Update плагина belavir
По просьбам трудящихся в плагин belavir внесено небольшое, но существенное изменение. Теперь священное право нажать на кнопочку “Сбросить/обновить хэш файлов” имеет только юзер, обладающий правами на редактирование шаблона. Остальные будут только видеть сообщение о наличии или отсутствии изменений.
Скачать плагин.
По многочисленным просьбам возвращаю плагин народу 
Для тех, кто не знает, о чем речь, вкратце поясню. Этот плагин считает хеши (контрольные суммы, если так понятней) php-файлов блога и сравнивает с сохраненными значениями. В случае несовпадения выводит на дашборде (панели приборов) список измененных файлов.
UPD Умные люди сделали замечание, что так как директория /wp-content/uploads/, в которой плагин хранит файл хешей, видна всем, то злоумышленник легко может утащить этот файл и узнать какие плагины у вас стоят (абсолютно ничего страшного в этом нет, т.к. злоумышленники легко выпасают дырки путем перебора известных уязвимых плагинов; да и очень многие плагины и так заявляют о себе во весь голос, достаточно посмотреть html сгенерированной страницы), а потому нужно перед использованием плагина вымыть руки поменять имя файла или директорию хранения.
Я же советую сделать по-другому - разрешить посетителям забирать из uploads только файлы разрешенных типов, создав в директории uploads файл .htaccess наподобие такого:
<FilesMatch "\.(gif|jpg|png)$">
Allow from all
</FilesMatch>
Deny from all
Кроме скрытия вышеупомянутого файла, вы получите некоторую защиту от одного из стандартных методов взлома, когда под видом картинки на сайт загружается скрипт.
UPD2 В текущей версии файл хешей именуется .htbelavir. Если на хостинге файлы с такими именами доступны для просмотра по http, то никакие маневры не помогут защитить сайт.
Comment igrok54 — 28 июня 2008 в 00:21
Спасибо за исправления и оперативность!
Comment Максим — 3 июля 2008 в 16:11
Приветствую Юрий.
Установил и потестировал ваш плагин - это нечно, огромное вам спасибо! Уж я могу оценить его важность - у меня два блога как-то взламывали так, потом долго приходилось искать где же прописали ифреймы…
Спасибо!
Есть ещё такая мысль, плагин, который определял бы наличие новых загруженных файлов. Не секрет, что зачастую вместе с изменениями в коде, злоумышленники ещё и бэкдоры оставляют в виде какого-нибудь шела(одним файлом). И вот тогда, было бы очень полезно знать, в какую папку его закинули… но это так, мысли вслух.
Comment Ю.Б. — 3 июля 2008 в 16:15
А вот тут как раз это дело обсуждается.
Comment Мишо — 15 октября 2008 в 14:55
Юрий, простите, не совсем понял, как пользоваться плагином.
На панели появилась надпись “Измененные файлы” и кнопка “Сбросить/обновить хэш”.
Я правильно понимаю, что если нет сообщения о наличии изменений, то все нормально?
На кнопку нажал, но опять же не понял, что произошло - внешне все то же самое.
Я-то к чему: вчера трояна изловил, который навесил ссылок на виагру обильно.
Comment Ю.Б. — 15 октября 2008 в 15:02
Если списка измененных файлов нет, значит ничего не поменялось с момента первого запуска или нажатия на кнопку “обновить”. Если что-то изменится - он напишет.
Comment 50u15pec7a70r — 6 февраля 2009 в 09:50
А вот такая проблема
почемут-то “залип” сброс, т.е. после нажатия ничего не происходит
Я понимаю, что дело в правах, но даже под админом не работает
Comment Ю.Б. — 6 февраля 2009 в 10:11
Если движок не имеет прав на запись в директорию /wp-content/uploads/ (то есть, права на нее не 777), то админ ты, или юзер бесправный - эффект один.
Comment dert88 — 15 марта 2009 в 09:56
Спасибо, за плагин:) уже давно им пользуемся
Пинг Проверка целостности файлов – плагин для WordPress | Достижение финансовой независимости dert88.ru — 16 марта 2009 в 13:10
[...] http://blog.portal.kharkov.ua/2008/06/27/belavir/ - сайт разработчика и страница плагина [...]
