2015 — К2Р

Сергей Рудюк 23 сентября 2015

Требования:

  • Опыт работы программистом 1С8 более 2 лет.
  • Надежность.
  • Знание типовых конфигураций.
  • Знание предметной области (бухгалтерский, налоговый, управленческий учет).
  • Опыт разработки и поддержки типовых конфигураций для 1С:Предприятие 8.
  • Умение формализовать и реализовать требования клиента.
  • Понимание документооборота.
  • Умение правильно оценить задачу и сказать сроки.
  • Умение разбираться в документации (взаимодействие с другими системами по API).
  • Знание типовой БУ на высоком уровне.
  • Понимать механизм плана видов характеристик.
  • Знание встроенного языка запросов на высоком уровне.
  • Понимание сути учетных процессов.
  • Знание и практический опыт работы с нестандартными конфигурациями.
  • Стремление к саморазвитию.
  • Понимание принципа работы подсистем.
  • Знание XML.
  • Знание SQL.

Желательно:

  • Примеры разработок собственных конфигураций.
  • Наличие сертификатов ('Профессионал', 'Специалист').

Обязанности:

  • Модификация используемой конфигурации 1С под требования компании-клиента, разработка и сопровождение доп. модулей в рамках поставленных задач.
  • Разработка конфигураций с "нуля", а также внедрение проектов автоматизации учета и управления на платформе 1С: Предприятие 8.2.
  • Интеграция программ семейства 1С с другим ПО, оптимизация производительности баз данных, поддержка распределенных информационных систем.
  • Интеграция с сайтом.
  • Построение отчетов различного уровня сложности под требования логистики и бухгалтерии.
  • Консультации персонала по нововведениям.
  • Устранение неполадок и сбоев программы.
  • Выполнять задания в сроки.

Дополнительные преимущества для кандидата:

  • Наличие сертификатов компании 1С.

Условия:

  • интересные задачи.
  • профессиональный рост.
  • график работы - с 9.00 до 18.00.

Зарплата: 14 тыс. грн.

Резюме присылайте на Email: rs@corp2.net

Звоните на: +38 067 901-63-22

Наш сайт: http://k2r.biz

http://corp2.net


Ключевые слова:

программист 1с, программист 1с вакансии, работа программист 1с, программист 1с москва, курсы 1с программистов, услуги программиста 1с
, 1с программист удаленно, программист 1с обучение, резюме программиста 1с, программист стажер 1с, программист 1с вакансии москва
, клуб программистов 1с, программист 1с петербург, санкт петербург программист 1с, требуется программист 1с, программист 1с битрикс
, должностная программист 1с, форум 1с программистов, программист 1с без опыта, 1с программист час, зарплата
программиста 1с, удаленная работа программист 1с, должностная инструкция программиста 1с, 1с 7.7 программист, ищу программиста 1с
, частный программист 1с, +как стать программистом 1с, программист 1с +с нуля, программист 1с удаленно вакансии, программист
1с обучение +с трудоустройством, работа программист 1с москва, нужен программист 1с, стоимость программиста 1с, профессия
программист 1с, программист 1с екатеринбург, 1с клуб программистов +для школьников, найти программиста 1с, вакансия программист
1с петербург, программист стажер 1с вакансии, программист 1с спб, курсы программистов 1с +с трудоустройством, программист
1с нижний новгород, программист 1с вакансии санкт петербург, программист 1с отзывы, программист 1с 8, программист 1с
воронеж, программист 1с уфа, опыт работы 1с программистом, стоимость часа 1с программиста, собеседование 1с программист

Сергей Рудюк 7 июля 2015

Автор: Рудюк С . А.
http://corp2.net

E-Mail: rs@corp2.net

При создарнии пользователя MantisBT приходит письмо с паролем пользователя по электронной почте. Но, бывает, что письмо попадает в спам или не доходит, бывает почта вообще не работает. При этом, администратор системы не имеет возможность проверить, что письмо не дошло и в систему не удается войти. Это вызывает массу проблем при первичном создании пользователя в системе баг-репорта MantisBT. Хочется иметь возможность указывать пароль вручную.

Для того, чтоб была возможность создавать пользователя вручну, необходимо будет внести ряд изменений в программны код системы MantisBT.

1. Найдите файл manage_user_edit_page.php.
2. В нем найдите строчку: <!-- Email -->
3. Вставьте перед ней такой скрипт:

<!-- Password --> <tr <?php echo helper_alternate_class( 1 ) ?>> <td class="category" width="30%"> <?php echo "Password (change only)" ?>: </td> <td width="70%"> <input type="text" size="16" maxlength="100" name="password" value="" /> </td> </tr>

Этот код будет изменять пароль в том случае, если он был изменен в поле задания пароля.

