Сегодня хочу поговорить о безопасности блогов на WordPress и плагине, который делает ее более прочной. Это - WP Security Scan. Главной задачей модуля есть сканирование установленной версии системы и проверка ее на возможные прорехи в безопасности. После скана, плагин предлагает выполнить корректировку для уменьшения рисков взлома вашего сайта.

Чтобы установить модуль просто скопируйте его установочные файлы (целиком всю директорию wp-security-scan) туда, где располагаются остальные ваши плагины - wp-content/plugins/. После этого заходите в меню Plugins и активируете его - появится новый раздел Security.

Рассмотрим все нюансы безопасности, которые анализирует данный модуль.

Своевременное обновление. Запомните, установка последней версии системы - первый и самый основной ключ к обеспечению безопасной работы всего сайта. Разработчики постоянно трудятся над устранением багов и дыр, поэтому каждый новый релиз содержит исправления львиной доли прорех в защите. Последняя доступная на данный момент версия системы - Wordpress 2.5.1. Обновитесь, кто еще не успел! Стыд мне и позор, но я принадлежу именно к таким людям, о чем свидетельствует предупреждение WP Security Scan.

Таблицы в базе данных. Все таблицы в базе данных имеют префикс wp_ - wp_comments, wp_posts и т.д. Дабы обезопасить себя от SQL инъекций лучше его сменить. Чем меньше злоумышленник знает о настройках вашей системы - тем сложнее ему будет навредить. Для данного дела в разделе Security имеется специальная закладка - Database.

Внимание! Перед сменой префикса очень рекомендуется сделать бэкап (резервную копию) базы. Для успешного завершение процесса требуется чтобы файл настроек wp-config.php имел права на запись, а пользователь БД - возможность выполнять команду ALTER.
Если все эти условия у вас выполняются, то в форме на странице указываем префикс, на который мы хотим заменить стандартный, и нажимаем кнопку Start Renaming.

Теперь, зайдя в phpmyadmin, вы обнаружите новые названия таблиц. Кстати, разработчики плагина говорят, что бывали случаи, когда WP Security Scan на срабатывал, поэтому в документации (на англ.) описаны действия для ручного изменения префикса.

Отображение версии системы. Опять же, меньше информации - лучше защита. Если злоумышленник узнает версию системы, то сможет понять какие прорехи у вас есть. Зачем давать каждому понять, что вы еще не обновились. Версию системы убрать очень просто - в файле шаблона header.php (где содержится информация из блока HEAD) убираем META тэг generator или указываем в нем, например, номер последней версии.

Другие. К сожалению, не совсем понял на что влияют указанные элементы защиты «WordPress DB Errors turned off.» и «WP ID META tag removed form WordPress core» - у меня они сразу были «в норме». Первый параметр WordPress DB Errors по идее можно поискать в настройках системы (Options), а второй в исходном коде.

Имя пользователя. По умолчанию имя пользователя устанавливается в Admin. Если рассуждать логически, то это просто громадный «подарок» для злоумышленника - ему не придется тратить время на подбор логина, останется разузнать только пароль. Для изменения пароля потребуется какой-то инструмент для работы с MySQL на вашем сервере, скорее всего это будет phpmyadmin. Итак, заходите в базу данных, открываете таблицу wp_users (или подобную ей, если вы уже сменили префикс), находите запись admin в поле (колонке) user_login. Изменяете его значение и сохраняете новое.

Защита директории wp-admin. С помощью .htaccess файла можно запретить вход в админку всем неизвестным ip адресам, чтобы заходить могли только вы со своего домашнего и (или) рабочего компьютера. Считаю, это действительно очень хороший способ себя обезопасить, дабы ни у кого и в мыслях не было угадывать пароли. Чтобы реализовать данный метод создаете файл .htaccess, где пишете следующий текст:

AuthUserFile /dev/null
AuthGroupFile /dev/null
AuthName “Access Control”
AuthType Basic
order deny,allow
deny from all
allow from 91.250.120.20

В принципе, можно работать и без первых 4-х строк, но в некоторых примерах видел именно такую комбинацию. Что конкретно означают эти команды не разбирался, но информацию о них в Интернете я встречал. Строка deny from all запрещает любой доступ к директории wp-admin, а следующая как бы задает исключение для вашего ip адреса. Кстати, если у вас динамический айпишник, то запись в примере выглядела бы так:

allow from 91.250.120. (в конце строки должна быть точка, что символизирует «пустой» последний параметр).

После создания файла не забудьте записать его на фтп в директорию wp-admin!

Кроме того, в плагине WP Security Scan есть еще 2 опции: сканер и механизм проверки прочности паролей. Находятся они в соответствующих пунктах меню раздела Security. Если по второму пункту все понятно, то скажу немного слов о сканере. Он проверяет права пользователя, установленные на разные директории вашего сайта, и сравнивает их с требуемыми значениями. Когда все ок, то получится такая приятная картинка:

На достигнутом разработчики не останавливаются, и уже в следующих версиях плагина планируют добавить ряд нововведений, среди которых: изменение прав файлов/директорий одним кликом, тест на XSS уязвимость, отслеживание неверных попыток входа в систему, проверка .htaccess файла и многое другое.

