Web | Записки системного администратора

Усиление безопасности WordPress с помощью .htaccess

Октябрь 16th, 2017

Evgeniy Kamenev

Как правило, изменения необходимо вносить в корневой файл .htaccces за исключением случаев, когда необходимо защитить отдельные каталоги(например, wp-content/uploads) По умолчанию корневой .htaccess в WordPress имеет вид

# BEGIN WordPress
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteBase /
RewriteRule ^index\.php$ - [L]
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule . /index.php [L]
</IfModule>
# END WordPress

1

2

3

4

5

6

7

8

9

10

# BEGIN WordPress

RewriteEngine On

RewriteBase /

RewriteRule ^index\.php$ - [L]

RewriteCond %{REQUEST_FILENAME} !-f

RewriteCond %{REQUEST_FILENAME} !-d

RewriteRule . /index.php [L]

</IfModule>

# END WordPress

Между строками, указанными ниже, никаких изменений не вносим # BEGIN WordPress # END WordPress Например, все строки будем добавлять после строки # END WordPress 1.Запрет доступа к […]

Опубликовано в рубрике Linux/Unix General, Security, Web

Метки: htaccess, security, wordpress

Комментарии отключены

Использование .htaccess

Июнь 23rd, 2017

Evgeniy Kamenev

Включение поддержки файла .htaccess Параметр,опредлеяющий имя файла .htaccess в конфигурационном файле Apache AccessFileName Например, для Debian/Ubuntu

# nano /etc/apache2/apache2.conf

1	# nano /etc/apache2/apache2.conf

AccessFileName .htaccess

1	AccessFileName .htaccess

Включение поддержки файла .htaccess возможно Либо в конфигурационном файле Apache – глобально для каталога, внутри которого размещаются все сайты. Например, для Debian/Ubuntu

# nano /etc/apache2/apache2.conf

1	# nano /etc/apache2/apache2.conf

<Directory /var/www/>
AllowOverride All
………
</Directory>

1

2

3

4

AllowOverride All

………

</Directory>

Либо в конфигурацаионном файле конкретного виртуального хоста Apache (что более предпочтительно) Например, для […]

Опубликовано в рубрике Web

Метки: htaccess, redirect, security

Комментарии отключены

Настройка Let’s Encrypt SSL-сертификата на Ubuntu/Centos

Апрель 9th, 2016

Evgeniy Kamenev

1.Установка Let’s Encrypt При использовании Nginx в качестве Web-сервера Установка git Ubuntu/Debian

# apt-get install git

1	# apt-get install git

Centos

# yum install git

1	# yum install git

# cd /usr/local/

1	# cd /usr/local/

# git clone https://github.com/letsencrypt/letsencrypt

1	# git clone https://github.com/letsencrypt/letsencrypt

# cd /usr/local/letsencrypt/

1	# cd /usr/local/letsencrypt/

Остановка Nginx, который прослушивает 80 порт. Перед генерацией сертификатов необходимо убедиться, что все имена домена(включая www-поддомен ,если он должен быть включен в сертификат), для которых генерируются сертификаты имеют запись типа А в ДНС. Также необходимо остановить […]

Опубликовано в рубрике Centos, Debian/Ubuntu, Web, Web, Web

Метки: https, let's encrypt, security, SSL

Комментарии отключены

Nginx — полезные мелочи (security, redirect)

Декабрь 22nd, 2015

Evgeniy Kamenev

Безопасность 1.Блокировка определенных User-Agents. Создаем файл с запрещенными User-Agent-ами

# nano /etc/nginx/blockuseragents.rules

1	# nano /etc/nginx/blockuseragents.rules

map $http_user_agent $blockedagent {
        default         0;
        ~*malicious     1;
        ~*bot           1;
        ~*backdoor      1;
        ~*crawler       1;
        ~*bandit        1;
}

1

2

3

4

5

6

7

8

map $http_user_agent $blockedagent {

default 0;

