Сайт о телевидении

Достаточно часто на сайтах включена опция просмотра содержимого директорий. Иными словами: пользователю доступен список всех файлов и директорий при обращении вида . Вот так он может выглядеть:

В чем же заключается опасность такой конфигурации? Такой вопрос часто задают пользователи нашего сервиса , который умеет определять такие директории.

Давайте рассмотрим это на примере нашумевшей уязвимости в плагине Revolution Slider , которая была обнаружена и активно использовалась злоумышленниками этим летом. Она позволяла за один запрос получить содержимое любого файла в контексте блога на WordPress. Логично, что все нацеливались на файл wp-config.php, который содержит конфиденциальную информацию (более подробно об этом файле вы можете прочитать в ).

Подавляющее большинство сайтов, на которых был установлен этот плагин, злоумышленники получали из Google, вот таким запросом inurl:/wp-content/plugins/revslider/ .

Роботы поисковой системы смогли проиндексировать директорию, в которой перечислены все установленные плагины.

Давайте убедимся, что все результаты получены исключительно для тех сайтов, где открыт листинг . Запрос inurl:/wp-content/plugins/revslider/ «index of» попросит Google вернуть только те результаты, где встречается фраза «index of» (характерный признак открытых директорий).

Как мы видим, количество результатов только увеличилось. Таким образом, в первую очередь под удар попадают сайты с таким недостатком конфигурации.

А теперь представим себе следующую картину: через неделю исследователи найдут серьезную уязвимость (скажем sql-инъекцию) уже в другом плагине. И в этом случае первыми в списке массового взлома окажутся подобные сайты. Google знает, какие плагины у них установлены. Остается его только спросить об этом 🙂

Ну как, мы вас убедили, что «открытые» директории это плохо ?

А теперь пару слов о способах защиты. Не думайте, что использование robots.txt даст надежную защиту. У злоумышленников все равно останется возможность узнать список плагинов за один запрос.

Лучше всего разместите в корне сайта файл .htaccess (если его там еще нет) и поместите туда следующую строчку:

Options All -Indexes

Проверьте, что ваш сайт поддерживает использование файла .htaccess . А теперь обратитесь к директории с плагинами (http://site.com/wp-content/plugins/ ). Если вы увидите пустую страницу или фразу Forbidden , то все в порядке.

В настоящее время резко возросло количество успешных атак на сайты, построенные на основе cms WordPress. Связано это с огромной популярностью системы, разнообразием плагинов и тем оформления, а также хорошо проработанными и автоматизированными механизмами сканирования.

В этой статьей будут представлены практические рекомендации по установке и использованию данной платформы. Выполнение этих советов сведет к минимум возможность успешной атаки на ваш блог.

Этап установки Измените префикс таблиц

На этапе установки блога укажите произвольный префикс для названия таблиц в базе данных. Это затруднит эксплуатацию такой популярной уязвимости как sql инъекция. В этом случае злоумышленнику сначала потребуется узнать полное название таблиц, чтобы извлечь или внести изменения в данные.

Если на этапе установке вы не изменили префикс, это можно сделать пойзже с использованием специальных плагинов (iThemes Security , Wordfence Security ). Вручную этого делать не стоит — велика вероятность ошибки. Перед изменением названий рекомендуется сделать полный бэкап базы.

Измените имя администратора

При установке создается учетная запись администратора с именем «admin». Рекомендуется его изменить на что-то вроде «superuser_12». Этим вы затрудните злоумышленникам автоматизированный подбор пароля, так как по умолчанию подбор пароля производится для пользователя с именем «admin».

Этап эксплуатации Обновляйте ядро, установленные плагины и темы

Наверно это самый важный пункт не только для WordPress, но и для всех информационных систем. Использование последней версии ядра и дополнительных компонентов существенно снижает вероятность эксплуатации уязвимостей. Это во многом объясняется экономическими причинами. Так называемые 0day уязвимости стоят немалых денег и получают широкое распространение после выхода исправлений безопасности от разработчиков.

Рекомендуется не реже одного раза в неделю (лучше чаще) заходить на панель проверки обновлений («Консоль» -> «Обновления»). С помощью дополнительных плагинов (Updater ) можно настроить автоматическую проверку обновлений с уведомлением на почту.

Желательно перед применением обновлений делать резервную копию блога. Воспользуйтесь для этого бесплатным плагином UpdraftPlus с настройкой на удаленное хранение резервных копий.