В общем, плагин мне здоров пригодился, я практически могу спать спокойно. В принципе, после прочтения этой статьи можно его и не устанавливать, все основные моменты я рассмотрел, а также привел способы нейтрализации прорех безопасности. Советую использовать вместе все пункты, описанные выше - это сведет риск взлома блога к минимуму.

P.S. Открыл для себя еще одну систему продажи ссылок на сайтах - Setlinks. С сапой тягаться, конечно, пока рано, по попробовать поработать с ней будет интересно. Пользователей, кстати, там 23 тыс.

При поддержке:

• Социальная сеть для блоггеров - стань заметнее!
• Софт для сбора email адресов и рассылки.

Некоторое время назад Seowriter в своем блоге опубликовал описание достаточно интересного софта - Web Forum Reader. Она позволяет следить за обновлениями в различных форумах без использования браузера, то есть вы читаете новые сообщения через программу - что-то вроде RSS. Такая, на первый взгляд, тривиальная и простая возможность меня заинтересовала, поэтому я поставил себе обязательное задание - потестировать этот Forum Reader в дальнейшем. Сегодня я хочу поделиться некоторыми мыслями и результатами проведенного анализа.

Для начала немного «официальной информации». Web Forum Reader доступен для скачивания на этой странице. Как я уже говорил, программа предназначена для чтения форумов. Можно настроить ее таким образом, чтобы показывать лишь обновленные или новые темы, что позволит не только сократить время, затрачиваемое на чтение и ознакомление, но и расходы трафика. Специальный мастер добавления новых ресурсов поможет добавить в программу различного вида форумы или Интернет-конференции. Для работы вам потребуется операционная система Windows 98/ME/2000/NT/XP/2003 или Vista.

Кроме основных функций можно выделить еще:

• Возможность помечать наиболее интересные темы форума, как избранные. Впоследствии это позволит в первую очередь узнать о появлении новых сообщений именно в этих темах.
• Объединение нескольких форумов, схожих по тематике, в группы. Синхронизация всех форумов из группы нажатием одной кнопки.
• Интерфейс с использованием вкладок позволяет легко работать с несколькими открытыми форумами одновременно.

Напоследок добавлю к описанию «ложку дегтя» - софт не бесплатный. Для снятия функциональных и временных ограничений вам придется купить лицензию. Стоимость ее для одного компьютера - 199 рублей (для двух - 300). Заплатив деньги, вы получаете доступ к бесплатным обновлениям и использованию технической поддержки в течении года, а также способствуете развитию программы. Произвести оплату можно практически любым доступным способом - начиная от классических Webmoney, Яндекс.Денег и заканчивая пластиковой карточкой или банковским переводом.

Для тестирования Web Forum Reader я ограничился бесплатной версией системы. В принципе назначение и возможности софта достаточно интересные, но за первые 20 минут работы в глаза бросилось сразу несколько значительных недостатков.

Во-первых, возникли сложности при добавлении в систему сильно структурированного форума. После нескольких попыток сложилось впечатление, что мастер добавления может «осилить за раз» лишь одну ветку (тему). То есть получается 3-тий уровень вложенности: сначала идут какие-то подфорумы по типу «Интернет», «Бизнес», «Офлайн», потом для каждого из них тематики (для «Интернета») - «Сайты и сервисы», «Блоги», «Игры», а лишь за ними темы, которые программа может обрабатывать.

Я как подумал, сколько времени у меня уйдет на то, чтобы добавить форум с 10 разделами, в каждом из которых по 20 тем, мне перехотелось это делать. К тому же малоэффективным выглядит перспектива добавлять по одиночке все темы, за которыми вы хотите следить. Мне кажется, я просто не нашел как правильно реализовать нужные действия. В таком случае это «камень в огород» юзабилити - понять и разобраться в программе действительно непросто. Также очень неудобно отслеживать обновления - в окне программы грузится первая страница темы. Чтобы перейти на нужную вам страницу, потребуется сделать лишний клик - после 10-20 раз это, думаю, будет сильно раздражать.

В данной проге можно настраивать поле, которое будет свидетельствовать о наличии новых обновлений на форуме - например, дата последнего изменения темы, количества сообщений и т.п. Если в том или ином ресурсе отображение этих элементов не предусмотрено (имеется оригинальный дизайн), то мастер настроить не получится. В принципе, недостаток не супер критичный, скорее - маленькое замечание.

Подводя итоги, скажу, что, к сожалению, Web Forum Reader не оправдал моих ожиданий. Возможно, я не во всем разобрался или какие-то функции были ограничены в бесплатной версии, тем не менее, выигрыша во времени и улучшения эффективности работы по сравнению со стандартным чтением форумов я не заметил. При этом существует еще и плата за лицензию, а хлопот не сильно убавляется. Поэтому я программу удалил сразу после тестирования, если у вас будет время разобраться в ней более подробно или имеются опровергающие сведения - милости прошу отписаться в комментариях.
С другой стороны, мои требования к программе могут быть слегка завышенными. Если вы заинтересовались потестировать программу самостоятельно, - еще раз напоминаю, что скачать Web Forum Reader можно здесь.

