Я заметил, что многие не делают несколько важных вещей после установки блога на WordPress, которые могут сильно повердить блогу – открываются существенные возможности для взлома.
Я был очень удивлен, но знаменитые блоггеры, такие как Тёмма, Спрут, даже ПрофитХантер тоже грешат этими ошибками. Другие блоги я не проверял, мне и так «хватило» :)
Во-первых. После установки блога удалите с FTP файлы readme.html и license.txt. Через них можно узнать версию блога. А это чревато подбором эксплойта под Вашу версию.
Знаете, от чего я действительно был в шоке? Теперь я знаю версию блога Тёммы, Спрута, SeoInSoul‘а, ProfitHunter… А кто еще?.. Ребята же не молодой тупняк, в Интернете не первый год. Спрут меня убил наповал – такооой доисторической версии ВП я давно не видел. Обновляйся! Срочно!
Кстати, правило: обязательно устанавливайте новые обновления, т.к. они выходят обычно как раз из-за того, что для предыдущей версии блога созданы хаки и сплойты.
Мне могут возразить, мол, когда ставится обновление, не обязательно переписывается readme.html. Я не устанавливал автоматическое обновление. Но при ручном обычно просто копируются все файлы поверх старых – значит, мы все же даем хакеру актуальную информацию о версии блога.
Кроме того, сам WP зачем-то пишет свою версию прямо в код страницы. В заголовке. Чтобы убрать ее оттуда, «пропишите в функции темы (functions.php) строку remove_action (’wp_head’, ‘wp_generator’);» (с) http://optimization.ws/2008/06/no-meta-generator/
Во-вторых. Плагины – тоже опасное место. Зная, какие плагины установлены, хакер может попытаться применить к ним разные «наборы» для взлома и скрипты. Плагины посмотреть проще простого: открыть эту директорию через адрес строки. Например, у того же Спрута опять косяк.
Для защиты от этого создайте пустой файл, назовите его index.php и поместите в каталог wp-content/plugins.
Да, тоже правило: устанавливайте обновления плагинов, т.к. в их старых версиях тоже часто содержатся ошибки безопасности.
Кстати, на момент прочтения этой статьи, вероятно, авторы указанных блогов уже закрыли эти уязвимости и по переходе по ссылкам в первом случае Вы получите ошибку 404, а во втором – пустую страницу. Это не значит, что я не прав. Это значит, что уважаемые блоггеры последовали моему совету.