Защитите панель входа для зарегистрированных пользователей

Панель входа является тем барьером, который разделяет публичную часть сайта и административную. Для cms WordPress панель располагается по адресу example.com/wp-config.php .

Достаточно часто форма авторизации подвергается так называемому брутфорсу (автоматизированному подбору паролей). Противостоять этому вы сможете, если добавите защиту от ботов — Капчу. Можете воспользоваться для этого любым из плагинов, например Captcha .

Если на блоге запрещена свободная регистрация пользователей, тогда рекомендуется переместить панель входа по другому адресу (с example.com/wp-config.php на что-то example.com/cont_1243 ). Это можно сделать с помощью плагина iThemes Security . Изменив адрес, автоматические средства подбора паролей попадут в затруднение.

Защитите конфигурационный файл wp-config.php

Файл wp-config.php расположен в корневой директории WordPress (http://example.com/wp-config.php). В нем содержатся параметры подключения к базе данных, ключи шифрования, префикс таблиц и дополнительные настройки.

Если файл будет доступен для злоумышленников, то у них появляется реальный шанс получить полный доступ до вашего сайта. На очень многих хостингах установлена панель управления базой данных — phpMyAdmin . Использование параметров из файла wp-config.php позволит пройти авторизацию в этой панели.

Основная причина доступности файла — небезопасная конфигурация. Достаточно часто администратор сайта создает резервные копии вида:

• wp-config.php.old
• wp-config.php1
• wp-config.php.test
• wp-config.php~

Последний пример в списке создается автоматически некоторыми текстовыми редакторами. При использовании таких имен файлы перестают обрабатываться как php-скрипты. При прямом запросе (например, http://example.com/wp-config.php.old) пользователь получит все содержимое.

Не храните резервные копии конфигурационного файла в пределах вашего сайта. Для дополнительной защиты поместите следующий код в файл .htaccess , расположенный в корне сайта:

Order allow,deny
Deny from all
Satisfy all

Так вы заблокируете доступ к этому файлу (и всем его копиям) средствами веб-сервера.

Скройте версию WordPress

Чем больше технической информации о вашем блоге на WordPress доступно для любого пользователя, тем выше шансы на проведение успешных атак. Одним из основных параметров является версия блога.

Номер версии можно посмотреть в двух местах:

• в файле readme.html (расположен в корне сайта)
• в html-коде любой страницы блога (meta-теге generator )

С файлом все просто — удалите его.

Для того, чтобы убрать meta-тег generator рекомендуется воспользоваться одним из плагинов в категории «Безопасность» (например, iThemes Security ).

iThemes — скрываем версию

Используйте плагины безопасности

Для настройки параметров безопасности блога, поиска признаков вредоносного кода, выполнения внутреннего сканирования рекомендуется установить и настроить специализированные плагины. Признанными лидерами среди них являются iThemes Security и Wordfence Security , которые уже не раз упоминались.

iThemes Security — сниппет плагина

Wordfence Security — сниппет плагина

Количество настраиваемых параметров и выполняемых функций очень велико. Вот только некоторые из них:

• контроль изменения файлов
• защита от брутфорса
• сокрытие версии WordPress
• отключение xmlrpc
• отключение встроенного редактора
• защита системных файлов
• отключение листинга директорий
• фильтр http-методов
• блокировка подозрительных запросов

Блокируйте небезопасные запросы

Обновление ядра и плагинов — это важный момент. Но что делать, если описание уязвимости или эксплойт для нее попали в сеть, а исправления разработчики еще не выпустили?

Совсем недавно (30 октября) это произошло с плагинами «CP Multi View Event Calendar » и «Rich Counter «. Рекомендовалось их немедленно удалить, пока не будет выпущено обновление.

В таких ситуациях может помочь использование Web Application Firewall. Специальное программное обеспечение, которое пропускает запросы пользователей через собственные фильтры и, если обнаруживает признаки атак, блокирует их. Очень известный продукт — ModSecurity (модуль для веб-сервера Apache).

Пользователям WordPress повезло: функции фильтрации запросов встроены в уже рассмотренные плагины (iThemes Security и Wordfence Security ). Необходимо указать максимальное количество и тип символов в запросах пользователей.

Такой подход защитит ваш блог от следующих уязвимостей:

• sql-инъекции
• lfi и rfi инклюдинг

Используйте механизмы для активного аудита (пентестинг)

Полезно посмотреть на свой блог глазами злоумышленника. В большинстве случаев для автоматизированного тестирования сайтов на WordPress используется бесплатный сканер WPScan.