4. Теперь, найдите файл manage_user_update.php.
5. После строчки с переменной $f_user_id втавьте скрипт:

$f_pass = gpc_get_string('password');

6. Прокрутите текст и найдите строчку, где написано: $result = db_query( $query );
7. Вставьте перед данной строчкой скрипт:

//Reset the password if specified. if ($f_pass) user_set_password($f_user_id, $f_pass);

Автор: Рудюк С . А. http://corp2.net

Сергей Рудюк 7 июля 2015

После установки TeamViewer и первого подключения к сети, программа получает уникальный идентификационный номер (ID), благодаря которому вы можете осуществлять подключение к вашему компьютеру. Если, вы используете бесплатную версию в коммерческих целях, есть большая вероятность, что со временем, вам ограничат время удаленного соединения, до значения не превышающее пяти минут, после чего соединение будет оборвано. В этом случае единственным способом разблокировать ограничение является смена ID.

Teamviewer

ID привязывается и формируется по двум значением на вашем компьютере, это MAC адрес сетевой карты и VolumeID раздела жесткого диска. Соответственно для того чтобы сменить ID в TeamViewer, нужно изменить эти два значения.

В начале мы опишем как сменить MAC адрес. Есть два способа: простой и сложный.

Простой способ смены MAC адреса - это при использовании специально предназначенной для этого утилиты, например: MACChange.

Teamviewer2

Тут все просто, находим в списке сетевую карту с помощью которой осуществляется подключение, после чего нажимаем кнопку генерации нового MAC и жмем "Change".

Вторым и более сложным способом, является смена MAC адреса с помощью редактирования нужного ключа в реестре. Для этого откроем редактор реестра, выполнив команду: regedit.

В редакторе реестра переходим по пути HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Class\{4d36e972-e325-11ce-bfc1-08002be10318}.

regeditregedit2

Тут, каждый сетевой компонент обозначен четырьмя цифрами начиная с 0000, 0001 и так далее. Нужный мы можем найти просматривая его параметр DriverDesc, где мы и можем найти название своей сетевой карты, например: TP-LINK Wireless USB Adapter.

regedit3

После того как нужная сетевая карта найдена, добавляем или изменяем ключ: NetworkAddress, который и является MAC адресом. Тип данных для этого ключа необходимо установить REG_SZ.

regedit4

Итак, MAC адрес сетевой карты изменен, теперь нужно изменить VolumeID системного раздела жесткого диска (заметим, что в некоторых случаях TeamViewer привязывается к другим разделам диска или даже к присоединенным съемным носителям, поэтому есть вероятность, что придется менять VolumeID других разделов).

Для смены VilumeID, скачиваем программу VolumeID v2.0 и запускаем от имени Администратора.

VolumeID

Тут выбираем нужный нам раздел, вводим новый серийный номер (New serial number) и жмем кнопку "Change serial number".

После всех выполненных операций нужно перезагрузить компьютер. Запустив TeamViewer вам будет присвоен новый ID.


AHera 14.01.2015 3707

Источник: http://winupdate.ru/question/kak-smenit-id-v-teamviewer/

Сергей Рудюк 7 июля 2015

Иногда очень хочется распечатать штрих-код. Когда это желание становится невыносимым, люди покупают специальные принтеры, инсталлируют не менее специальный софт и наводняютвеб-конференции вопросами “где найти внешнюю компоненту, печатающую штрих-коды?”

На самом деле, это крайний случай, а крайние случаи пагубны. Конечно, если штрих-код нужно печатать на само-клеющихся этикетках размером в четверть кусочка туалетной бумаги, без специального оборудования ничего не выйдет. Но в случае, если печатать нужно на обычной офисной бумаге, можно прекрасно обойтись без капиталовложений.

Почему-то многие считают, что для печати штрих-кодов из 1С нужны некие компоненты (внешние, ActiveX, еще какие-нибудь). Так вот, это неправда. Никаких компонент не нужно. Для воспроизведения на бумаге штрих-кода понадобятся три вещи:

  • нужно знать, какой именно из штрих-кодов (а их немеряно) нам требуется.
  • нужно знать алгоритм формирования этого кода.
  • и нужно иметь Windows-совместимый шрифт, изображающий данный штрих-код. Для EAN13 вполне подойдет шрифт EanBwrP36Tt, а для CODE39 - C39HrP36DlTt.

Что касается первого пункта, то весьма распространенными (и поддерживаемыми всеми без исключения сканерами) являются коды EAN13 и CODE39. А что касается второго и третьего, то это лежит внизу страницы.

После нехитрой адаптации можно будет печатать штрих-коды на ценниках, пропусках, визитках и карикатурах на шефа. Но самое главное — любой документ можно будет снабдить уникальным идентификатором. Зачем тратить на это драгоценный принтерный картридж? А вот об этом — как -нибудь в другой раз ;-)

Алгоритмы генерации штрих-кодов в формате *.ert

Шрифты для печати штрих-кодов

Источник: http://www.mista.ru/articles1c/hare/article.20.html

Сергей Рудюк 7 июля 2015

Автор: Рудюк С . А.
http://corp2.net

E-Mail: rs@corp2.net

После обновления Linux Ubuntu на последнюю версию - 15.04 одна из виртуальных машин c Windows 8 стала выдавать такую ошибку.

