Насколько безопасный Wordpress?
Я думаю, что беспорядок вызывается тем, что люди не знают реальное приложение Шаблона "одиночка". Я не могу подчеркнуть это достаточно. Singleton не шаблон для обертывания globals. Шаблон "одиночка" должен только использоваться, чтобы гарантировать, что один и только один экземпляр данного класса существует в течение времени выполнения.
Люди думают, что Singleton является злой, потому что они используют ее для globals. Именно из-за этого беспорядка на Singleton смотрят вниз. Не путайте Одиночные элементы и globals. Если используется для цели это было предназначено для, Вы получите экстремальную выгоду из Шаблона "одиночка".
2 ответа
Я действительно не знаю, как определить, насколько это безопасно, но я могу рассказать вам несколько вещей об этом, которые должны помочь вам принять решение.
По умолчанию Wordpress делает это. не безопасный вход в систему, поэтому имена пользователей и пароли передаются в открытом виде. И большинство людей используют Wordpress таким образом.
Тем не менее, начиная с версии 2.6, вы можете принудительно использовать SSL для входа в систему, добавив это в свой wp-config.php:
define('FORCE_SSL_LOGIN', true);
Вы также можете выбрать принудительное использование SSL для всех административных задачи с использованием:
define('FORCE_SSL_ADMIN', true);
Это должно сделать его довольно хорошо. И независимо от версии, которую вы используете, вы всегда можете принудительно использовать SSL для администратора с помощью mod_rewrite:
RewriteRule ^/wp-admin/(.*) https://myblog.com/wp-admin/$1 [C]
И, если вам нужна другая папка для части SSL:
RewriteRule !^/wp-admin/(.*) - [C]
RewriteRule ^/(.*) http://myblog.com/$1 [QSA,L]
Это заставит все под wp-admin работать под SSL а все остальное принудили бы к "обычному" HTTP.
Также следует учитывать MySQL. Если ваш блог взаимодействует с MySQL через Интернет, вам нужно беспокоиться еще об одном. Однако большинство установок имеют MySQL внутри защищенной сети. Еще лучше, если MySQL работает на том же компьютере, что и веб-сервер, чтобы вы могли общаться, вообще не полагаясь на TCP / IP.
Это частично зависит от вашей модели угрозы. Если вы хотите вести собственный блог - это нормально, просто следите за обновлениями. Если вы защищаете данные пациентов, нет, это небезопасно. Многие люди кричат об этом, но, насколько мне известно, в самом WP какое-то время не было больших дыр в безопасности. Это плагины и неверные настройки.
Вы станете мишенью для людей, занимающихся взломом автомобилей, использующих один эксплойт на тысячах сайтов, пытающихся рассылать спам. Вот почему так важно быть в курсе обновлений. Но в целом это нормально для личного или даже корпоративного использования. Я бы порекомендовал его, вместо того, чтобы пытаться свернуть свой собственный.
Есть способы повысить его безопасность:
- заблокировать части, которые вам не нужны / использовать, такие как xml-rpc
- , оставайтесь на вершине обновления
- не t использовать плагины