Нестандартное обеспечение безопасности в WordPress

0

2

Ситуация такая: друг попросил сделать ему блог. Друг плохо разбирается в технической стороне этого дела и в один день я ему просто показал разные движки, запущенные на локалхосте + несколько онлайн-вариантов типа блогспота.

Самым легким для него оказался WordPress(тот который не SaaS). Взяли недорогой VPS я поставил туда LAMP и установил WordPress. Вроде бы все ок, но...

Насколько я знаю, иногда в WordPress-e находят баги и толпы скрипт-киддеров ломают 9500 сайтов. Не хотелось бы, чтобы и этот блог взломали, поэтому я решил хоть как-то подстраховаться.

Я написал простой демон, который следит за тем, чтобы в папке с WordPress-ом не менялись файлы(даже в папке upload, который не используется), а если поменялись, то сразу удаляет и заменяет всё оригинальной версией + шлет письмо и смс об инциденте.

Это поможет защититься от XSS и PHP-include-инга.

Как защитить WordPress от SQL-инъекций я не знаю. Есть какие-нибудь оригинальные идеи?

Ссылка

←	Аналог Home End без якорей и чтобы замки, эльфы, AJAX.

Обмен сообщениями с браузером

→

>> Как защитить WordPress от SQL-инъекций я не знаю. Есть какие-нибудь оригинальные идеи?

использовать static HTML люк =)

MikeDM ★★★★★
(07.09.11 11:10:26 MSK)

Ответ на: комментарий от MikeDM 07.09.11 11:10:26 MSK

Любое усложнение эксплуатации WordPress невозможно - друг просто не разберется.

Есть какие-нибудь варианты, чтобы также написать какой-нибудь демон для SQL-инъекций?

~~Sosiska~~
(07.09.11 11:15:52 MSK) автор топика

Ссылка

> простой демон, который следит
зачем?!?!
find . -type d -exec chmod 555 {} \;
find . -type f -exec chmod 444 {} \;

Как защитить WordPress от SQL-инъекций

переписать в нем всё на pdo :3

anonymous
(07.09.11 11:17:19 MSK)

Ответ на: комментарий от anonymous 07.09.11 11:17:19 MSK

find . -type d -exec chmod 555 {} \;
find . -type f -exec chmod 444 {} \;

Ну и как это поможет от php-includ-инга? Предположим, что хакир, как-то внедрил код в WordPress. Если файл имеет права 444, то он php его исполнит при require()! Я уже не говорю о том, что команда find . -type f -exec chmod 444 {} \; сделает неработоспособным wordpress.

~~Sosiska~~
(07.09.11 11:28:36 MSK) автор топика

Ответ на: комментарий от Sosiska 07.09.11 11:28:36 MSK

а разве прав только на чтение недостаточно для include/require и запуска похэпэ-скриптов?

anonymous
(07.09.11 11:34:31 MSK)

Ответ на: комментарий от anonymous 07.09.11 11:34:31 MSK

>а разве прав только на чтение недостаточно для include/require и запуска похэпэ-скриптов?

Проверил сейчас на хостинге с FastCGI - запускает. пичаль.

~~Sosiska~~
(07.09.11 11:40:31 MSK) автор топика

Ответ на: комментарий от anonymous 07.09.11 11:34:31 MSK

но это все равно не пожет от SQL-injection. Есть идеи кроме как переписать все на pdo? ;)

~~Sosiska~~
(07.09.11 11:41:47 MSK) автор топика

Ссылка

Ответ на: комментарий от Sosiska 07.09.11 11:40:31 MSK

еще можно дать другого овнера файлам и директория, т.е. отличного от того который исполняет пхп

а защита от sql-инъекций делается посредством сурового инспектирования *всего* кода вордпресса на предмет неиспользования экранирования (mysql_real_escape_string или что у них там модно) при передаче переменных в sql-запросы

anonymous
(07.09.11 11:47:38 MSK)