• определение версии WordPress и наличие в ней известных уязвимостей
• поиск установленных плагинов и тем, а также найденные в них уязвимости
• проверка использования простых паролей

Из минусов стоит отметить, что проблематично установить сканер на Windows-платформу.

Важно именно периодическое использование сканера. Сегодня он ничего не покажет, а через неделю продемонстрирует критическую уязвимость в используемом плагине из обновленной базы.

Вы можете воспользоваться нашим сервисом . Просто добавьте ваш сайт для постоянного контроля безопасности и получайте еженедельные pdf-отчеты на почту.

Не используйте FTP

Использование ftp-протокола — это потенциальная угроза безопасности. Причина — передача пароля и данных в «открытом» виде (нешифрованный протокол).

Стоит отметить, что в последних релизах WordPress для установки плагинов и тем cms требует наличие ftp-подключения. Для отключения этой функции добавьте в конец файла wp-config.php следующую строку:

define(‘FS_METHOD’, ‘direct’);

Вывод . Для защиты вашего сайта на основе cms WordPress рекомендуется выполнить следующие шаги и рекомендации:

• измените префикс таблиц
• измените имя администратора
• обновляйте ядро, установленные плагины и темы
• защитите панель входа для зарегистрированных пользователей
• защитите конфигурационный файл wp-config.php
• скройте версию WordPress
• используйте плагины безопасности
• блокируйте небезопасные запросы
• используйте механизмы для активного аудита
• не используйте FTP

• iThemes Security — https://wordpress.org/plugins/better-wp-security/
• Wordfence Security — https://wordpress.org/plugins/wordfence/
• Updater — https://wordpress.org/plugins/updater/
• UpdraftPlus — https://wordpress.org/plugins/updraftplus/
• Captcha — https://wordpress.org/plugins/captcha/
• phpMyAdmin — http://www.phpmyadmin.net/home_page/index.php
• ModSecurity — https://www.modsecurity.org/
• WPScan — http://wpscan.org/
• weBBez — http://сайт/

При попытке открыть некоторые утилиты в десятке можно столкнуться с подобной ошибкой, также может показываться сообщение о том, что Администратор заблокировал выполнение этого приложения. Такое происходит при отключенном контроле учетных записей, также сообщение часто выскакивает при запуске действительно непроверенных программ, которые могут оказаться опасными для компьютера. Так что стоит убедиться в том, что запускаемое приложение действительно необходимо и не несет угрозы для системы.

Основной причиной блокирования запуска приложений является устаревшая, запрещенная или сфальсифицированная цифровая подпись. В некоторых случаях блокируются действительно опасные программы, а иногда могут блокироваться и обычные приложения, которые скачаны из доверенных источников, но при этом они не разрабатывались для данной системы или давно устарели.

Используем командную строку для разблокировки

Первый способ позволит запустить только конкретную утилиту, так что он является лучшим в этом случае. По крайней мере при таком методе такие приложения не будут запускаться в дальнейшем без спроса, что сильно уменьшить риск установить на свой компьютер какую-нибудь гадость.

Для начала потребуется запуск консоли с правами администратора . Проще всего будет начать набор названия «командная строка» в пуске, а потом клацнуть по ней ПКМ и выбрать запуск от имени администратора.

В ней придется написать полный путь к исполняемому файлу , указывая его расширение. После этого утилита запуститься, однако, закрывать консоль не следует до окончания ее работы или установки, иначе могут возникнуть проблемы в ходе ее выполнения.

Использование встроенной учетной записи Администратора

Этот метод лучше использовать только для установки, потому что каждый раз запускать эту учетную запись не логично, а держать ее включенной небезопасно. Для начала все также придется запустить консоль с правами администратора, после чего в ней следует ввести следующий оператор net user Администратор /active:ye s , для англоязычной версии придется использовать слово Administrator.

Далее потребуется выйти из текущей учетной записи и зайти в новую. В ней нужно запустить установщик, а само приложение установить для всех пользователей, что позволит использовать программу и другим пользователям. Для выхода из нее следует заменить последнее слово в операторе на no .

Отключаем контроль учетных записей

Метод подходит только обладателям профессиональных версий и выше, остальным следует действовать через реестр. Также такой способ несет в себе опасность, поскольку после таких модификаций все утилиты смогут свободно устанавливаться и выполняться на устройстве.

