Твит

Использование настроек по умолчанию, всегда создает дополнительные дыры в безопасности.
В WordPress например можно с легкостью узнать логины всех автором включая и самого админа, и с помощью нескольких скриптов обойти защиту в htaccess и сбрутить пароли от админки.
Также WordPress настроенный по умолчанию позволяет регистрировать новых пользователей, а это чревато XSS.
Методы с помощью которых можно узнать дополнительную информацию (почту, логин и т. д.) админа WordPress, а также способы сокрытия приватной информации смотрите в статье.

Твит

Любой опытный вебмастер знает, или во всяком случае должен был бы знать о том, что 100% защиты сайта от взлома нет и быть не может.
В сегодняшней статье речь пойдет о бесплатной CMS WordPress. Многие блогеры используют данную CMS для реализации своих задач.
Вот и я не являюсь исключением и тоже юзаю WordPress. Более того многие мои знакомые, которые специализируются на IT безопасности имеют свои блоги именно на этой платформе.
В целом WordPress лично меня устраивает, но как и любого продукта у WordPress есть свои слабые места.
Например пользователь из группы редакторов может вставлять в посты javascript код, а это чревато пассивной XSS уязвимостью и полной потерей контроля над собственным сайтов.
Насколько опасны настройки по умолчанию, и проч. см. в посте.

Твит

Вы точно уверенны, что Ваш блог хорошо защищен от взлома? Может стоит повысить уровень его безопасности? Обычно, все мы начинаем задумываться о мерах безопасности, когда уже поздно.

Я предлагаю с помощью нескольких не очень сложных шагов повысить безопасность своего блога.

А зачем вообще нужна дополнительная, я хочу подчеркнуть, именно дополнительная защита блога?

В случае взлома блога, вы можете потерять весь контент, какие-то данные, а ещё, блог на некоторое время полностью выйдет из строя.

Большими убытками это грозит интернет-магазинам. Они потеряют не только клиентов, но и репутацию, что тоже важно.

Твит

Многие из тех, кто имеет свой блог или сайт, в последние несколько дней столкнулись с проблемой - невозможностью попасть в админку своих блогов. А также периодически появляющейся ошибкой соединения с БД. Доступ к административной части блокируют сами хостинг-провайдеры, чтобы уберечь от взлома наши с вами сайты, и не стать частью атакующего ботнета. Такая серьезная мера была вызвана очень сильной брутфорс-атакой именно на Wordpress и Joomla.
Эти атаки на взлом админки появились еще в апреле. Но в последние два дня они достигли просто критического уровня. На данный момент атакующий ботнет состоит более, чем из 100 000 "машин".
Подробнее обо всем этом, и о том, какими способами можно обезопасить свои ресурсы, читайте в моей статье о брутфорс-атаках на Wordpress

Твит

Откуда появляются шеллы и вирусы на сайте?
Что такое шелл, и как он попадает на сайт. Шелл могут залить используя уязвимость некоторых скриптов, причем некоторых багов просто нет в паблике.
На что стоит обратить внимание при выборе хостинга. Какие условия необходимо соблюдать в конфигурации веб сервера, для того чтобы ваш сайт не взломали (случайно).
Ведь достаточно часто лояльная конфигурация веб сервера приводит к тому, что взломав один сайт злоумышленник получает доступ к серверу и всем сайтом которые на нем размешены. Все подробности в статье.

Твит

Не так давно я провел ряд исследований и обнаружил аж целых три способа того, как можно узнать реальный логин админа WordPress. Т. е. реальный логин админки.
Что это дает злоумышленнику?
Да очень многое.
Ну например, если не используются плагины, которые блокируют доступ в админку по ip адресу, то злоумышленник может запустить брута, и по истечении определенного времени, просто взломать панель администратора WordPress, и соответственно получить полный доступ к сайту. Что делать?
Данные баги необходимо пофиксить. На все три способа обнаружения логина Вордпресс, есть конкретные решения, которые я использую и Вам рекомендую.
Все способы подробно я описал в статье, и многие уже ими успешно воспользовались.

Твит

Насколько безопасна платформа WordPress?
Скажу, как программист:
Если Вы используете настройки по умолчанию, то просто обречены на взлом, и тут уже, как говорится: рано или поздно.
И чем раньше это произойдет, тем лучше, ибо будет не так жалко расставаться с данными.
Как узнать реальный логин от админки WordPress?
Очень легко, для этого даже не нужно быть кодером, и вся задача взлома админки сводится к тому, что-бы подобрать пароль, а это не так сложно сделать.
Как можно защитить админку от подбора пароля?
Самый простой способ это использовать плагины, которые блокируют взломщиков по ip адресам, но и здесь есть один ньюанс, вычислив ip админа, можно очень успешно блокировать и ему вход в админку.
Поэтому защита, как админки, так и самого WordPress должна быть комплексной.