Win81_VBox_errПосле поисков в Гугл, нашел способ лечения. Под административными правами запускаете команду:

VBoxManage setextradata [vmname] VBoxInternal/CPUM/CMPXCHG16B 1

Где vmname - регистрационное название виртуальной машины в Virtualbox.

После этого, необходимо запустить Виртуалбокс из админа:

virtualbox &

В результате, Виндовс должен загружаться без проблем.

P.S. Так же, следует обратить внимание, что после обновления операционной системы пришлось перекомпиливать драйвера Virtualbox. Благо, делается это очень просто:

/etc/init.d/vboxdrv setup

Автор: Рудюк С . А. http://corp2.net

Сергей Рудюк 7 июля 2015

remmina

В этой статье хочу рассказать о клиенте удаленного рабочего стола Remmina.

Коротко о программе Remmina.

Remmina - клиент для удаленного доступа. Использует FreeRDP в качестве RDP клиента. Кроме RDP поддерживает протоколы: SFTP, SSH, NX, VNC, VNCI и XDMCP. Поддержка протоколов расширяется плагинами.


Данный клиент установлен по умолчанию во всех дистрибутивах Ubuntu и производных от неё.


Во всех текущих версиях Ubuntu на данный момент используется версия 0.99, которая была выпущена в 2010 году:

LinuxRussia_0057Многие, подключившись с помощью Remmina по rdp к windows, ловят различные баги.
Какие же проблемы с этой старой версией встречаются?
Из моих проблем:
- Вырвиглазный рендеринг шрифтов. Шрифты выглядят просто ужасно. Никакие настройки не помогают.
- Очень неприятный баг с курсором мышки. Он не меняется, используется стандартный Ubuntu. То есть выделяя текст, или растягивая окно, вы не увидите изменений курсора.
- Не работал двухсторонний буфер обмена.
- Не работало назначение общей папки.Еще встречаются проблемы с тем, что не все символы клавиатуры работают правильно.К чему я это описал?
Очень мало информации об этом клиенте, следовательно многие могли подключиться, увидеть эти проблемы, почитав местные форумы, разочароваться в этом клиенте и перестать им пользоваться.
Поэтому хочу поделиться информацией, что эти баги устранены, но в новой - последней версии.

Нет смысла искать какие-то конфигурации по форумам или команды в терминале для решения этих проблем. Все эти ошибки - это баги самого клиента, которые были устранены в последней версии программы. Следовательно, нужно просто обновить наш клиент и плагин RDP.

Установка последней версии Remmina в Ubuntu.

Для Ubuntu есть репозиторий на ланчпад, где добавляются последние версии remmina и rdp плагина. В репозитории есть пакеты только для версий 14.04 - 15.04.

Чтобы установить последнюю версию Remmina в Ubuntu откройте терминал и выполните следующие команды:

sudo apt-add-repository ppa:remmina-ppa-team/remmina-next sudo apt-get update sudo apt-get install remmina remmina-plugin-rdp

Для Ubuntu 12.04 попробуйте такой фокус:
Как установить программу из репозитория, в котором нет пакетов для вашей версии дистрибутива Ubuntu

Всё. Теперь последняя версия Remina установлена.

Если нужно удалить программу, то выполните следующие команды:

sudo apt-add-repository -r ppa:remmina-ppa-team/remmina-next sudo apt-get update sudo apt-get remove remmina remmina-plugin-rdp

Настройка RDP подключения к Windows 8.

Давайте подключимся по RDP к Windows 8.

Настройка на Windows 8.

Заходим в "Система" - "Настройка удаленного доступа", на вкладке "Удаленный доступ" разрешаем удаленный подключения к этому компьютеру.

rdp-connect1

Не забудьте задать текущему пользователю пароль, или создайте другого пользователя для удаленного подключения. Тогда вам надо будет еще и "Выбрать пользователей" нажать и там выбрать созданного пользователя.

Вот и всё. Теперь нужно лишь узнать ip компьютера в локальной сети:

ip-windows1

Настройка на windows 8 на этом закончилась.

Настройка подключения к windows 8 на Ubuntu.

Открываем Remmina, создаем новое подключение.
Заполняем Название (удобное Вам).
В поле Сервер вписываем ip компьютера c Windows 8. Также вписываем имя пользователя и пароль. Всё. Сохраняем и подключаемся.

LinuxRussia_0059

Кроме того можно отредактировать еще качество картинки, я обычно "Хорошее" выбираю:

LinuxRussia_0060Вы всегда можете отредактировать данные параметры, просто нажав на соединении правой кнопкой мыши и выбрав "правка".

Кроме того, в настройка Remmina (CTR-P) можно качество отрегулировать:

LinuxRussia_0064

При первом подключении не забудьте согласиться на получение сертификата:

LinuxRussia_0061

Вот и всё, подключаемся.