P.S. Добавил себя на карту блогов - действительно классный проект от Миши Design-Freak`а и его товарища(ей). Все выглядит максимально красиво, обладая приятной, продуманной идеей - один из немногих приятных каталогов блогов.

Социальная сеть для блоггеров от SEO Критика возвращается в строй. Новый дизайн, домен и название, продвинутая и необычная для подобных проектов функциональность, выгодные акции - все это опять доступно рядовым блоггерам.

При поддержке:

• Софт для сбора email адресов и рассылки.
• Eskhosting - качественный хостинг для блогов.

Данная тема не давала мне покоя где-то с февраля этого года, когда в блогах начали массово появляется так называемые «умные» спам-комментарии. Их вариации могут быть абсолютно разными. Наиболее наглые экземпляры оставляют в качестве имени ключевое слово, а в поле URL ссылку на свой ужасный по содержимому и дизайну сайт. При этом в тексте идет какое-то простое выражение по типу «Спасибо за статью», «Очень полезный пост», «Так держать» и т.п. Продвинутые умельцы ставят весь процесс на автомат, перебирая разные фразы и существующие реальные имена, с надеждой сохранить обратную ссылку на себя. Постараюсь рассмотреть все аспекты проблемы и пути ее решения.

Итак, первое - средства защиты. Универсального метода, к сожалению, не существует. Это обусловлено как разными платформами для ведения блогов (Blogger, WordPress и др.), так и изощренностью методов различных спамеров. Общими для всех, думаю, можно выделить метод защиты с помощью модерации комментариев и каптчи (captcha). Первый способ требует подтверждения правильности всех комментариев собственноручно, что при больших объемах информации может заниматься очень много вашего времени. Второй - может поубавить у некоторых пользователей желание оставить свою запись (IT-шники народ зачастую ленивый). Если есть альтернативные методы, то каптчу лучше избегать - дабы сделать пребывания посетителей на вашем блоге максимально комфортным.

Если говорить о WordPress, то наиболее оптимальной, на мой взгляд, является комбинация с использованием плагина akismet и условия обязательной модерации первого комментария от нового пользователя. Я не устаю повторять, что эта связка справляется со своим заданием просто блестяще. Для рядового пользователя не создается никаких проблем и дополнительных требований.
Кстати, по идее, наличие блока <noindex> вокруг ссылки и атрибута «nofollow» в ней должны поубавить желания у потенциальных «умных спамеров» возиться с вашим сайтом. Ведь главная задача для них - наращивание показателей тИЦ и PR своих убогих сплогов и сателлитов.

Вернемся теперь непосредственно к теме поста - правилам комментирования. Как вы уже, наверное, догадались, это сводка предписаний, правил или пожелания для посетителей сайта. Зачем, собственно, это все нужно:

Правила комментирование в блоге можно размещать несколькими способами. Если у вас получилось небольшое количество текста, то есть смысл добавить данный блок максимально близко к форме написания комментария. Текст помещается в скрытый блок, который отображается при клике по соответствующей ссылке. Точно также, при повторном клике, он убирается. Информацию о том, как это реализовать, думаю, найти не составит особого труда. Если не получается, советую посмотреть эту статью Dimox`а.

Второй способ - попроще. Вы просто создаете отдельную страницу в блоге, куда ставите ссылку из формы. Можно, в принципе, оба метода совместить - добавить в форму наиболее важные моменты правил, а дополнительную информацию вынести на полноценную страницу. Лично я пока что остановился на варианте с отдельной страницей. Посмотреть что у меня получилось можно здесь - правила комментирования в блоге Tod’s Blog.

Напоследок хотелось бы вспомнить инициативу, которая время от времени всплывает среди блоггеров - присоединение к «движению» dofollow. Автор блога убирает блок <noindex> и атрибут «nofollow», тем самым призывая посетителей к более активному комментированию - мол «можете слегка укрепить показатели тИЦ и PR ваших сайтов». Не спорю, цель здесь просматривается не только благородная, но и взаимовыгодная для автора и комментаторов.

Тем не менее, лично я бы с этим не спешил. Убежден, что ссылки в комментариях не должны выполнять роль наращивания показателей, ссылочной массы, а призваны служить исключительно для привлечения трафика. Человек видит интересный, умный комментарий, после чего переходит на ресурс заинтересовавшего его автора - все предельно просто и nofollow этому не помеха. Возможно, в будущем у «dofollow» появится реальная перспектива, пока, к сожалению, учитывая реалии жизни, я ее не вижу.

P.S. Самый простой и быстрый способ добавить значимости своему сайту – прогон по каталогам. Данный сервис позволяет зарегистрировать сайт в более чем 3000 каталогах Рунета. Потратив минимум денег и времени в самом начале, вы можете стабильно зарабатывать потом.

Кстати, сейчас набирает обороты акция Артема Майнаса Your Face – публикуете свою фотку, ссылаясь на акцию, после чего она будет размещена в шапке вместе с обратной ссылкой на вас.

При поддержке:

• Софт для сбора email адресов и рассылки.
• Качественный хостинг для блогов.