Форум Maxi-Forum.ru intimSHOP.ru

Вернуться   Форум Maxi-Forum.ru > Форум Web - мастерская > Скрипты > FAQ по настройке CMS

Ответ
 
Опции темы
Старый 26.03.2008, 20:49   #1
vloedmuur
Гость


Wordpress FAQ

Руководство по установке Wordpress

В наступившем году я все-таки решил завести себе личный блог на отдельном домене. Дальше я подробно опишу сколько сил и времени это у меня потребовало. Надеюсь, что данный пост поможет всем, кто хочет обзавестись собственным блогом.
Выбор движка

Я большой фанат всего гибкого и открытого, так как сочетание именно этих двух качеств привлекает к любому продукту огромное сообщество. Такими качествами может похвастаться Wordpress. Русский дистрибутив последней версии я скачал с http://mywordpress.ru/download/. Хотел бы выразить огромную благодарность всем людям, которые продвигают этот прекрасный движок на бескрайних просторах рунета.
Выбор хостинга

С выбором хостинга особых проблем тоже не возникло. Я сделал свой выбор в пользу .masterhost и не прогадал. Основные преимущества данного хостинга:
Огромное количество скидок и бонусов. Так при оплате хостинга за 12 месяцев скидка составляет 20%.
Оплатив хостинг на срок от 6 месяцев вы получаете домен в подарок. Это не может нас не радовать, так как главная наша цель - это обзавестись блогом на личном домене.
Отличная документация, которая позволяет решить большинство проблем без обращения в службу поддержки.
Толковая панель управления.

Отдельно хочется отметить скорость и качество работы компании .masterhost. Каждое значительное событие в жизни домена и хостинг-площадки сопровождается уведомлением на email. Менее чем через сутки мне пришло письмо с сообщением о том, что все необходимые приготовления завершены. Приятно работать с профессионалами своего дела.
Заливка на хостинг

Теперь когда наш домен появился в сети, можно приступить к установке блога. Для установки нам потребуется доступ к хостингу по ftp. В качестве ftp клиента я использую FireFTP. Вся необходимая информация для доступа по ftp должна содержаться в письме, которое присылает .masterhost.

Для собственного удобства я переименовал папку /worpdress в /blog. Теперь остается залить все это богатство на хостинг по ftp.

Настройка БД

В дистрибутиве есть файл wp-config-sample.php. Этот файл надо переименовать в wp-config.php, а затем внести в него следующие изменения.

define(’DB_NAME’, ‘uXXXXX’); // Имя базы
define(’DB_USER’, ‘uXXXXX’); // Имя пользователя базы
define(’DB_PASSWORD’, ‘пароль к базе’); // Пароль пользователя
define(’DB_HOST’, ‘uХХХХХ.mysql.masterhost.ru’); // Имя хоста с БД. localhost не подойдет!

Все эти параметры так же следует искать в письме от .masterhost. Скопируйте получившийся файл на сервер. Теперь остается открыть адрес http://your-host.ru/blog/ и ввести имя блога и свой email.

МЫ это сделали!

Проблемы с установкой в поддиректорию

Для того, чтобы не захламлять корень своего сайта(может еще что-нибудь туда поставлю ), я установил блог в поддиректорию blog. Но при такой установке блог открывается только по адресу http://your-host.ru/blog/. А нам хочется, чтобы он был доступен по http://your-host.ru. Решением этой проблемы мы и займемся. Отправляемся на страницу настроек блога Настройки -> Общие. Там есть два параметра Адрес WordPress (URL) и Адрес блога (URL). Пока они имеют одинаковое значение - http://your-host.ru/blog/.

Адрес WordPress (URL) - это адрес, где установлен Wordpress.

Адрес блога(URL) - это адрес, по которому доступен блог.

Смело изменяем значение параметра Адрес блога(URL) на http://your-host.ru. Сохраняем настройки.

В локальной копии дистрибутива находим файл index.php. Он должен содержать следующие строчки.

