synology.forum архив спільноти · 2005–2022
ai.synology.forum →
ГлавнаяУстановка, Загрузка и Настройка › WordPress, защита

WordPress, защита

Gu_ · 06.03.2015

При установке пакета WP со стандартных пакетах, через putty в файлах конфигурации WP вижу, что synology вмешалась в них и кое что поменяла.

 

Вопрос: нужно ли дополнительно защищать каталоги и файлы настройки файлами .htaccess или это уже предусмотрено при публикации сайта?

 

дополнительно, ворчу

++ довольно большой, но все же решаемый гимор получаем, если публиковать сайт на домене с https. в принципе вcегда так было с wp, но при вкл. виртуального хоста это можно было бы учитывать, ели в WP адрес сайта отличается от физического публикуемого

++ при остановке служб не нужно каждый раз перезаписывать файл висящий в корне сайта и говорящий всем, что служба отключена и что это все крутится на хосте ds synology. или опцию поставьте "сообщать об отключении" или если файл есть - не перезаписывайте. не безопасно и топорно.

++ "эта страница не найдена" при заходе на работающий или откл.сайт должно быть как опция в веб службе! не надо ничего отвечать если лезут не туда. это в крайнем случае настройками сайта можно сделать.

Тимур Рахимов · 06.03.2015

Скажите, а что за защиту вы имеете в виду? От чего защищаемся? Вам нетрудно будет привести пример? У меня как раз Wordpress на Synology и над многими вещами я уже думал, может быть, это уже у меня сделано. На «предусмотрено» (силами Synology) надеяться не приходится, я в конце концов отключил их конфигурацию веб-сервера Apache за ненадобностью, полностью заменив её своей.

 

Мне кажется, что ваше «ворчание» можно будет подсократить, если вы последуете моему примеру. В частности, никаких ошибок имени Synology у меня уже не выдаётся. И что за «гимор» вы имели в виду? Я ничего такого вроде не замечаю (но, правда, у меня и конфигурация не «из коробки», а руками настроенная).

Gu_ · 07.03.2015

Прю. Спасибо за ответ\вопрос.

 

К сожалению, даже поверхностно зная, что такое WP - сильно подозреваю, что тут, даже при установке его от SL дырки будут.

То, что они в конфиге явно удалили *** (и этим заведуют) и перенаправили (спорный момент) каталог - зачет.

 

На нем планирую развернуть довольно большой сайт (типа help или справки, без комментов и тп, т.е. только чтение), и вот потом мне очень не хочется с безопасностью возиться через несколько месяцев. Если нет, ща поправим, да, доверимся :) Ну и потом - в этом деле - бекапы наше все.

 

Я о том, что вот такие мелкие вещи стОит в каталогах управления делать или это как то контролируется?

 

//важная_папка

.ht..

Order Allow,Deny

#or d,a

Deny from all

Allow from 192.168.0.3

Allow from 192.168.0.4

 

ну типа, чтобы в админку только локально ну и др., ниже еще пару примеров

 

//роботов в корне

.ht..

User-agent: *

Disallow: /

 

//просто поиском с инета (да еще нароете поиском, на "wordpress защита" или вот, например http://habrahabr.ru/post/98083 )

.ht..

# защищаем wpconfig.php

<Files wp-config.php>

order allow,deny

deny from all

</Files>

#защищаем htaccess

<Files .htaccess>

order allow,deny

deny from all

</Files>

 

И это я даже про плагины молчу.

Просто, WP (не в обиду его разрабам) - текстовый файл, кто зашел, тот и пишет. Грамотно построить ограничения не просто. Вроде вот все закрыл, оп, новая дырка гдето в Теме. Ну и множество таких мелочей.

 

>> .. что за гимор

гимор такой, что если вы решили сделать сайт целиком на 443. если у вас их несколько, не проблема - открывает на ура как https://mysite.my/wordpress

а если сайтов (доменов) много и "/wordpress" не нужен? чтобы было https://mysite.my ? :) если 1 норм, а если 2 или более? https://mysite2.my/? https://mysite3.my/ и тп

даже если каталог (сайт физически 1 на DS).

 

>> я в конце концов отключил их конфигурацию веб-сервера Apache за ненадобностью

печаль, я не настолько в этом шарю. боюсь что-то поломать. элементарные вещи могу сделать, но это.. :)

 

вообщем хотелось бы админов или умных людей мнение, уже двоим интересна.

Тимур Рахимов · 07.03.2015

Общий принцип будет таким: если вы считаете нужным добавить какое-либо ограничение в конфигурацию веб-сервера, не сомневайтесь, добавляйте его сами (только, конечно, лучше не в .htaccess, а прямо в конфигурационный файл Apache — зачем вам лишние стеснения, раз уж вы за свои деньги полный админ на своём собственном сервере). Сама Synology за вас это, естественно, делать не будет (ну, разве что есть ещё брандмауэр и другие функции меню «Безопасность» веб-интерфейса DSM, смотрите сами, что вам там будет полезным из этих общих настроек, напрямую к веб-серверу отношения не имеющих).

 

Что касается нескольких сайтов на одном сервере (хоть Вордпресс, хоть что, и на порту 80, и на порту 443 — без разницы) — то с этим прекрасно справится такая вещь, как виртуальный хост, конечно. У Synology в веб-интерфейсе DSM есть возможность их добавить, но возможности манипулирования виртуальными хостами там чрезвычайно ограниченные, так что практически в любом случае гораздо полезнее будет обратиться к ручному редактированию конфигурационных файлов, по какому пути, собственно, и пошёл я. В сочетании с таким инструментом веб-сервера, как reverse proxy, возможности практически неограниченные: помимо любого числа собственных сайтов с различными доменными именами, можно обращаться точно так же (по стандартным портам 80 и 443) к самой DSM и другим веб-службам Synology. Вот здесь я уже немного писал об этом:

 

http://www.synology.forum/index.php?showtopic=6772

http://www.synology.forum/index.php?showtopic=6824

Gu_ · 07.03.2015

 

спасибо за ответ

 

Gu_ · 19.03.2015

разрабам написал, примерно так и ответили (в целом говорят, что версия защищена и юзать можно сразу, но дополнительные меры не помешают).

p.s. "ворчание" забрали в разработку :)

saibat111 · 02.08.2015

Ну вообще для защиты административной панели я бы вам наверное такую статью посоветовал почитать http://blog.sk8er.name/rabota/zashita-wp-admin.html В принципе там всё что надо написано, от себя могу добавить, что надо быть осторожным с этим делом, мало что там можно наковырять, особенно если ты новичок в этом деле)

clockot · 28.08.2016

Полезные решения, могу еще посоветовать вот такой вариант решения проблемы со спамом https://codeby.net/wordpress/kak-zashhitit-...press-ot-spama/ . Используя эти плагины можно максимально защитить свой блог от спама, по крайней мере на моем блоге такая система работает очень эффективно. Пока жалоб не было. Вообще наверное плагин Akismet лучший в этом роде, функционал и его возможности действительно впечатляют