Для начала нужно нажать win+ r и написать в появившемся окне gpedit.msc . В открывшемся окне следует пройти по пути «Конфигурация компьютера », после нее перейти к «Конфигурации Windows» , дальше необходимо кликнуть по «Параметрам безопасности » , в них открыть «Локальные политики» , а потом снова «Параметры безопасности ». После этого можно переходить в правую часть окна, где следует найти строку с названием «Контроль учетных записей: все администраторы работают в режиме одобрения администратором ».

Эту функцию стоит перевести в выключенный режим, после чего перезапустить устройство.

Снимаем блокировку через реестр

Здесь нужно нажать win+r, после чего написать regedit . В открывшемся окне следует пройти к каталогу HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Policies\ System .

В нем нужно отредактировать переменную EnableLUA , значение которой следует выставить равно нолю.

Утилита заработает, однако, потом лучше будет вернуть прежнее значение.

Удаляем цифровую подпись приложения

Можно вообще стереть цифровую подпись программы, из-за которой и возникает такая ошибка, однако, делать этого точно нельзя для всех системных файлов. Для начала следует загрузить приложение по ссылке https://www.fluxbytes.com/software-releases/fileunsigner-v1-0/

Дальше потребуется перетащить значок проблемной утилиты на скачанный файл. После этого появится командная строка, которая сообщит об успешном удалении подписи, либо о провале операции.

Эта программа заблокирована групповой политикой

Можно также разобраться в том, какая именно политика блокирует данную программу. Для начала следует зайти в «Мой компьютер» — «Управление» — «Просмотр событий» — щелчок ПКМ на «Предупреждение» — «Просмотр всех экземпляров этого события «.

Здесь также потребуется зайти в редактор политик и пройти по тому же маршруту, что указан в предыдущих пунктах, только после параметров безопасности следует выбрать Политики ограниченного использования программ . Здесь можно отключить указанную политику, однако часто бывает, что они не определены и действовать придется через реестр.

Так что стоит сразу открыть редактор реестра и пройти по пути:

Здесь следует встать на каталог с таким же названием, как в предупреждении, после чего кликнуть файл — экспортировать и сохранить его. После чего его можно стереть и снова попытаться запустить приложение. Затем лучше всего будет вернуть раздел при помощи импортирования.

Этот издатель был заблокирован

Иногда пользователь может получать сообщения о блокировке конкретного издателя .

От конкретно такого сообщения избавится просто. Нужно кликнуть по файлу правой кнопкой мыши, после чего поставить галочку на разблокировать .

Однако, после этого утилита может выдать то же сообщение «Это приложение заблокировано в целях защиты », а для его исправления снова придется лезть в групповые политики, также, как это было сделано в первом методе.

Если Вы при попытке установить какое-нибудь приложение видите ошибку что это приложение заблокировано в целях защиты Windows 10, то эта статья для Вас. Как раз в ней я расскажу что делать если приложение заблокировано в целях защиты Windows 10, и почему такое предупреждение выскакивает.

Происходит это потому что контроль учетных записей блокирует установку приложений в которых вышел срок цифровой подписи или она находиться в списке не доверенных сертификатов. В любом из этих случаев при установке такого приложения Вы увидите предупреждение в котором будет сказано что это приложение заблокировано в целях Вашей защиты.

Но что же делать если Вы уверенны в этом приложении и Вам нужно его установить. Дальше я Вам покажу несколько способов как это можно сделать быстро. Нам всего лишь нужно или запустить его от имени администратора через консоль, способы как удалить цифровую подпись приложений в этой статье я показывать не буду, хотя также в этой ситуации это может помочь.

Способ 1. Отключить контроль учетных записей через редактор групповой политики Способ 2. Отключить контроль учетных записей через интерфейс Windows
Способ 3. Отключим контроль учетных записей с помощью редактора реестра
Способ 4. Запуск приложения через командную строку

Вводите полный путь к приложению, и нажимаете Enter . Пример можно увидеть на видео.

На этом и все. В этой статье я показал Вам что делать если это приложение заблокировано в целях защиты Windows 10. Таким самым способом Вы можете решить эту проблему на Windows 8.1 и других. Это четыре самых удобных и простых способов, которые есть. Так как удалять цифровую подпись немножко дольше, и если Вы знаете предыдущие способы, то в этом нет необходимости.

Пишите в комментарии как Вы решили эту проблему. И если статья была полезной не забывайте делиться ней в социальных сетях и подписываться на обновления. Впереди ещё много интересного.

Приветствую вас уважаемые читатели, не так давно я получил SSL сертификат и . Сегодня так сказать продолжение этой истории и мы поговорим о смешанном содержимом сайта — как его найти и исправить . Начнем пожалуй с теории.

