https://ssl.opennet.dev/openforum/vsluhforumID3/44434.html Небольшой дайджест по обеспечению безопасности WordPress и других PHP OpenSource приложений.<br>Рассмотрено, что можно сделать на среднестатистическом хостинге.<br><br>В общем, safe_mode включать нельзя. Это урежет все до безобразия. Вместо этого мы:<br><br> 1. Включим open_basedir<br> 2. Подтюним некоторые настройки php<br> 3. Выключим шелл вызовы<br> 4. Выставим нужные права на директории<br> 5. Для особых извращенцев, включим mod_security<br><br>Так же не стоит брезговать базовыми правилами безопасности WordPress (http://www.awmpage.com/2008/10/bezopasnost-wordpress/).<br><br>Включаем open_basedir<br>---------------------<br><br>Тут все просто. Три настройки в виртуалхосте:<br><br> php_admin_value open_basedir "/home/blogs/blog1.foobar.com"<br> php_admin_value upload_tmp_dir "/home/blogs/blog1.foobar.com/wp-tmp"<br> php_admin_value session.save_path "/home/blogs/blog1.foobar.com/wp-tmp"<br><br>Где "/home/blogs/blog1.foobar.com" - корень домена блога. Там необходимо создать директорию <br>"wp-tmp", дать ей права 777 и желательно в эту д https://ssl.opennet.dev/openforum/vsluhforumID3/44434.html#12 Wed, 15 Oct 2008 14:54:45 GMT Насчет php_admin_value "disable_functions"<br>бесполезно их писать в конфиге виртуалхоста, опция работает тока на весь php из php.ini.<br><br>А жаль...<br><br><br> https://ssl.opennet.dev/openforum/vsluhforumID3/44434.html#11 Wed, 15 Oct 2008 12:55:04 GMT прочитал. название не соответствует содержанию.<br>Ни о вордпрессе, ни о безопасности ничего связного и толкового нет.<br>низачОт.<br> https://ssl.opennet.dev/openforum/vsluhforumID3/44434.html#10 Wed, 15 Oct 2008 11:39:18 GMT &gt;так же не понятно, причем тут типовой хостинг... не один хостер не <br>&gt;позволит вам рестартнуть апач, произвести установку mod_security <br><br>В моей среде общения каждый более-менее средний вебмастер имеет свой сервер. Ну на крайний случай, VPS. А про виртуалы я и говорить то не хочу. Прошлый век.<br> https://ssl.opennet.dev/openforum/vsluhforumID3/44434.html#9 Wed, 15 Oct 2008 11:37:37 GMT &gt;Да много чего не будет работать при такой настройке. Причем непонятно чем <br>&gt;она помогает в плане безопасности. Если wordpress дырявый, или php, то <br>&gt;даже при таких настройках все можно поломать. <br><br>Аргументы? Как ты пролезешь через mod_security,open_basedir и выключенные шеллы. Вероятность заюзать эксплойт кое какая есть. SQL Injection на 95% не пройдет. Дырка с выполнением произовльного кода допустим есть. Ну и чего там такого опасного можно будет выполнить при текущих настройках?<br> https://ssl.opennet.dev/openforum/vsluhforumID3/44434.html#8 Wed, 15 Oct 2008 11:34:02 GMT &gt;Я только не понял, причём здесь Wordpress... <br>&gt;99% информации относится к обычной настройке <br>&gt;web-сервера безотносительно названия движка сайта. <br>&gt;<br>&gt;Что я могу сказать...ещё один пользователь поставил себе апач. Молодец. <br><br>Читай начало статьи - это не только для вордпресса. А вордпресс потому что SE трафика захотелось ) Про безопасность WP больше спрашивают<br> https://ssl.opennet.dev/openforum/vsluhforumID3/44434.html#7 Wed, 15 Oct 2008 11:32:08 GMT Да, с allow_url_fopen я погорячился, согласен. А вот allow_url_include действительно нужен<br> https://ssl.opennet.dev/openforum/vsluhforumID3/44434.html#6 Wed, 15 Oct 2008 08:01:31 GMT Да много чего не будет работать при такой настройке. Причем непонятно чем она помогает в плане безопасности. Если wordpress дырявый, или php, то даже при таких настройках все можно поломать.<br> https://ssl.opennet.dev/openforum/vsluhforumID3/44434.html#5 Wed, 15 Oct 2008 07:04:57 GMT Интересная и познавательная заметка, спасибо.<br>php_admin_flag allow_url_fopen off - если сделать эту настройку, то пинги и трэкбеки работать не будут, насколько я понимаю. Это недопустимо.<br> https://ssl.opennet.dev/openforum/vsluhforumID3/44434.html#4 Wed, 15 Oct 2008 05:58:51 GMT Вот и я про то!<br>