студия занимательная МИХАЛИКА
! Михалика - запросто с WordPress:
доступная ручная работа по правилам оптимального интернет(а)
Здравствуйте !

издатель:   в теме: Плагины WordPress - настройка
студия занимательная МИХАЛИКА

Обезопасить сайт: плагин iThemes Security — раздел тонкая подстройка системы. Возможные конфликты…

Многие администраторы сайтов используют плагин iThemes Security для защиты своего ресурса, и это справедливо оправданно. Но не многие знают о целесообразностях его важных настроек…

Ниже дам скрины, и постараюсь подробнее пояснить способы и цели раздела «тонкие настройки системы».

Дело вот в чём: админы продолжают защищать сайт используя коды из сети, однако, те — безнадёжно устарели, в том плане, что важными настройками безопасности сайта располагает сам плагин.

Да и к тому же способствует выявлению некоторых ошибок, например: конфликт с «закрываним» ссылок в скрипт AJAX. А это оч. важный момент!

Акуна матата:


 

iThemes Security — тонкая подстройка системы

 

 

 

Фотки кликабельны: можете открыть в новом окне и изучить (я некоторые пункты технически перевёл). Это для тех, у которых плагин ещё не установлен.

 

 

Как видите, есть замечательное предупреждение разработчиков о возможных конфликтах! Однако на это мало кто обращает внимание — а в процессе работы с сайтом терпит бедствие.

 

 

Сделаем так: я немного поясню по первым пунктам настроек Security, а вот на наиболее важных остановлюсь подробнее.

 

 

 

тонкая подстройка системы

 

 

 

Защита системных файлов —

 

 

запрещает доступ к вспомогательным текстовым файлам системы вордпресс типа readme.html и license.txt и т.п, которые, как правило, продвинутые пользователи сайтов удаляют после установки cms.

А вот эти .htaccess и wp-config.php (хотя и упомянуты в тексте описания настройки), конечно же удалять не следует: это необходимые для работы сайта файлы. А вот обезопасить доступ к ним сторонних товарищей  — очень даже нужно!

Вероятно словесный ляп перевода: эти файлы не нужны пользователям интернета после установки — да — НЕ НУЖНЫ НО !! только читателям вашего сайта, для работы сайта очень даже и нужны…

 

 

Вообще, некоторые из настроек плагина, на мой взгляд, правильнее делать вручную (непосредственно пропиской кода в файлы) как это делается… и как обезопасить сайт от взлома, читать здесь.

Предположим: мошенник заимел доступ к Базе Данных вашего сайта, следовательно, он имеет возможность «запросом к бд» отключить все плагины ресурса: вряд ли стоит говорить, что в этом случае настройки защиты сайта связанные с плагином пропадут. Об одном таком «промахе» расскажу ниже.

Вот так вот.

 

 

 

Отключить просмотр каталогов —

 

 

это понятно по тексту на фото: например в каких-то созданных лично вами папках для личных нужд, зипах каких-нить…

 

 

Отсеивать методы запроса —

 

 

оч. вероятно, что следует этот чекбокс отметить, ибо api и всякие wp-json используют немногие. Подробнее об api, читать как удалить ссылку wp-json в шапке сайта и многое другое такое — wp_head…

 

 

 

 

Отсеивать подозрительные запросы в УРЛ —

 

 

этот пункт, в общем полезен, но в частном случае решается только тестированием работы сайта.

 

 

Всё необходимое, на ваш взгляд, для защиты сайта смело отмечаем «галочками»!

 

А вот пункт «Фильтр не-английских символов» на ваш выбор.

 

 

 

Далее самое интересное!

 

 

 

Отключить выполнение PHP в каталоге шаблона сайта

 

 

 

 

отключить выполнение php в каталоге тем

 

 

 

Отсеивать длинные УРЛ —

 

 

познакомьтесь сами с этой настройкой. Думаю, подобные пышки добавлены до кучи в консоль управления плагином iThemes Security, и с этими утончёнными настройками следует разбираться в процессе управления площадкой.

 

 

 

Удалить разрешение на запись файла —

 

 

поставьте «птичку» в чекбокс. Хотя и эта настройка, возможна правкой файлов… (ссылка выше — как обезопасить сайт от взлома)

 

 

 

Отключить PHP в папке Uploads —

 

 

Этой настройкой возможно отключить выполнение PHP в каталоге загрузок (папка uploads — медиафайлы) — блокирует злонамеренные запросы на загрузку PHP в файлы каталога.

…возможна правкой файлов…

 

 

Disable PHP in Plugins

 

 

Отключим выполнение (или отработку, кому как удобнее в этом случае воспринимать) PHP в директории плагинов (папка plugins).

Это блокирует запросы к PHP-файлам внутри модулей ваших каталогов, которые могут быть использованы взломщиками напрямую.

…возможна правкой файлов…

 

 

И самое интересное (которое и побудило меня написать эту статью)

 

 

Disable PHP in Themes

 

 

Научимся отключать выполнение (или исполнение) PHP в каталоге-директории шаблона сайта.Очень важная примочка!

Эта пышка отрубит запросы к исполнению php в файлах внутри шаблона, блокируем использование взломщиком скрипта напрямую.

…возможна правкой файлов…

 

 

 

Покажу ради примера небольшой кодик в файле .htaccess, который нужно бы создать в директории темы, хотя всё же советую пройти по ссылке выше и изучит мануал о том как защищать сайт на wp, оч. рекомендую!

