Comments on: Определение безопасности блога – плагин WP Security Scan

By: Tod

Tod — Sat, 28 May 2011 14:04:05 +0000

Вадим, думаю, не обязательно, если знаешь какие где права установлены и что они значат, то есть, например, иногда плагины для wp-config просят поставить права 777 (для записи в директорию) чтобы добавить туда свои файлы. Иногда пользователи забывают вернуть в 755 – бац и плагин это подсказывает. В 99% случаев ничего страшного, по идее, не случится, если будет 777.

By: Вадим

Вадим — Fri, 27 May 2011 10:04:22 +0000

А обязателльно ставить права доступа на папки, которые рекомендует этот плагин?

By: Дмитрий

Дмитрий — Sun, 05 Dec 2010 09:40:04 +0000

Тоже после изменения префикса вместо админки ошибку 500 выдает. Как вылечить?

By: Ksana

Ksana — Mon, 04 Jan 2010 07:13:45 +0000

Автору – WordPress DB Errors turned off. – это значит отключены сообщения об ошибках.

By: Миша

Миша — Sun, 08 Nov 2009 13:25:51 +0000

Скажите пожалуйста, почему после успешного изменения префикса, вместо админки получил сообщение: “У вас недостаточно полномочий для доступа к этой странице”?!

By: dc

dc — Fri, 31 Oct 2008 08:52:04 +0000

А еще один мой знакомый маскировал Apache под IIS. Но это уже совсем радикально…
ИМХО безлпасность нужно не с помощью плагина решать… Грамотно настроенный сервер + минимальный доступ + нестандартные названия.

By: Аким

Аким — Tue, 02 Sep 2008 18:56:52 +0000

2Vladimir
Конкретно, один раз уберегло от обновления mod_php когда конфиги *.php3 неожиданно стали отдаваться в plain text (правда это было не с WP).

By: Vladimir

Vladimir — Tue, 02 Sep 2008 18:46:23 +0000

береженого бог бережет

Это понятно, но от чего конкретно бережет?

На мой взгляд, польза от этих правил минимальна, а Апач тратит время на обработку .htaccess при каждом запросе (причем при запросе к wp-content/plugins Апач сделает три запроса: к wp-content/plugins/.htaccess, wp-content/.htaccess и .htaccess).

что на новом хостинге админы пишут/меняют в настройках к апачу

Вменяемые админы :-) ни за что не разрешат доступ к .ht(access|passwd).
Если же они это разрешают, то есть серьезный повод сменить хостинг, ибо в этом случае вполне возможны и более серьезные проблемы.

By: Аким

Аким — Tue, 02 Sep 2008 18:25:02 +0000

2Vladimir
Эти .htaccess в той или иной версии переношу с одного сайта на сайт уже несколько лет. Разбирать что на новом хостинге админы пишут/меняют в настройках к апачу, как обновляют php желание возникает не часто, а как говорится: береженого бог бережет.

By: Vladimir

Vladimir — Tue, 02 Sep 2008 17:02:19 +0000

запрещает доступ к .htaccess

Дефолтный конфиг Апача и так не даст доступа к .htaccess/.htpasswd (конечно, если администратор догадался не удалять те строки)

выключает описание сервера

Вряд ли кому сильно поможет – сканирование на уязвимости проводится автоматом, и если версия апача дырявая, то сканер это поймет и без знания строки идентификации.

запрещает доступ к конфигам

Меня всегда это умиляло… Аким, а в чем глубокий философский смысл? По HTTP-запросу код wp-config.php все равно не увидеть, а от запроса через файловую систему никакой .htaccess не спасет.

и .htaccess для wp-content и wp-include

Осторожнее с wp-content. Такой вот конфиг совместим далеко не со всеми плагинами. И с темами… Особенно с теми, которые отдают CSS/JS через PHP

Не лучше ли не извращаться с Apache, а сразу поставить нормальные права доступа к файлам и каталогам?