В дополнение к курсу от Eduonix прошел аналогичный курс от Udemy, «WordPress Security for Beginners | How to secure WordPress».
WordPress Security for Beginners | How to secure WordPress
Рубрика: Безопасность
Learn Complete WordPress Security from Scratch
При очередном изучении MOOC List на предмет — чему бы полезному поучиться? — обнаружил курс на редкую тему по безопасности Вордпресса от индийской (Мумбай) обучающей конторы Eduonix, «Learn Complete WordPress Security from Scratch».
Еще о дорках
Кстати уж, коли речь зашла. Гугловские дорки — неисчерпаемый источник глупости и безалаберности. Например, с помощью intitle:»index of» phpinfo.php можно насладиться десятками тысяч вебсерверов с открытыми, как на вскрытии, внутренностями. Все мы, как говорится, не без греха, но не до такой же степени.
Google dorks для Вордпресса
Из многих, в том числе не очень приличных значений довольно-таки жаргонного слова dork в сочетании Google dorks наиболее подходящим будет — глупости, оплошности, проколы. А само сочетание можно перевести как «поиск проколов» или «запросы на засыпку».
Немного о фишинге
Можно сколько угодно заниматься защитой сайта на уровне CMS, веб-сервера или операционной системы, но все это будет напрасно, если у вас уведут домен. Заберут. Совсем, полностью. Перенесут на другой экаунт у регистратора, сменят хостинг. Как правило, для этого достаточно украсть у вас почтовый ящик, указанный в Whois.
Уязвимость WPS на Wi-Fi роутере
Закрывать ли доступ к Wi-Fi роутеру — дело хозяйское. В некоторых ситуациях он должен быть открыт. Но если вы занимаетесь разработкой, а уж тем более если критичной является безопасность, то Wi-Fi должен быть закрыт. Подключение к вашей рабочей сети позволит злоумышленнику оказаться пресловутым Man In The Middle (MITM), посредником, перехватывающим конфиденциальную информацию.
Политика безопасности может и подвести
Главное качество политики безопасности контента состоит в том, что она открыта. Её может увидеть, прочитать и проанализировать кто угодно. И чем это грозит?
Источники безопасного контента — Content Security Policy
Еще один механизм повышения защищенности HTTP заголовок Content Security Policy (CSP) позволяет задать список желательных источников контента. CSP устанавливает правила использования для изображений (img-src), шрифтов (font-src), фреймов (frame-src, заменен на child-src), медиа-файлов (media-src), внедренных объектов (object-src), стилей (style-src) и скриптов (script-src), а еще для Ajax-запросов (XMLHttpRequest) и вебсокетов (connect-src).
Дополнительная защита кук — флаг session.cookie_httponly
Кроме флага session.cookie_secure, обеспечивающего передачу кук по защищенному соединению, можно дополнительно усилить защиту, запретив броузеру оперировать куками посредством скриптов. Для этого предназначен еще один флаг session.cookie_httponly
Передача кук по защищенному соединению — флаг session.cookie_secure
Переведя сайт на работу по протоколу https, можно повысить его защищенность, обеспечив передачу кук только по защищенному соединению. Для этого в php есть флаг session.cookie_secure. Штатно флаг устанавливается в php.ini.