<?php
/* Short and sweet */
define(’WP_USE_THEMES’, true);
require(’./wp-blog-header.php’);
?>

Чтобы наш блог заработал “от корня” нам нужно скопировать этот файл в корень сайта, заменив require(’./wp-blog-header.php’); на require(’./blog/wp-blog-header.php’);

После этих манипуляций наш блог станет доступен по адресу http://your-host.ru.
Проблемы с загрузкой файлов

Для того чтобы загрузка файлов не омрачалась сообщениями об ошибках, надо дать на директорию /you-host.ru/www/blog/wp-content/uploads права 777. В FireFTP это делается с помощью диалога Properties (пунк контекстного меню Properties или Ctrl+P)

Авторство Андрей Гаевский

Безопасность WordPress. Краткое руководство
Череда последних обновлений WordPress показывает, что хакеры довольно пристально следят за развитием «движка». Можно конечно обвинять в этом разработчиков, но любой, кто имеет хотя бы поверхностные знания в программировании, знает, что абсолютно защищенных программ не существует. Для того, чтобы программа стала максимально безопасной, требуется её массовое тестирование. Только в этом случае можно исправить все баги и «дыры».

Нужно отдать должное разработчикам WordPress: они очень оперативно исправляют все проблемы безопасности. Для нас, пользователей, это выражается в периодическом обновлении файлов на сервере. Это не очень удобно, особенно если происходит так часто.

Однако, безопасность блога зависит не только от WordPress. Нужно понимать, что это комплексное решение, которое зависит еще и от сервера, и от ваших действий.

Сервер

Даже если хакер обнаружил «дыру» в WordPress'е и решил ей воспользоваться, то для внедрения своего кода может попробовать изменить на сервере файл «родного» скрипта на свой.

В большинстве случаев, для того, чтобы переписать файл на сервере, нужно изменить его права. Обычно на файлы установленны 644 (изменение файла разрешено только владельцу). Первым делом хакер будет изменять права так, чтобы изменять файл можно было бы всем (666). Делается это с помощью php-команды chmod. Поэтому, для того, чтобы избежать такой ситуации, хостер отключает выполнение этой команды в php-скриптах.

Такой способ создает некоторые неудобства для легального пользователя, поскольку для изменения прав нужно использовать FTP. Но, с другой стороны, тех скриптов, которые требуют полный доступ не так уж и много. Для WordPress'а это каталоги uploads, caсhe и backup. Так, что их достаточно настроить один раз.

Другими php-командами, которыми может воспользоваться злоумышленник, являются команды операционной системы (например exec). Очень часто хостеры также отключают их, поскольку здесь речь идет уже о безопасности всего сервера.

Как вы можете изменить установки сервера? Никак. Всё, что вы можете сделать, так это обратиться к хостеру и уточнить у него эту информацию.
Пароли

При установке WordPress создает пользователя «admin» с паролем из 6 символов. Изменить логин уже невозможно, а вот пароль лучше всего сменить на что-нибудь более длинное.

С точки зрения безопасности, WordPress делает правильно: сам пароль не хранится в открытом виде, а шифруется с помощью md5 (название алгоритма). Причем такое шифрование необратимо, то есть зная зашифрованную строку (хэш), у вас нет способа его раскодировать. После того, как вы вводите свой пароль, WordPress его также кодирует и уже после этого сверяет с тем, что хранится в базе.

Поэтому, даже если злоумышленник получит зашифрованную строку, то для того, чтобы её расшифровать использует различные методы, один из которых подбор по словарю. Хакер может заранее сгенерировать хэши и уже после этого сравнить с хэшем жертвы.

В данном случае проблема заключается именно в малой длине пароля. Если же вы увеличите его длину до 15-20 символов, то вероятность его подбора сведется практически к нулю.
Способ запоминания паролей

Если ваш пароль «admin», «wordpress» или собственное имя пусть даже и с вариацией года рождения, то знайте, что ваш пароль можно подобрать, ориентируясь лишь на эти данные. Понятно, что такой пароль просто запомнить, поэтому я предлагаю вам способ для запоминания сколь угодно длинных паролей.

Суть его очень проста.
Придумайте легко запоминающуюся фразу, например строчку из песни, пословицы, поговорки. Длина должна быть 10-20 символов, исключая пробелы. Возьмем для примера: «Мы ребята не зазнайки».
Наберите эту фразу в английской расскладке: уберите пробелы и всё в нижнем регистре. Наш пример: «vsht,znfytpfpyfqrb».

Как видите мы получили вполне приличный пароль, который легко набрать, зная ключевую фразу. Главное не используйте букву «э», поскольку это соответствует одиночной кавычке, и вряд ли будет разрешено системой.

Для того, чтобы уложнить алгоритм, вы можете добавить цифры, или использовать «сдвиг клавиш», например вместо «п» набирать «а» или вместо пробела - «ч». При такой способе вы можете вообще хранить исходную фразу в открытом виде.
Регистрация пользователей

Я до сих пор не понимаю тех, кто требует принудительную регистрацию на блоге ради комментирования. Это противоречит здравому смыслу и несет опасность блогу.