Вот так выглядит картинка.
Нормальные шрифты и курсор меняется, нет зависания картинки при старте подключения. Работает всё шустро, нет задержек.
Можно вполне себе работать, использую компьютер с windows как тонкий клиент:

LinuxRussia_0062_1

И мой сайт хорошо выглядит:

LinuxRussia_0063

И еще один момент, чтобы нормально срабатывали комбинации клавиш, такие как смена раскладки или alt-f4, нужно, чтобы была зажата данная опция в меню:

LinuxRussia_0065

Вот и всё.

Плагины к Remmina.

По умолчанию в Remmina доступно мало протоколов удаленного доступа:

LinuxRussia_0066

VNC плагин не ставьте, он работать не будет.
Из рабочих плагинов можно поставить для протоколов NX и XDMCP:

sudo apt-get install remmina-plugin-nx remmina-plugin-xdmcp

Перезапустить Remmina и в окне нового подключения станут доступны новые протоколы:

LinuxRussia_0068

XDMCP не использовал, поэтому ничего сказать не могу, но по сообщения, работает ужасно.


Источник: http://www.linuxrussia.com/2015/06/remmina-ubuntu-rdp-windows-8.html

Сергей Рудюк 7 июля 2015

31e5c23c01dd3cf983925ba6b7d3fb39На сегодняшний день Wordpress как никогда популярен. Блоги, мини-сайты, а то и целые порталы — всё это строится на основе такого удобного движка-конструктора как Wordpress. Но за удобностью и лёгкостью освоения кроются, прежде всего, вопросы, связанные с безопасностью вашего сайта. Большая распространённость — большее внимание злоумышленников.

В этой статье описаны десять простых уловок, которые позволят сделать ваш сайт на Wordpress’e ещё более защищённым и позволят спокойнее спать по ночам.

1. Защищаем Wordpress от XSS-инъекций

В чём проблема?
Программисты всегда стараются защитить GET- и POST- запросы, однако, иногда этого недостаточно. Необходимо защитить блог от XSS-инъекций и попыток модификации переменных GLOBALS и _REQUEST.

Что делаем?
Этот код блокирует использование XSS-инъекций и попытки модифицировать переменные GLOBALS и _REQUEST. Вставьте код в ваш файл .htaccess, расположенный в корне сайта. (И не забывайте бэкапить этот файл перед внесением любых изменений).

Options +FollowSymLinks RewriteEngine On RewriteCond %{QUERY_STRING} (\<|%3C).*script.*(\>|%3E) [NC,OR] RewriteCond %{QUERY_STRING} GLOBALS(=|\[|\%[0-9A-Z]{0,2}) [OR] RewriteCond %{QUERY_STRING} _REQUEST(=|\[|\%[0-9A-Z]{0,2}) RewriteRule ^(.*)$ index.php [F,L]

Как это работает?
Код позволяет проверять все запросы. Если запрос содержит тег или попытку модифицировать значение переменных GLOBALS и _REQUEST, он просто блокирует его и выдаёт пользователю 403-ю ошибку.

2. Убираем показ лишней информации


В чём проблема?
Если при попытке зайти в админку Wordpress’a вы ошибётесь с логином или паролем, вежливый движок скажет вам об этом. Ну а зачем злоумышленнику знать, что пароль, который он пытается подобрать – неверен? Давайте просто уберём вывод этой информации и чуток запутаем его.

Что делаем?
Открываем functions.php, лежащий в папке с активной темой нашего блога (wp-content/themes/название-вашей-темы/) и добавляем следующий код:

add_filter('login_errors',create_function('$a', "return null;"));

сохраняем файл. Вуаля – больше никаких сообщений.

Как это работает?
С помощью этого хука мы переписываем стандартную функцию login_errors(). В результате этого, в случае, когда введены неправильный логин или пароль, никакой информации, объясняющей ситуацию не появится — то, что нам нужно.

3. Принудительное использование SSL


В чём проблема?
Если вы хотите, чтобы передаваемая вами информация была защищена, вам необходимо использовать SSL—протокол, обеспечивающий целостность и конфиденциальность обмена данными. В Wordpress’e это сделать проще простого.

Что делаем?
Прежде всего узнаём, есть ли возможность у вашего провайдера использовать SSL. Если да, то открываем файл wp-config.php (обитающий в корне сайта) и добавляем следующую строку:

define('FORCE_SSL_ADMIN', true);

Как это работает?
Всё просто. Wordpress использует множество констант и FORCE_SSL_ADMIN всего лишь одна из них. Эта константа включает принудительное использование SSL при заходе в панель администратора.

4. Используем .htaccess для защиты файла wp-config


В чём проблема?
wp-config.php содержит все данные, необходимые для подключения к серверу MySQL и базе данных. Защита этого файла – одна из самых главных задач.

Что делаем?
Находим файл .htaccess в корне нашего сайта и добавляем следующие строки:

<files wp-config.php> order allow,deny deny from all </files>

Как это работает?
Мы просто запрещаем доступ к этому файлу кому бы то ни было. Теперь уж точно ни один бот не сможет и близко подойти к этому файлу.

