Update плагина belavir
По просьбам трудящихся в плагин belavir внесено небольшое, но существенное изменение. Теперь священное право нажать на кнопочку “Сбросить/обновить хэш файлов” имеет только юзер, обладающий правами на редактирование шаблона. Остальные будут только видеть сообщение о наличии или отсутствии изменений. Скачать плагин.
Для тех, кто не знает, о чем речь, вкратце поясню. Этот плагин считает хеши (контрольные суммы, если так понятней) php-файлов блога и сравнивает с сохраненными значениями. В случае несовпадения выводит на дашборде (панели приборов) список измененных файлов.
UPD Умные люди сделали замечание, что так как директория /wp-content/uploads/, в которой плагин хранит файл хешей, видна всем, то злоумышленник легко может утащить этот файл и узнать какие плагины у вас стоят (абсолютно ничего страшного в этом нет, т.к. злоумышленники легко выпасают дырки путем перебора известных уязвимых плагинов; да и очень многие плагины и так заявляют о себе во весь голос, достаточно посмотреть html сгенерированной страницы), а потому нужно перед использованием плагина вымыть руки поменять имя файла или директорию хранения.
Я же советую сделать по-другому - разрешить посетителям забирать из uploads только файлы разрешенных типов, создав в директории uploads файл .htaccess наподобие такого:
<FilesMatch "\.(gif|jpg|png)$">
Allow from all
</FilesMatch>
Deny from all
Кроме скрытия вышеупомянутого файла, вы получите некоторую защиту от одного из стандартных методов взлома, когда под видом картинки на сайт загружается скрипт.
