Безопасность | что нужно удалить после установки?

Если бы что-то нужно было удалять, в инструкции по установке было б сказано.
А спать спокойно – это вряд ли. В любом софте есть "дыры", и расковырять публичный открытый ВордПресс… кому надо – сломают! Так что регулярно делаем экспорт.

А часто ломают?

Вот к примеру upgrade.php и install.php в папке wp-admin думаю что точно не нужны.
Но не уверен можно ли их удалить без вреда для сайта, скорее всего можно, но хотелось бы узнать, неужели ни кто не уделяет должного внимания безопасности своего сайта\блога?
Очень хотелось бы услышать любые рекомендации по безопасности.
Я например положил такой .htaccess в папку uploads чтобы могли оттуда запустить только рисунки.

<Files ^(*.jpeg|*.jpg|*.png|*.gif)>
   order deny,allow
   deny from all
</Files>

Вобщем давайте обмениваться в этом топике своим опытом по защите вордпреса 🙂

<Files ^(*.jpeg|*.jpg|*.png|*.gif)>
   order deny,allow
   deny from all
</Files>

кроме это сделай так чтоб при входе в http://mydomain.ru/wp-content/………итд. было Фобидден (запрещено)..

прописал так

Options -Indexes

неплохая тема,надо развивать 🙂

неплохая тема,надо развивать :-)

Отлично, но где рациональные предложения?
Чтобы обезопасить свой блог можно сделать очень простые манипуляции:
1. вовремя делать апдейт движка.
2. убрать номер версии
3. добавить файлик index.html в папку /wp-content/plugins/

пипл, топик создан ранее в FAQ – http://forum.maxsite.org/viewtopic.php?id=2046

На данный момент в паблике такие уязвимости WP:

WordPress Plugin BackUpWordPress <= 0.4.2b RFI Vulnerability
Wordpress Multiple Versions Pwnpress Exploitation Tookit (0.2pub)
WordPress 2.2 (wp-app.php) Arbitrary File Upload Exploit
Wordpress 2.2 (xmlrpc.php) Remote SQL Injection Exploit
Wordpress 2.1.3 admin-ajax.php SQL Injection Blind Fishing Exploit
Wordpress plugin myflash <= 1.00 (wppath) RFI Vulnerability
Wordpress plugin wordTube <= 1.43 (wpPATH) RFI Vulnerability
Wordpress plugin wp-Table <= 1.43 (inc_dir) RFI Vulnerability
Wordpress Plugin myGallery <= 1.4b4 Remote File Inclusion Vulnerability
Wordpress 2.1.2 (xmlrpc) Remote SQL Injection Exploit
Wordpress <= 2.0.6 wp-trackback.php Remote SQL Injection Exploit
Wordpress 2.0.5 Trackback UTF-7 Remote SQL Injection Exploit
Enigma 2 WordPress Bridge (boarddir) Remote File Include Vulnerability
WordPress <= 2.0.2 (cache) Remote Shell Injection Exploit
Wordpress <= 1.5.1.3 Remote Code Execution eXploit (metasploit)
Wordpress <= 1.5.1.3 Remote Code Execution 0-Day Exploit
Wordpress <= 1.5.1.2 xmlrpc Interface SQL Injection Exploit
WordPress <= 1.5.1.1 SQL Injection Exploit
WordPress <= 1.5.1.1 "add new admin" SQL Injection Exploit
WordPress Blog HTTP Splitting Vulnerability

так что смотрите какие у вас плагины версий 🙂 и обновились ли вы

Последний сплоит датирован 1 ноябрем 2007 года,так что баги находят…радует что в движке пока багов с критической уязвимостью нету,разве что для старых версий….

У многих современных хостеров обычно в панели управления предоставляется такая возможность выставлять пароли на каталоги… Password Protected Areas
выставляешь пароль и юзера, указываешь путь к папке… и всё! The password protection has been enabled successfully!

Скрипт автоматически прописывает все нужности в .htaccess + к нему свои файлики-ключики (у различных хостеров они свои личные)