5. Скрываем версию Wordpress'a


В чём проблема?
Wordpress автоматически вставляет номер своей версии в исходный код страниц. К сожалению, не всегда удаётся вовремя обновлять движок. А это означает, что зная какая у вас версия Wordpress’a со всеми её брешами и слабыми местами, злоумышленник может очень-очень огорчить вас. Что делаем? Правильно, убираем вывод версии.

Что делаем?
Снова открываем functions.php, лежащий в папке с активной темой нашего блога (wp-content/themes/название-вашей-темы/) и добавляем туда этот код -

remove_action('wp_head', 'wp_generator');

Как это работает?
Хуки Wordpress'a позволяют легко заменять одну функцию на другую. Именно этим мы сейчас и воспользовались – мы просто запретили вывод информации о версии нашего движка.

+ как справедливо указал пользователь rOOse, необходимо также удалить файл readme.html, находящийся в корне сайта. В нём тоже содержится информация о текущей версии Wordpress'a.

6. Баним спамеров и ботов

af963c4e9c2a3c07fc7695bd1cc9d5bbВ чём проблема?
Надоедливые постеры и спамеры. Решение – запретить им доступ к сайту по IP. Конечно, это не защитит от спам-скриптов, постоянно меняющих прокси, но немного облегчить жизнь вполне может.

Что делаем?
Вставьте этот код в файл .htaccess. Просто поменяйте адрес 123.456.789 на IP того редиски нехорошего человека, который вас достаёт и всё — он забанен всерьёз и надолго.

<Limit GET POST PUT> order allow,deny allow from all deny from 123.456.789 </LIMIT>

Как это работает?
И снова нам на помощь приходит apache. Посредством файла .htaccess мы запрещаем доступ к сайтe пользователям с конкретным IP. Нужно забанить ещё кого-то? Просто добавим ещё одну строку, к примеру -

deny from 93.121.788

7. Пишем плагин для защиты от зловредных url-запросов

266ee8d62ecf692be36531fcaafdab99 В чём проблема?
Хакеры и недохакеры всех родов очень часто пытаются найти слабые места при помощи всевозможных зловредных запросов. Wordpress неплохо защищён от этого, но лишняя защита никогда не повредит.

Что делаем?
Создаём новый файл под названием blockbadqueries.php и помещаем его в папку wp-content/plugins. Затем просто активируйте его в админке как любой другой плагин.

<?php /* Plugin Name: Block Bad Queries Plugin URI: perishablepress.com/press/2009/12/22/protect-wordpress-against-malicious-url-requests/ Description: Protect WordPress Against Malicious URL Requests Author URI: perishablepress.com/ Author: Perishable Press Version: 1.0 */ global $user_ID; if($user_ID) { if(!current_user_can('level_10')) { if (strlen($_SERVER['REQUEST_URI']) > 255 || strpos($_SERVER['REQUEST_URI'], "eval(") || strpos($_SERVER['REQUEST_URI'], "CONCAT") || strpos($_SERVER['REQUEST_URI'], "UNION+SELECT") || strpos($_SERVER['REQUEST_URI'], "base64")) { @header("HTTP/1.1 414 Request-URI Too Long"); @header("Status: 414 Request-URI Too Long"); @header("Connection: Close"); @exit; } } } ?>

Как это работает?
Работа этого плагина проста – он проверяет все длинные запросы (более 255 символов) и наличие php-функций eval или base64 в URI. Если что-то из этого находится, браузеру пользователя отдаётся страница с ошибкой 414.

8. Личеры!


В чём проблема?
Мир полон добрых людей, которые изо всех сил пытаются донести до других новость или статью, написанную вами. Всё бы ничего, но ведь по доброте душевной они берут картинки прямо с наших с вами серверов, скромно забывая при этом про слово «трафик». А теперь представьте что будет, если ссылки на наши картинки попадут на какой-нибудь популярный китайский блог, с их-то почти уже четырёхсотмиллионным интернет-населением! Свят-свят-свят… Значит сейчас будем защищать хотлинкинг, a.k.a. личинг, a.k.a. «да я просто вставил ссылки на файлы с вашего сервера».

Что делаем?
И опять всемогущий apache поможет защищить нам наш трафик. Достаём в очередной раз файлик .htaccess и пишем следующее:

RewriteEngine On #Замените ?mysite\.ru/ на адрес вашего сайта RewriteCond %{HTTP_REFERER} !^http://(.+\.)?mysite\.ru/ [NC] RewriteCond %{HTTP_REFERER} !^$ #Замените /images/nohotlink.jpg на название вашей картинки с лозунгом «личер идёт на…» RewriteRule .*\.(jpe?g|gif|bmp|png)$ /images/nohotlink.jpg [L]

Как это работает?
При помощи этих правил мы заставляем сервер проверять откуда пришёл запрос на нашу фотку — если со страниц нашего сайта, он отдаёт её пользователю. Если с «вражеского» — то показывает личерам какую-нибудь обидную картинку.