 

Этот пример равнозначен «галочке» запрета отработки php кода внутри каталога шаблона:

 

 

# запрет исполнения php
<Files *.php>
deny from all
</Files>
# запрет исполнения php

 

 

 

Моральное отступление и завершение:

 

Не так давно ко мне обратилась одна дама: «Скажите, а отчего у меня на сайте пропадают кнопки соцсетей и реклама Google, как только отмечаю галочку Disable PHP in Themes? Опасно ли не отмечать этот пункт…»

 

Пришлось взглянуть на код её сайта:

как и предполагал, — в коде сайта установлена плюшка что называется скрытие ссылок в скрипт ajax социальных кнопок и блоков рекламы, к примеру…

 

Делается это просто: (вкратце расскажу на примере блока рекламки)

 

 

 

 

как скрыть от индексирования ссылки в скрипт AJAX

 

 

 

 

Внутри шаблона создаётся папка, скажем — ajax. В неё помещаем, например, такой файл ajax-reclamy.php в котором записано:

 

 

<?php require_once("../../../../wp-config.php"); ?>
<?php my_add_post (); ?>

 

 

В футер footer.php помещается строка вызова отработки этого файла.

 

<script>(function($){ $(function(){$("#reclam").load("//домен.ru/wp-content/themes/шаблон/ajax/ajax-reclamy.php");})}) (jQuery)</script>

 

 

И всё что остаётся делать, так это поместить нужный блок рекламы в такую функцию (в файле же функций активной темы) и вызвать в нужном месте активной темы:

 

 

/*** КОД рекламы в финале статьи reclamy ***/
function my_add_post()
{
echo ' СКРИПТ БЛОКА РЕКЛАМЫ ';
}
/*** КОД рекламы в статье reclamy ***/

 

 

Вызывать исполнение (обратите внимание — исполнение) ОТОБРАЖЕНИЕ БЛОКА РЕКЛАМЫ на страничках сайта, так:

 

Прописываем примерно такие строки в файле post-single.php или post.php, или single.php у кого как-с… в оптимальное место для отображения блока на сайте.

 

 

<!-- noindex --><div class="reclamy"><div id="reclam"></div></div><!--/ noindex -->

 

 

<div id="reclam"></div> — этот див ни что иное, как выполнение заданного кода в файле функций через файл ajax-reclamy.php (всё это мы задали показанными манипулами))

 

Обратите внимание на строку для файла подвала!

 

DIV reclamy — произвольный селектор css — ваши стили.

 

 

К сведению:

Если после скрытия блока в скрипт аякс взглянуть на исходный код страницы (статьи) где заданы эти блоки, то — никакого скрипта блока рекламы google или иной какой благодати не увидите, — в коде будет красоваться такая же строка как и в файле post-single.php (показана выше) — однако — блоки на страничках сайта будут замечательно отображаться…

Приблизительно такой эффект и называется понятием «скрыть в скрипт».

 

 

 

…финал морали:

 

Если у вас на сайте используется закрытие ссылок или каких-нить блоков «в скриптик» и вы проставите галочку в пункте «Disable PHP in Themes» или запретите отработку PHP в файлах шаблона посредством созданного .htaccess — не важно, всю эту отработку скрипта вместе с «отработкой» кода взломщика система вордпресс отрубит, посчитав это за охальный взлом.

А именно в принципе показанный выше вариант некоторым образом и иллюстрирует «исполнения php» или отработку…

 

В общем на этот отруб сия настройка и рассчитана. И очень правильно!

 

Так что имейте в виду: что вам дороже — безопасность сайта или в некоторых моментах надуманная опасности линков..?

 

 

О минусах конкретно этого способа скрытия ссылок (в неких полезных блоках) и говорить нечего, это очевидно! …все ровно что выстроить округ дома забор и с любовью примастырить лазеечку))

Кратко же: в работе сайта — это дыра!

 

 

Я специально этому способу АЯКС и не посвящал отдельную статью: способ, мягко говоря, спорный! Хотя и имеет место быть в разработках сайта — всё в зависимости от целей…

 

Так что не сочтите за труд — делитесь этим постом с другом в соцсетях, может эта статья ему в чём-то поможет.

 

 

Итак — прежде чем пользоваться всем что ни поподя из кодировок, думается, владельцу сайтов следует уделить время и разобраться в упор в принципе механики блога/сайта!

 

…Или спросить: есть же комментарии…

 

 

А вот варианты ajax, которыми можно пользоваться прикрывая ссылки в своих статьях но некоторые нюансы всё-таки есть !!

 

 


подписка feedburner МИГ подписки - ВРЕМЯ знаний!!


!..подписываясь на обновления mihalica.ru
...расстаёмся с невежеством..!


 


Если что-то не ясно, спрашивайте. Помогу… в чём дюжу.
Вместе мы многое сможем! Берегите себя и свой век - mihalica.ru


Нажатия на кнопочки определяют Ваше высокое гражданское сознание
Удачи в работе и творчестве..!


меточная навигация:


Комментарии © 0 к статье: Обезопасить сайт: плагин iThemes Security — раздел тонкая подстройка системы. Возможные конфликты…

Поделитесь соображениями: Ваши мысли очень важны! $ правила комментирования ©

Ваш e-mail не будет опубликован. Обязательные поля помечены *