Файлы wordpress в read-only обеспечат безопасность?
Привет всем
В определённые момент надоело чинить взлом wordpress:
обычно на хостинг заливают дрянь и рассылают спам/ДДОСЯТ/разворачивают сайты с дорвеями...
В общем я подумал, а почему не подойти комплексно?
Все файлы wordpress + темы+плагины сделать read-only. Все что можно будет записывать это - wp-content, который будет на другом диске(разделе) с правами без выполнения и дозаписи.
Тогда уязвимость может быть только в базе данных - можно записать страницу с кодом, которая атакует всех посещающих сайт или же администратора.
Вопрос: Насколько это увеличит безопасность? Какие еще атаки могут быть?
Ну эт понятно с одной стороны, но вопрос чуть-чуть в другом: если Я обновление wordpress и его плагинов буду делать и потом всю директорию с ним в RO? Обновление не через штатный механизм. Либо включить RW -> обновить -> RO.
Черт, писал долгую душещипательную историю как закрывался от китайцев.
Резюме:
проверяйте логи, например
cat /var/log/apache2/access.log | grep $(date +%d/%h) | grep "POST" | grep " 200 " | grep -v 'wp-cron' | grep -v 'wp-login'
Ищите файлы - обычно кладут очень много php, которые исполняют и вуаля - вы часть ботнета.
Если все файлы wordpress (php) будут в RO и будет плагин/внешнее ограничение логин-попыток? Насколько это сможет помочь в защите сайта?
Допустим Я сведу к миниму возможность залогиниться под администратором на блог wordpress и внедрить некий код в html.
База будет на 127.0.0.1, ftp -> выключен, почтовик в chroot.
В моем случае пользовались дырой с правами на запись. Прочими средствами не ломали. Родные файлы не модифицировали. Насколько может помочь? :) До первой проблемы. По умолчанию как-то создаст трудностей злоумышленникам.
"почтовик в chroot" - это как?