9. Убить админа. (Нет дефолтному юзернейму «admin»)!

80a6f9955e1b96bde313b8ef36811321В чём проблема?
Злоумышленникам всегда проще получить доступ к сайту при помощи брута, если уже известен логин. При этом на протяжении многих лет дефолтный логин админа был примитивным до зубного скрежета — «admin».

Надо сказать, что в новом Wordpress 3.0 у вас есть право указать любой логин, какой только душе будет угодно. Для остальных версий нужно применить одно волшебное заклинание.

Что делаем?
Просто выполняем этот запрос к базе данных:

UPDATE wp_users SET user_login = 'Ваш новый логин' WHERE user_login = 'Admin';

Как это работает?
С помощью sql-запроса меняем дефолтный логин. Правда, есть одно «но». Посты, написанные ранее admin'ом не поменяют своего автора. А для того чтобы извести admin'a на корню, необходимо выполнить ещё один запрос:

UPDATE wp_posts SET post_author = 'Ваш новый логин' WHERE post_author = 'admin';

10. Защита директорий на сервере от просмотра


В чём проблема?
Очень многие хостеры позволяют просматривать директории на своих серверах. Поэтому, если ввести в адресную строку www.вашблог.ru/wp-includes, то очень часто можно увидеть всё содержимое этой директории. Безусловно это небезопасно, поэтому лучше это сразу запретить.

Что делаем?
Вы можете либо добавить пустые файлы index.html в папки, просмотр которых хотели бы запретить. Либо дополнить наш .htaccess ещё одной строкой:

Options All -Indexes

Как это работает?
Пустой index.html будет выдаваться каждый раз, когда последует запрос к директории. Ну а директива в .htaccess просто запрещает апачу выдавать список содержимого директории.


Источник: http://habrahabr.ru/post/98083/

Сергей Рудюк 7 июля 2015

Автор: Рудюк С . А.
http://corp2.net

E-Mail: rs@corp2.net

В файле wp-config.php CMS Wordpress хранит пароли и логины для доступа к базе данных. Это очень безопасная информация. Есть вероятность, что в момент отладки приложения или веб-сервера данный файл может быть доступен злоумышленникам, поэтому, рекомендуется защищать данный файл от доступа в веб-серверах.

Защита в веб-сервере Apache указывается в файле .htaccess:

# Deny public access to wp-config.php <Files wp-config.php> Order allow,deny Deny from all </Files>

Защита в веб-сервере Nginx:

# Deny public access to wp-config.php location ~* wp-config.php { deny all; }

Автор: Рудюк С . А. http://corp2.net

Сергей Рудюк 7 июля 2015

По статистике, около 19% от общего количества всех сайтов Интернета, работают на WordPress — это почти каждый пятый сайт. Успех платформы вполне логичен и закономерен, не зря еще 5 лет назад я сделал ставку именно на нее. Но сегодня речь пойдет не о преимуществах WordPress, а о его безопасности. Высокая популярность платформы активизировала злые силы, и вот уже на протяжении нескольких месяцев в Рунете идут массовые атаки на сайты, работающие на WordPress. Атаки настолько серьезные и настолько массовые, что не выдерживают даже самые мощные серверы. Хостинг-провайдеры, конечно, принимают меры, порой даже самые радикальные, вплоть до полной блокировки администраторских консолей WordPress. Поэтому, если вас еще не заблокировали, лучше самостоятельно провести ряд несложный действий по укреплению обороны вашего WordPress.

В этой статье я расскажу о самых эффективных способах защиты вашего сайта именно от брутфорса (brute force) — метода подбора и взлома пароля путем перебора всех теоретически возможных вариантов. Так как все последние массовые атаки работают по этому методу.

1. Первое с чего нужно начать — это избавиться от пользователя admin. Если у вас нет пользователя admin, можете сразу переходить к пункту 2. В WordPress начиная с 3 версии это делается очень просто. Достаточно создать нового пользователя, наделить его администраторскими правами, а старого пользователя «admin» — удалить. При его удалении, WordPress предложит вам выбрать нового пользователя, который станет автором публикаций старого администратора.

В старых версиях WordPress эта процедура проделывается с помощью пары SQL-запросов:

UPDATE wp_users SET user_login = 'Ваш новый логин' WHERE user_login = 'Admin'; UPDATE wp_posts SET post_author = 'Ваш новый логин' WHERE post_author = 'admin';

2. Очень важно обратить внимание на пароль администратора. Лучше если это будет хаотичная комбинация заглавных и строчных букв, знаков и цифр не менее чем из 10-12 символов.

3. При бутфорсе WordPress, производится огромное количество запросов к файлу авторизации «wp-login.php», и будет правильно обеспечить ему двойную защиту.