Смешанное содержимое

И так, когда человек заходит на сайт по протоколу HTTPS, его соединение с веб-сервером шифруется с помощью TLS и защищено от различных атак и перехватчиков. В случае если на странице, переданной по HTTPS, содержит какой либо контент, передаваемый по HTTP, то соединение считается частично зашифрованным: потому, что все что передаётся по HTTP, можно перехватить и изменить, следовательно такое соединение уже не защищённое. И именно такие страницы называются страницами со смешанным контентом (содержимым) .

Типы смешанного содержимого.

Есть 2 группы смешанного контента: Пассивный (отображаемый) и Активное содержимое. Разница между ними заключается в уроне, который может понести сайт в случае перехвата и изменения в процессе передачи.

Так вот пассивный смешанный контент, это по сути изображения (аудио, видео) , которые вы получаете по http с других источников, и если их перехватят, максимум смогут поменять картинку (видео, аудио), на порнобанер к примеру, вашему сайту это урон по идее не нанесет, но вот пользователям думаю будет не очень приятно.

А вот активный смешанный контент (это скрипты, фреймы), несет уже борее серьезные риски. Здесь уже хакеры могут украсть личные данные, перенаправить пользователей на небезопасный сайт и т.д.

Как исправить страницу с заблокированным содержимым и что может произойти если не исправить.

Сейчас практически все самые популярные браузеры по умолчанию блокирует активное смешанное содержимое.

И вот если ваш сайт работает по протоколу HTTPS, а весь его активный контент (ну или часть его), отправлен по HTTP, то он будет заблокирован. А от сюда вытекает следующее, у вас отвалятся слайдеры, выплывающие формы и т.д. в общем все что работает за счет скриптов и ваш будет работать неправильно. А на счет пассивного контента — он пока что загружается по умолчанию, но есть одно но, любой пользователь может заблокировать его в настройках браузера, а то не есть гуд!

В общем, вся суть заключается в следующем, раз вы не поленились перейти на https, то и не поленитесь избавится от смешанного контента!

Как исправить сайт

Самое адекватно решение — перевести весь контент сайта и все его запросы на HTTPS.

В случае с картинками с других ресурсов, можно проверить можно ли их получить по https, если да то просто сменить ссылки, если нет то скачать их с тех сайтов и залить к себе на сервер, ну и соотвественно сменить путь, да и со скриптами можно поступить также)

По поводу всех ссылок, тут можно поступить по разному -заменить в ссылках протокол с http на https, либо сделать ссылки относительными, вот так:

На счет относительных ссылок, есть одно но, тут браузер сам выбирает протокол, в вашем случае он будет выбирать https, если то возможно, а вот если невозможно, то запрос пойдёт по HTTP, и у нас снова старая проблема)

Как быстро найти и исправить смешанное содержимое

Вариант 1й. Можно использовать сервис SSL-check , он проверит ваш сайт на наличие HTTP запросов.

Вариант 2й. Через консоль браузера, Гугл хром или Мозилы, мне больше нравиться гугл (я пошел этим путем). Как искать контент данным способом, показано в видео ниже.

И так вы нашли смешанный контент, все круто, в случае с картинками все достаточно просто, посмотрел что за картинка, нашел ее на сайте и изменил. В случае со скриптами все гораздо сложнее, особенно если у вас стоит какой нибудь движок типа того же wordpress с кучей включенных плагинов, вы же не знаете (97% пользователей обычно не знают) какой плагин какие скрипты подключает, а как узнать? В моем случае, у меня клевый хостинг (Бегет — всем рекомендую его), с крутым файловым менеджером, в котором есть функция поиска

Вбил название скрипта, он про шерстил все папки сайта, плагинов, тем и т.д. и показал файлы в которых они подключены, следовательно заходишь в них и правишь протокол (лучше предварительно проверить в браузере, можно его получить с того же сайта но по https, если нельзя можно его от туда скачать и залить к себе и прописать новый путь получения). Если у вас более убогий файловый менеджер, тогда можно скачать весь сайт на компьютер, и проделать такой же поиск по файлам к примеру при помощи NOTEPAD++.

Вот в принципе и все! Удачи вам с борьбой со смешанным содержимым. Да и сделайте бэкапы на всякий случай, мало ли что) Если остались вопросы, задавайте в комментариях. Если самим не удается побороть смешанное содержимое, но очень хочется, можете написать мне в контакт.