~*malicious 1;

~*bot 1;

~*backdoor 1;

~*crawler 1;

~*bandit 1;

}

Подключаем файл с запрещенными User-Agent-ами(вставляем перед секцией server)

include /etc/nginx/blockuseragents.rules;

1	include /etc/nginx/blockuseragents.rules;

Добавляем в секцию server запрет для указанных в файле User-Agents

server {
if ($blockedagent) {
   return 444;
  }
……
}

1

2

3

4

5

6

server {

if ($blockedagent) {

return 444;

}

……

}

Либо второй вариант. Например , защита от сканеров

server {
if ( $http_user_agent ~* (nmap|nikto|wikto|sf|sqlmap|bsqlbf|w3af|acunetix|havij|appscan) ) {
    return 444;
   }
}

1

2

3

4

5

server {

if ( $http_user_agent ~* (nmap|nikto|wikto|sf|sqlmap|bsqlbf|w3af|acunetix|havij|appscan) ) {

return 444;

}

Тестируем

# wget --user-agent "I am a bandit" http://example.com/index.html

1	# wget --user-agent "I am a bandit" http://example.com/index.html

2.Защита от HotLink. Для конкретного location

location /images/  {
# Или для определенных типов файлов
#location ~ .(gif|png|jpe?g)$  {
  valid_referers none blocked example.com *.example.com;
   if ($invalid_referer) {
     return   444;
   }
}

1

2

3

4

5

6

7

8

location /images/ {

# Или для определенных типов файлов

#location ~ .(gif|png|jpe?g)$ {

valid_referers none blocked example.com *.example.com;

if ($invalid_referer) {

return 444;

}

3.Защита от реферального спама. […]

Опубликовано в рубрике Linux/Unix General, Web

Метки: hotlink, Nginx, rewrite, security, SSL, user agent

Комментарии отключены

Настройка файла индексации robots.txt

Июнь 14th, 2015

Evgeniy Kamenev

Список существующих ботов/роботов http://www.robotstxt.org/db.html Проверка синтаксиса и структуры файла robots.txt Yandex https://webmaster.yandex.ua/robots.xml Google Webmaster tool->Сканирование->Инструмент проверки файла robots.txt https://support.google.com/webmasters/answer/6062598?hl=ru Директивы файла robots.txt

User-agent: *

1	User-agent: *

— означает, что правила, приведенные ниже, будут действовать для всех поисковиков.

Allow:

1

Allow:

— разрешено индексировать.

Disallow:

1

Disallow:

— запрещено индексировать.

Host: mysite.com

1	Host: mysite.com

— обязательно нужно указать основное зеркало. Ваш сайт открывается по […]

Опубликовано в рубрике Web

Метки: bot, robots, robots.txt

Комментарии отключены

Ускорение WordPress за счет кеширования в memcached с помощью плагина W3 Total Cache

Май 22nd, 2015

Evgeniy Kamenev

Установка memcached ранее рассматривалась Установка memcached в Ubuntu Установка memcached в Centos 1.Установка плагина w3 total cache через менеджер плагинов 2.Проверка/добавление наличие строки подключения плагина в файле wp-config.php

# cat -n /path_to_site/wp-config.php | less

1	# cat -n /path_to_site/wp-config.php \| less

1 <?php
2 /** Enable W3 Total Cache */
3 define('WP_CACHE', true); // Added by W3 Total Cache
4
5 /**

1

2

3

4

5

1 <?php

2 /** Enable W3 Total Cache */

3 define('WP_CACHE', true); // Added by W3 Total Cache

4

5 /**

3.Настройка Nginx виртуального хоста(включаем сжатие и определяем типы файлов для сжатия ) в http-секции

# nano /etc/nginx/conf.d/virtualhostname.conf

1	# nano /etc/nginx/conf.d/virtualhostname.conf

server {
..........
include /path_to_site/nginx.conf;
}

1

2

3

4

server {

..........