Пинг Яндекс теперь сообщает веб-мастерам о заражении сайтов. И плагин для защиты блога на WP от заражения. | Сергей Токарев — 20 мая 2009 в 14:28
[...] от себя, пользователям WordPress хочу порекомендовать вот этот плагин. Он считает хеши (контрольные суммы) php-файлов блога и [...]
Пинг Русский WordPress 2.7.1 Lecactus Edition | Lecactus Home — 11 июня 2009 в 11:35
[...] belavir (md5) — Этот плагин счтитает хеши (контрольные суммы, если так понятней) php-файлов блога и сравнивает с сохраненными значениями. В случае несовпадения выводит на дашборде (панели приборов) список измененных файлов. [...]
Пинг Защита блога на WordPress — 29 июня 2009 в 20:26
[...] Anti-XSS attack - предупреждение и защита от XSS-атак блога и Belavir - показывает в админке измененные [...]
Comment Евгений — 27 ноября 2009 в 11:42
А как можно скрипт http://www.portal.kharkov.ua/soft/treechck.zip доработать? Очень полезный, у меня на всех сайтах на разных движках стоит. Нужно бы включить исключения. А то постоянно скрипт выдаёт длинный список изменённых кэш файлов, типа: Deleted file /cache/cache_94afbfb2f291e0bf253fcf222e9d238e_9958d93e3fd5c5ef03b556a2e91c60ff
Comment Ю.Б. — 27 ноября 2009 в 12:06
Можно, дорабатывайте
Предположительно нужно добавить дюжину букв в строку
if ($file == '.' or $file == '..') continue;чтобы вышло что-то типа
if ($file == '.' or $file == '..' or $file == 'cache') continue;Извините, проверять некогда.
Пинг Безопасность Wordpress. Что необходимо сделать в первую очередь | Wordpress — 1 декабря 2009 в 07:02
[...] Belavir – позволяет отслеживать изменения в основных php файлах http://blog.portal.kharkov.ua/2008/06/27/belavir [...]
Пинг Безопасность wordpress. Шаг 1. | Wordpress — 1 декабря 2009 в 13:44
[...] Belavir – позволяет отслеживать изменения в основных php файлах http://blog.portal.kharkov.ua/2008/06/27/belavir [...]
Пинг Аноним — 16 января 2010 в 08:27
[...] соответствующие меры. В этом нам может помочь плагин Belavir, который покажет, какие файлы вордпресса или вашей [...]
Пинг Следим за изменениями в php файлах блога « CMS системы — 28 марта 2010 в 20:04
[...] Автор плагина: Юрий Белотицкий [...]
Comment Ksana — 18 апреля 2010 в 17:00
Ю.Б., при помощи вашего плагина вчера выловила посторонний код в теме. Спасибо!
Comment AzotQ — 23 мая 2010 в 19:19
А где скачать плагин?
Comment Ю.Б. — 23 мая 2010 в 20:44
Не знаю. Я его
большепока раздавать не буду. Не хочу, чтобы меня обвиняли в том, что кому-то сломали блог из-за мифической “уязвимости” в моем плагине. Надоело доказывать, что директория wp-uploads, не закрытая для не предназначенных для скачивания файлов, является проблемой админа сайта, и что хакерам сто лет не нужно получать список всех плагинов, им достаточно проверить наличие известных им плагинов с уязвимостями.Могу посоветовать только поискать в официальном репозитарии плагин аналогичного назначения. Он отличается от моего тем, что проверяет “сам”, не дожидаясь прихода админа, и отсылает предупреждение на почту, если я правильно понял.
Также рекомендую почитать http://blog.portal.kharkov.ua/2010/03/20/ftpinfo/
Comment Алексей — 12 июня 2010 в 10:27
Здравствуйте. На своих сайтах использовал этот плагин и он часто помогал мне, но после того как полетел винт плагин сервера, плагина у меня нет. Не могли бы Вы прислать мне его на почту, потому что не хочется скачивать его откуда-либо кроме сайта разработчика?