Если вы работаете с сайтом один, и ваш интернет-провайдер предоставляет вам статичный IP-адрес, вы можете разрешить доступ к директории «wp-admin» только с вашего IP-адреса, заблокировав тем самым для всех остальных даже возможность авторизации. Делается это следующим образом. В директории «wp-admin» создаем файл «.htaccess» следующего содержания:

order deny,allow deny from all allow from IP

Где IP — это ваш IP-адрес. Узнать его вы можете, например, здесь.

Если же, кроме вас с сайтом работают еще люди со статическими IP-адресами, вы можете просто добавить их в список ниже. Например, так:

order deny,allow deny from all allow from IP1 allow from IP2 allow from IP3

Где, IP1, IP2, IP3 — разрешенные IP-адреса.

Благодаря этому, все пользователи (боты) с IP-адресами, не указанными в списке разрешенных, просто не получат доступа к директории «wp-admin» и, соответственно, не смогут брутфорсить файл «wp-login.php». Всем им будет возвращаться ошибка 403.

Если провайдер вам выдает динамический IP-адрес, меняющийся с каждым новым подключением к Интернету, тогда этот способ не пройдет, т.к «.htaccess» придется редактировать при каждом вашем подключении к Сети. С помощью все того же «.htaccess» мы можем установить дополнительную серверную HTTP-авторизацию. Делается это следующим образом.

Все в той же директории «wp-admin» создаются два файла: «.htaccess» и «.htpasswd». В первом будут храниться инструкции, во втором разрешенные данные для доступа к директории.

В «.htaccess» пишем следующее:

AuthType basic AuthName 'Access Denied' AuthUserFile '/fullpath/.htpasswd' Require valid-user DirectoryIndex index.php

Где fullpath — полный путь к файлу «.htpasswd». Обратите на это должное внимание, т.к это самая частая ошибка. Полный путь вы можете узнать у своего хостинг-провайдера или с помощью небольшого php-скрипта:

$dir = dirname(__FILE__); echo '<p>Полный путь: ' . $dir . '/</p>';

Или другим способом:

echo '<p>Полный путь: ' . $_SERVER['DOCUMENT_ROOT'] . '/</p>';

Если вы по каким-то причинам не хотите паролить всю директорию «wp-admin», вы можете запаролить непосредственно файл «wp-login.php». Делается это аналогично, но в «.htaccess» нужно написать следующее:

<filesmatch "wp-login.php"=""> AuthName 'Access Denied' AuthType Basic AuthUserFile '/fullpath/.htpasswd' require valid-user </filesmatch>

Файл «.htpasswd» в обоих случаях должен выглядеть следующим образом:

username:password

Где username — это имя разрешенного пользователя, а password — это пароль. Обратите внимание, что пароль хранится в зашифрованном виде. Поэтому, предварительно ваш пароль нужно зашифровать. Сделать это можно, например, с помощью этого сервиса. На пароль действуют те же правила, что указаны в пункте 2 данной публикации.

Для использования нескольких пользователей с паролями, вы можете просто перечислить их по-порядку. Например, вот так:

username1:password1 username2:password2 username3:password3

Если вы сделаете все правильно, перед авторизацией в WordPress вам будет предложено ввести логин и пароль доступа к директории (файлу). И только после успешного входа вы сможете авторизоваться и войти в администраторскую консоль.

В Safari 6.0.5 на Mac OS это выглядит примерно так:

htpasswd

В других браузерах возможно немного иначе.

Выполнив хотя бы эти 3 пункта, вы в разы снизите вероятность взлома вашего WordPress.

Дополнительные меры по защите WordPress

Дополнительно вы можете защитить таким же образом файл настроек WordPress «wp-config.php». Я бы рекомендовал его защитить, потому что в нем содержатся данные для подключения к БД MySQL. Делается это аналогично:

<files wp-config.php=""> order allow,deny deny from all </files>

Также, я бы рекомендовал вам проверить директории вашего сайта. Дело в том, что очень многие хостеры и безалаберные сисадмины не закрывают по-дефолту просмотр директорий сайтов своих клиентов. Если, к примеру, ввести в адресную строку браузера: http://вашсайт/wp-includes/ и вы увидете содержимое этой директории — нужно бить тревогу и срочно закрывать просмотр. Для этого можно создать в директориях, которые вы хотите закрыть от просмотра, пустые файлы «index.html» или дописать в ваш «.htaccess» всего одну строку:

Options All -Indexes

Которая запретит серверу показывать содержимое директорий.

Кроме всего прочего, вы можете самостоятельно установить плагины безопасности WordPress, рекомендованные разработчиками платформы.

Их обзор в рамках данной публикации я проводить не буду.

Если в процессе настройки защиты WordPress от брутфорса у вас возникнут сложности — вы всегда можете обратиться ко мне за помощью. Контакты здесь.