include /path_to_site/nginx.conf;

}

Проверка наличия файла nginx.conf в […]

Опубликовано в рубрике Nginx, Web, Web, Web

Метки: memcached, Nginx, w3 total cache, wordpress

Комментарии отключены

Защита wp-login.php от bruteforce-атак средствами Nginx

Февраль 3rd, 2015

Evgeniy Kamenev

1.Определяем имя(requests),размер(10m) зоны и кол-во запросов в секунду(1 запрос в секунду) Также определяем тип ошибки при срабатывании правил(по умолчанию стоит 503).Изменим статус на 444. Параметр limit_req_status можно указывать как глобально в секции http {..} , так и локально для конкретного location {..}. В данном случае указано глобально.

# nano /etc/nginx/nginx.conf

1	# nano /etc/nginx/nginx.conf

http {
…..
limit_req_zone $binary_remote_addr zone=requests:10m rate=1r/s;
limit_req_log_level warn;
limit_req_status 444;
}

1

2

3

4

5

6

http {

…..

limit_req_zone $binary_remote_addr zone=requests:10m rate=1r/s;

limit_req_log_level warn;

limit_req_status 444;

}

2.В вирт.хосте Nginx для WordPress […]

Опубликовано в рубрике Nginx, Security, Security, Web

Метки: bruteforce, Nginx, wordpress, wp-login.php

Комментарии отключены

Анализ Web-логов в реальном времени с помощью GoAccess

Ноябрь 18th, 2014

Evgeniy Kamenev

1.Установка необходимых зависимостей.

# yum install ncurses ncurses-libs ncurses-devel

1	# yum install ncurses ncurses-libs ncurses-devel

# yum install glib2 glib2-devel glib2-static

1	# yum install glib2 glib2-devel glib2-static

# yum install GeoIP GeoIP-devel

1	# yum install GeoIP GeoIP-devel

2.Скачивание и установка утилиты goaccess из исходников (через yum устанавливается устаревшая версия)

# wget http://tar.goaccess.io/goaccess-0.9.4.tar.gz

1	# wget http://tar.goaccess.io/goaccess-0.9.4.tar.gz

# tar xvfz goaccess-0.9.4.tar.gz

1	# tar xvfz goaccess-0.9.4.tar.gz

# cd goaccess-0.9.4

1	# cd goaccess-0.9.4

# ./configure --enable-geoip --enable-utf8

1	# ./configure --enable-geoip --enable-utf8

# make

1

# make

# make install

1	# make install

3.Создание резервной копии и настройка конфигурационного файла goaccess.conf

# cp /usr/local/etc/goaccess.conf /usr/local/etc/goaccess.conf~

1	# cp /usr/local/etc/goaccess.conf /usr/local/etc/goaccess.conf~

# nano /usr/local/etc/goaccess.conf

1	# nano /usr/local/etc/goaccess.conf

time-format %H:%M:%S
# Apache log date format. The following date format works with any of the Apache's log formats.
date-format %d/%b/%Y
# NCSA Combined Log Format
log-format %h %^[%d:%^] "%r" %s %b "%R" "%u"

1

2

3

4

5

time-format %H:%M:%S

# Apache log date format. The following date format works with any of the Apache's log formats.

date-format %d/%b/%Y

# NCSA Combined Log Format

log-format %h %^[%d:%^] "%r" %s %b "%R" "%u"

4.Использование GoAccess для анализа Web-логов Просмотр статистики и анализ Web-лога в реальном […]

Опубликовано в рубрике Centos, Nginx, Other, Other, Web, Web

Метки: apache, goaccess, Nginx, web logs parsing

Комментарии отключены

Nginx — настройка ограничения на кол-во подключений и количество запросов в единицу времени

