Давно уже пользуюсь vps-хостингом, на котором хостятся мои сайты и сайты моих друзей, все сайты самописные, без всяких CMS.
История начинается с того, что захотелось мне заиметь блог, недолго думая выбрал готовую CMS, и сразу выбрал Wordpress, ибо пару раз сталкивался с ним, знакомые знакомых просили с ним что-то делать. Ну и вообще, на слуху название.
Сказано - сделано. Поставил Wordpress из коробки, из плагинов - потребовался только плагин для листания картинок и плагин для связывания сайта с яндекс мерикой, и плагин для кеширования. Да, спустя какое то время посыпался спам, и я настроил плагин, акисмет или как его, который вроде из коробки шёл.
И вот, случилось страшное - сайт был взломан, в него был помещён файл modx.php, который оказался оболочкой для управления сервером. Из которого можно было лазить по всем директориям, в том числе по соседним сайтам, в том числе по папке etc и др.
Первым делом пошёл искать замену вордпрессу, и был удивлён тому, что его все советуют, причём даже в более-менее серьёзные проекты. Я и раньше подозревал что он не безопасен, а когда столкнулся с дырой - убедился в этом еще больше.
В общем, у меня следующие вопросы:
1. Как запереть все файлы внутри папки с сайтом? Чтобы ничто не смогло проникнуть наружу и заразить соседние сайты и систему?
2. Как все пользуются вордпрессом так, чтоб как у всех тех, кто его советуют, т.е. чтоб не ломали? Я слышал что сам по себе он не особо дыряв, все дыры в плагинах, но как пользоваться им без плагинов?
Там апач, всё работает от www-data. И этому пользователю доступны все сайты для записи, и все остальные файлы для чтения. Как можно разграничить доступ, запустить несколько апачей? Такое вообще возможно? Или есть такие механизмы в апаче?
Нашёл модуль apache2-mpm-itk, он запускает каждый сайт под своим пользователем)
Осталось выбрать безопасную cms, или понять как пользоваться тем же ворпрессом, чтобы такого не происходило)
Для непрофи - поставьте панель управления shared-хостингом. Есть бесплатные.
Ваши сайты будут как бы сайты разных клиентов хостинга.
Панель настраивает сервер так, чтобы клиенты были изолированы.
Поставьте последнюю версию Wordpress, регулярно обновляйте (тем более, что там все очень легко и автоматизировано).
1. Допуск к серверу по IP с которых работаешь.
2. Права доступа к файлам и папкам правильно выставить
3. Плагины проверяющие и защищающие сайт. Бесплатные: Bulletproof security, Ithemes security, Wordfence Security; Платные: Swift Security Bundle. Покажут и расскажут, где у тебя дыры на сайте и как залатать. Знание буржуинского языка приветствуется.
4. Следить за обновлениями, как серверного ПО, так и самого движка и плагинов.
Простой