Кстати

Как получить число лайков и репостов страницы ВКонтакте?. Я совсем недавно рассказывал как получить и вывести цифрами количество лайков Фейсбук. Сегодня я расскажу как получить количество лайков и репостов ВКонтакте. Действительно, часто возникает сильная необходимость сохранить единый стиль социальных счетчиков. Кроме этого, на основе полученных данных можно производить расчеты популярности тех или иных…

Выводим цифрами количество лайков страницы Facebook. Вроде бы мелочь, но иногда бывает очень нужно получить и вывести цифрами количество лайков или подписчиков страницы на Facebook. Например, чтобы создать и вписать в дизайн сайта нестандартную кнопку лайка. Для этого вы может воспользоваться простенькой функцией fb_fan_count(). function fb_fan_count($facebook_name){ $data = json_decode(file_get_contents("https://graph.facebook.com/".$facebook_name)); echo $data->likes; }…

Исправляем ошибку «Maximum execution time of 30 seconds exceeded» в WordPress. Ошибка «Maximum execution time of 30 seconds exceeded» иногда возникает во время обновления WordPress. Да, действительно скорость соединения сайта с серверами WordPress может быть не достаточна, в связи с чем время, необходимое на скачивание и установку обновления выходит за пределы отведенных 30 секунд. Некоторое время…


Источник: http://danilin.biz/wordpress-bruteforce-security.htm

Сергей Рудюк 7 июля 2015

Если Ваш сайт, написанный на базе популярного движка (WordPress, Joomla, Magento и др.), стал сильно тормозить, а в логах доступа сервера Вы видите множество обращений к странице логина или к странице администрирования, знайте — ваш сайт «нашли» боты-брутфорсеры и пытаются подобрать пароль администратора.Если с Вашим паролем всё нормально (он длинный и набран цифрами и буквами в разных регистрах), то Вы можете быть уверены, что брутфорсер его не подберёт. Но сам факт того, что происходит подбор, а тем паче то, что при этом страшно грузится сервер и расходуется трафик (особенно если на вашем хостинге он платный) откровенно говоря, напрягает.

Ниже я расскажу как избавиться от этой проблемки очень простым и бескровным способом.

Сперва предыстория. Проблемой я озаботился спустя некоторое время после того, как перешёл с «самодельного» движка на WordPress (впрочем, это мог бы быть любой другой более-менее распространённый движок). Запилил первый сайт и уже через неделю увидел в логах огромное количество запросов к странице логина. Поиски в интернете выводили на множество «рецептов», подавляющее большинство которых заключается в переименовании файла wp-login.php и его правке (поскольку адрес самой страницы неоднократно встречается в самом файле wp-login.php и других файлах движка.

Но этот способ означает правку ядра WordPress. А это влечёт за собой невозможность получать регулярные автоматические обновления ядра, а также несовместимость с некоторыми плагинами. К тому же способ абсолютно не спасает против тех роботов, которые ищут «дыры» в админке и плагинах, обращаясь с хитроумными параметрами по адресам вида /wp-admin/* В общем, этот способ сразу был отвергнут.

А идея моя заключается вот в чём.

Нужно завести специальную куку, такую, чтобы при её отсутствии сам сервер (Apache или Nginx) перехватывал обращения к странице логина или админке и выдавал вместо кода страниц код состояния 404, означающий полное отсутствие по этим адресам каких-либо страниц). А при наличии куки сервер должен просто обходить эту проверку и сайт должен работать как ни в чём не бывало. Брутфорсеры не тупые, они не будут бесконечно «долбать» отсутствующий URL и отступят.

Куку я планировал устанавливать автоматически с помощью секретного скрипта, который кроме всего прочего (для моего удобства) должен также переносить меня на страницу логина.

Теперь дело за реализацией.

Я привожу кусок конфига для Nginx, поскольку я пользуюсь только этим сервером, но, зная идею, Вы самостоятельно можете написать конфигурацию для Apache или другого сервера.

server { listen 80; server_name mysite.ru; root /var/www/mysite.ru/; index index.php; # ... Вот он наш кусок ... if ($cookie_mysecretcookie != "secretcookievalue") { rewrite ^/(wp\-admin/|wp\-login\.php) /not-found redirect; } # .... Конец куска .... }

Теперь файл PHP с секретным именем, который будет данную куку устанавливать:

<?php // Ставим секретную куку на месяц setcookie('mysecretcookie', 'secretcookievalue', time() + 3600 * 24 * 30, '/', 'mysite.ru', null, true); header('Location: http://mysite.ru/wp-admin/index.php');

Обратите внимание, что кука устанавливается на 1 месяц, значит, в течение месяца Вы можете заходить в админку даже не запуская этот секретный файл.

Вот и всё. Просто, правда? Разумеется, этот рецепт может быть повторен абсолютно для любого движка, Вам нужно будет только поменять пути и названия файлов.

Что-то непонятно? Спросите в комментариях!


Источник: http://epsiloncool.ru/programmirovanie/php/zashhita-sajta-ot-brutforsa-bez-pravki-koda

Адрес и телефон
E-mail: rs@corp2.net Skype: rudjuk
г. Киев, ул. Белорусская 30, офис. К2Р (схема проезда)
Мы в сети
Меню
www.megastock.ru Здесь находится аттестат нашего WM идентификатора 000000000000
Проверить аттестат
Наверх