельца по кукам. Зато никто без этого файла точно войти не может. А если вдруг нужно будет авторизоваться по новой, например с другого браузера - загрузить обратно на хостинг файл, авторизоваться и опять удалить.

Если автор блога один, то этот файл и не нужен.
Недорогие и качественные VPS в Германии, с русскоязычной поддержкой.
Portable программы для Windows.
  •  


DmitriyM

Segoro, то есть либо опасность хранения wp-login.php на сервере, либо опасность хранения куки на компьютере, я правильно понял?
  •  


Nurlan

Здравствуйте. Поставил в файле functions.php код, который указан здесь  add_filter('login_errors',create_function('$a', "return null;"));    а плагин антивирус сразу же показал подозрение на вирус. Что бы это значило?
  •  

DmitriyM

Цитата: Nurlan от 23-08-2012, 17:30:33
Здравствуйте. Поставил в файле functions.php код, который указан здесь  add_filter('login_errors',create_function('$a', "return null;"));    а плагин антивирус сразу же показал подозрение на вирус. Что бы это значило?
Значит, что кто-то (в данном случае вы) влияет на админку. Вирус это или нет - на ваше усмотрение. Данная функция безобидна.
  •  

Segoro

Цитата: DmitriyM от 23-08-2012, 17:27:03
Segoro, то есть либо опасность хранения wp-login.php на сервере, либо опасность хранения куки на компьютере, я правильно понял?
Скажем так - вероятность взлома через файл wp-login.php в тысячи раз превышает вероятность похищения кук вашего браузера. Хотя если подумать, то обе вероятности ничтожно малы. Если пароль сложный, то и беспокоиться не о чем.
Тут вопрос стоял по другому "можно ли переименовать  wp-login.php", я прокомментировал, что его можно убрать вообще  :)
Недорогие и качественные VPS в Германии, с русскоязычной поддержкой.
Portable программы для Windows.
  •  


DmitriyM

В принципе, wp-login.php и переименовать можно, заменив все wp-login.php на свое.
Я даже скриптик под это дело написал. На своем сайте проверил, все работает.
  •  

socialreger

Как не крутись - захотят взломать - взломают...

Segoro

В принципе да.

Но сейчас "хакер" какой-то мелкий пошел. Любой школьник не имеющий никакого понятия о строении и работе сайтов, но имеющий скрипт для ддоса уже именует себя ХАКЕР ;D

Ломают сайты на пабличных CMS когда находят там уязвимость, тогда сайты пачками страдают. А чтобы конкретно какой-то отдельный сайт ломанули, это нужно много времени и сил потратить. Только в кино хакеры ни разу не видев сайта садятся и что-то там пощелкав по клавишам волшебным образом взламывают сайт. Это всего лишь киношный эффект. Чтобы взломать сайт, нужно потратить не мало времени на его изучение и прощупывание, на это иногда уходят месяцы, а иногда для особо крупных и защищенных проектов - годы. И ни кто не будет ломать ваш сайт просто ради интереса.

Так что взлом сайта зависит по большей мере от косяков и не опытности админов. Ломают в основном сайты новичков и админов которые не вникают в работу и структуру своего сайта, мотивируя это тем что они не разбираются в php, html, javascript. Раз не разбираетесь, то и не нужно всё подряд пихать на свой сайт, типа кучу плагинов и всяких фишек.

И главное - как писали выше, возьмите за правило постоянно делать бэкапы. Это самое главное правило позволяющее спать спокойно.
Недорогие и качественные VPS в Германии, с русскоязычной поддержкой.
Portable программы для Windows.
  •  


Brig

Цитата: Чеширский кот от 21-08-2012, 15:03:18
А есть ли возможность изменить страницу входа, например она сейчас по адресу: site.ru/wp-login.php а можно сделать site.ru/back_off.php
И пусть ищут, как войти на сайт. Может это уже есть, просто сам не пробовал ни разу.
можно использовать плагин hide-login, в настройках задается другое название для входа, например не site.com/wp-login а site.com/vhodtuta. Единственный косяк у данного плагина - он генерирует код которые нужно вставить в файл .htaccess причем в самом начале иначе не работает, и еще одна штука, плагин этот код бывает копирует и вставляет в фаил сам по многу раз из-за чего потом можно не попасть в админку, приходится через хостинг заходить и удалять лишний код.
мы можем больше, чем думаем
  •  


<seo>Алексей</seo>

а как на счет пароля к архиву.. запомнить только его
сайт: ycnex-pr.ru Блог о заработке на своем  контенте: blog.lava.top
  •