Дело в том, что WordPress использует одну админ-панель для всех. Для распределения полномочий используется уровень доступа, который выставляется админом. Но главное здесь в том, что получив доступ к админ-панели даже с минимальным уровнем, злоумышленник может воспользоваться предустановленным скриптом-плагином. Теоретически WordPress должен блокировать любое выполнение плагина, если его уровень не соответствует заданному. Но многие плагины написаны таким образом, что принимают данные GET или POST без проверки уровня пользователя.

В этом случае, злоумышеник может найти «дырявый» скрипт, сформировать соответствующим образом запрос и выполнить его. Если вы помните, то нечто подобное уже случилось с популярным плагином бэкапа базы данных.

На самом деле здесь нет особой вины ни WordPress, ни плагинописателей: так уж случилось, что многие плагины выполняются не в функциях, а сразу при вызове файла скрипта. Если бы изначально была принята модель работы через классы, то этот вопрос вообще не стоял бы на повестке дня.

Так, что если у вас стоит разрешение на свободную регистрацию, то вероятность взлома сайта гораздо выше.
Отключите плагины

Если у вас установлено множество плагинов, то вряд ли вы их все используете. Поскольку они могут содержать потенциальную угрозу взлома, то держать их активированными и бессмысленно, и опасно.

Если же вам какие-то плагины нужны, но используете вы их не часто, то активируйте их непосредственно перед работой.
Версии

Возможно, что вашим сайтом может заинтересоваться грамотный хакер, который воспользуется неизвестной «дырой». Однако, многие «хакеры» (в кавычках) имею слабое представление о программирование и все их действия сводятся к тому, чтобы получить «эксплоит» («сплоит»/sploit) - скрипт использующий уязвимость. Обычно это делают ради того, чтобы «насолить» владельцу блога по какой-то личной причине.

В этом случае злоумышленник действует достаточно стандартно: выясняется версия WordPress и после этого к нему ищется «сплоит».

Поскольку разработчики WordPress весьма щепетильны к безопасности, то найденные «дыры» закрываются быстро. Но здесь мы сталкиваемся с проблемой обновления владельцем сайта. По разным причинам с этим не спешат, и, соответственно, блог становится уязвим. Поэтому для того, чтобы запутать следы злоумышленнику, можно обновить только один файл: «wp-includes/version.php». В нем нужно исправить только одну переменную $wp_version: укажите последнюю версию WordPress (только помните о двух «линейках» - 2.0.* и 2.1.* - некоторые функции проверяют версию, поэтому используйте свою!!!

Конечно же таким способом реально не защититься, поскольку уязвимость осталась, но злоумышленнику придется уже повозиться с определением версии WordPress. Можно указать несуществующую версию, например 2.3 или вообще убрать отображение версии, но на мой взгляд лучше пустить по ложному следу.
Чужой компьютер

Тут скорее всего рекомендация будет общего характера. Если вы работаете со своим сайтом на чужом компьютере (например на работе), то после завершения работы обязательно разлогинтесь (ссылка «Выйти»). В этом случае будут очищены куки (cookies), в которых хранятся данные доступа. Также не сохраняйте данные заполненных форм: да, это неудобно, зато безопасно.

Если вы пользуетесь нормальным браузером, а не уродом-IE, то можете автоматически очищать все секретные данные. Например в FireFox можно установить опцию «Приватность -> При закртытии FireFox всегда удалять мои личный данные» или воспользоваться кнопкой «Очистить сейчас...». После очистки вы будете уверены, что данные были удалены и ими никто не сможет воспользоваться.
Оригинал на _http://maxsite.org/bezopasnost-wordpress-kratkoe-rukovodstvo

Поскольку материал взят из открытого доступа копирайты сохраняю

Последний раз редактировалось vloedmuur; 26.03.2008 в 21:10..
  Ответить с цитированием
Ответ

Метки
wordpress, мануал wordpress

Опции темы

Ваши права в разделе
Вы не можете создавать новые темы
Вы не можете отвечать в темах
Вы не можете прикреплять вложения
Вы не можете редактировать свои сообщения

BB коды Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.


Похожие темы
Тема Автор Раздел Ответов Последнее сообщение
Плагины для блого-движка wordpress vloedmuur Модули, плагины для cms 0 26.03.2008 20:42



Часовой пояс GMT +4, время: 05:28.

Powered by vBulletin® Version 3.8.1
Copyright ©2000 - 2018, Jelsoft Enterprises Ltd. Перевод: zCarot
Rambler's Top100