Октябрь 11th, 2014

Evgeniy Kamenev

В Nginx есть возможность ограничить количество соединений с одного адреса(модуль ngx_http_limit_conn_module) и ограничить количество запросов в единицу времени с одного адреса (модуль ngx_http_limit_req_module)

ngx_http_limit_conn_module

1	ngx_http_limit_conn_module

— позволяет ограничить число соединений по заданному ключу, в частности, число соединений с одного IP-адреса.

ngx_http_limit_req_module

1	ngx_http_limit_req_module

– позволяет ограничить скорость обработки запросов по заданному ключу, в частности, скорость обработки запросов, поступающих […]

Опубликовано в рубрике Nginx, Web, Web

Метки: limit connection, Nginx

Комментарии отключены

Настройка Nginx для поддержки видеофайлов flv/mp4

Сентябрь 29th, 2014

Evgeniy Kamenev

1.Проверка поддержки Nginx-ом необходимых модулей

# Nginx -V

1	# Nginx -V

--with-http_mp4_module
--with-http_flv_module

1 2	--with-http_mp4_module --with-http_flv_module

2.Проверка подключения файла с расширением

# cat /etc/nginx/nginx.conf | grep mime

1	# cat /etc/nginx/nginx.conf \| grep mime

include       /etc/nginx/mime.types;

1	include /etc/nginx/mime.types;

3.Определение расширений

# nano /etc/nginx/mime.types

1	# nano /etc/nginx/mime.types

video/mp4                             mp4;
video/x-flv                           flv;

1 2	video/mp4 mp4; video/x-flv flv;

4.Активизация mp4 и flv псевдопотока + отключение сжатия

location ~ \.(mp4|flv)$ {
flv;
mp4;
mp4_buffer_size     4M;
mp4_max_buffer_size 10M;
gzip off;
gzip_static off;
}

1

2

3

4

5

6

7

8

location ~ \.(mp4|flv)$ {

flv;

mp4;

mp4_buffer_size 4M;

mp4_max_buffer_size 10M;

gzip off;

gzip_static off;

}

5.Тестирование(проверяем, что отсутствует сжатие )

# curl -I --header "Accept-Encoding: gzip,deflate" "http://<sitename>/path_to_videofile/file.mp4"

1	# curl -I --header "Accept-Encoding: gzip,deflate" "http://<sitename>/path_to_videofile/file.mp4"

HTTP/1.1 200 OK
Server: nginx
Date: Tue, 09 Sep 2014 12:57:47 GMT
Content-Type: video/mp4
Content-Length: 49123864
Modified: Tue, 09 Sep 2014 09:06:08 GMT
Connection: keep-alive
Accept-Ranges: bytes

1

2

3

4

5

6

7

8

HTTP/1.1 200 OK

Server: nginx

Date: Tue, 09 Sep 2014 12:57:47 GMT

Content-Type: video/mp4

Content-Length: 49123864

Modified: Tue, 09 Sep 2014 09:06:08 GMT

Connection: keep-alive

Accept-Ranges: bytes

Источник: http://www.nginxtips.com/optimizing-nginx-for-video-sites/ http://dragonflybsd.blogspot.com/2012/11/nginxmp4flv.html

Опубликовано в рубрике Web

Метки: flv, mp4, Nginx

Комментарии отключены

Архивы рубрики ‘Web’

Усиление безопасности WordPress с помощью .htaccess

Использование .htaccess

Настройка Let’s Encrypt SSL-сертификата на Ubuntu/Centos

Nginx — полезные мелочи (security, redirect)

Настройка файла индексации robots.txt

Ускорение WordPress за счет кеширования в memcached с помощью плагина W3 Total Cache

Анализ Web-логов в реальном времени с помощью GoAccess

Nginx — настройка ограничения на кол-во подключений и количество запросов в единицу времени

Настройка Nginx для поддержки видеофайлов flv/mp4

Страницы

Свежие записи

Архивы

Рубрики

Админ-панель