RSS
 

Безопасность вашего блога

18 Июн

Недавно подготовил для вас пост по устранению проблемы публикации кода на WordPress, которая, собственно говоря, сводится к невозможности писать в постах на данном движке текст с кавычками "лапками".

В комментариях один из читателей моего блога высказал опасение, что предложенная мной модификация одного из файлов шаблона небезопасна, так как у него она вызвала блокировку блога, с последующей необходимостью вмешаться в структуру данного файла по FTP.

 любые манипуляции с блогом могут вызвать непредсказуемые последствия

И принципиально, я не буду вас разуверять в обратном. По сути дела, любые манипуляции с блогом могут вызвать непредсказуемые последствия (полной безопасности вам никто не гарантирует). Другое дело "кто виноват и что делать?". А вот это уже интересно.

Давайте рассуждать логично, у меня изменение файла проблем не вызывает, у ряда других пользователей тоже, а у Александра блог упал. Но WordPress у всех одинаков. Если только у Александра не устаревшая версия. Я свой, например, регулярно обновляю.

Кроме того, мы вносили изменения не в код самого движка, а в код одного из файлов шаблона, а поэтому наверняка дело в шаблоне. Просто установленный, в данном случае шаблон оказался несовместим с вносимой правкой. И эта история, я думаю вы со мной согласитесь, заставляет нас, блогеров:

  1. Внимательнее отнеситесь к выбору шаблона
  2. Знать основы восстановления блога при внезапных его падениях (а от этого точно никто не застрахован)

 

Таким образом, мы выходим на две темы. И первую из них давайте разберем сегодня.

Выбор и тестирование шаблона для блога

Итак, в сети полным-полно шаблонов для WordPress. А все ли они сделаны качественно и безопасно? Смею надеяться, что большинство платных шаблонов, все таки, да. Но вот если вы скачали платный шаблон бесплатно, то он, как раз может запросто быть модифицирован злоумышленниками.

Кроме того, большинство шаблонов сделаны "забугорными" мастерами, а затем переведены на русский язык нашими умельцами. И опыт показывает, что кроме перевода, зачастую они вносят и некоторые изменения в своих интересах.

Как же тогда быть? Не думаю что будет для вас откровением, если я в очередной раз повторю, что шаблон нужно брать на надежном сайте и лучше официально. Все равно все любят экономить... Увы.

И лучше я сразу назову источник, который, по моим понятиям заслуживает доверия. Это Гудвин.

Второй же момент при выборе шаблона заключается в том, что его перед использованием на блоге нужно проверять. И есть для этой цели замечательный плагин. Он называется TAC.

Итак, берем плагин с официального сайта, ставим как обычно, активируем.

Он позволяет обнаруживать в шаблонах статичные ссылки и вредоносный код.

Сам плагин пропишется после активации в меню «Внешний вид»

Сам плагин пропишется после активации в меню «Внешний вид»

Если вредоносный код есть, тест будет подсвечен розовым цветом и будет написано «EncryptedCodeFound!». Незараженный шаблон «ThemeOK!». Хотя статические ссылки в нем могут быть, но это не опасно. Если это ссылки автора или переводчика и вы не хотите использовать такой шаблон, ищите другой.

А вот вредоносный код, следует удалять, либо просто отказываться от шаблона. При клике по ссылке, на которую показывает стрелка, можно пройти в редактор и удалить код. Если шаблон после этого работать не будет, просто ищите другой.

Не факт, конечно что несовместимость шаблона у Александра связана с подобным кодом, возможно что сам шаблон написан не совсем грамотно. Но это тогда не опасно. Каждый сам выбирает какие функции в теме для него важны. Но проверку на вредоносный код, перед применением шаблона, в любом случае, сделать стоит.

PS:

На одну из следующих наших встреч оставляю еще тему бекапов, что тоже крайне важно для безопасности.

Поделиться в соц. сетях

Опубликовать в Google Plus
Опубликовать в LiveJournal
Опубликовать в Мой Мир
Опубликовать в Одноклассники
 

Прокомментировать

 

 
  1. Константин, Виртуальный Доктор

    Июнь 19, 2014 - 10:15 дп

    На мой взгляд, блог на одной из самых популярных БЕСПЛАТНЫХ платформ (Вордпресс) является потенциальной мишенью для миллионов хакеров. Это, по-видимому, таит в себе потенциальную угрозу.

    Я уже много лет пользуюсь коммерческим скриптом блога. И ни разу не было проблем с безопасностью.

    Кому интересно, вот ссылка на сам скрипт http://marketing.rozhin.info/lasto.com.blog_b.html

    admin Reply:

    Безопасность WordPress вообще, большая тема. Есть ряд уязвимостей и ряд способов их заткнуть.
    Но он популярен. Скрипты Вадима Ласто, тоже тема,заслуживающая внимания. Они достаточно интересны, но на любителя.
    Самая большая их проблема непонятные для новичка мануалы.