Eweb InfoPro - Web design, SEO, Promovare Siteuri

- Web design - Aplicatii Web - Websiteuri de calitate - Magazin online -

Blog
  Acasa      Servicii      Oferte      Portofoliu      Cere Oferta      Avantaje      Companie      Contact   

Securizarea instalarii WordPress-ului

Acum cativa ani, doar hacker-ii puteau sparge si desfiinta website-uri, datorita nivelului lor de cunoastere a sistemelor, a retelelor si a codarii. Mai recent, insa, lucrurile s-au schimbat si cam oricine poate gasi pe Internet tutoriale care arata pas cu pas procedurile de spargere a site-urilor care ruleaza software vulnerabil.

La Kualo, luam in serios problema securitatii si am implementat mai multe sisteme menite sa va protejeze aplicatiile de exploatare. Nu putem, insa, proteja fiecare piesa de software pe care clientii o opereaza pe site-ul lor, asa cum nu exista nicio metoda garantata de a va proteja site-urile de a fi exploatate daca sunt vulnerabile pentru ca nu ati instalat ultimele noutati, ati codat slab plugin-urile sau codul custom.

Acest tutorial doreste sa se axeze pe o aplicatie web populara printre clientii nostri – WordPress. O sa va oferim ponturi si sugestii care va vor ajuta sa adaugati un nou nivel de securitate pentru instalarile WordPress.

Puncte importante

  • Instalati mereu noutatile WordPress, inclusiv (crucial!) orice plugin-uri pe care le-ati instalat.
  • Creati un nou user de Admin cu un utilizator custom si apoi stergeti utilizatorul “admin” prestabilit, deoarece multe atacuri vor targeta numele de useri standard.
  • Schimbati-va contul si parola de admin regulat
  • Instalati doar plugin-uri care au recenzii bune in comunitatea WordPress si care sunt in mod activ dezvoltate.

Cand instalati WordPress, schimbati prefixul predefinit al bazei de date. Toate instalarile predefinite de WordPress folosesc prefixul de baza de date “wp_”, fapt care usureaza cu mult sarcina oricarui exploatator. Puteti schimba acest prefix in ceva unic in timpul instalarii; si daca ati instalat deja, apoi urmatorul plugin va poate ajuta sa schimbati prefixul bazei de date WordPress in doar cateva clickuri: http://wordpress.org/extend/plugins/db-prefix-change/

 

Securizarea WordPress

Mai jos gasiti o lista de modificari sau ajustari recomandate pentru instalarile dvs. WordPress. Cititi cu atentie si, daca aveti intrebari, contactati exhipa de suport inainte de a incepe.

  1. Ascundeti-va versiunea de WordPress. Daca va ascundeti versiunea de WordPress, va fi mai greu ca botii care colecteaza informatii despre site sa identifice daca rulati o versiune vulberabila sau nu. Puteti folosi urmatorul plugin pentru a va ajuta: http://wordpress.org/extend/plugins/hide-wordpress-version/ .
  2. Preveniti accesul via wp-login.php daca aveti WordPress 3.8+ (vezi articolul similar)
  3. Securizati accesul catre directorul wp-includes. Acesta este o tinta a hacker-ilor care vor sa plaseze fisiere periculoase de fiecare data ce gasesc o instalare vulnerabila. Adaugati urmatoarele randuri la fisierul .htaccess in directorul de instalare WordPress.

Apache

# Block include-only files.

RewriteEngine On

RewriteRule ^wp-admin/includes/ – [F,L]

RewriteRule !^wp-includes/ – [S=3]

RewriteRule ^wp-includes/[^/]+\.php$ – [F,L]

RewriteRule ^wp-includes/js/tinymce/langs/.+\.php – [F,L]

RewriteRule ^wp-includes/theme-compat/ – [F,L]

# End block include-only files
Blocati botii motoarelor de cautare sa va rasfoiasca directoarele. Google si alte motoare de cautare pot face crawl la multe url-uri nedorite si le pot expune hacker-ilor. Cel mai bine e sa impiedicati bot-ul Google si toti ceilalti boti care urmeaza robots.txt (nu toti fac asta) de la a indexa orice altceva decat continutul dvs. Fisierul robot.txt intra in root folder-ul site-ului dvs. si e doar un fisier text. Editati/ Creati fisierele robots.txt in folderul public_html si aveti grija sa urmeze urmatorii parametriAtentie, asta nu va functiona la instalarile Multisite WordPress, deoarece linia RewriteRule ^wp-includes/[^/]+\.php$ – [F,L]  va impiedica fisierul ms-files.php sa genereze imagini. Daca omiteti acest rand, codul va functiona, insa veti avea mai putina securitate.

User-agent: *

Crawl-delay: 10

Disallow: /feed/

Disallow: /trackback/

Disallow: /wp-admin/

Disallow: /wp-content/

Disallow: /wp-includes/

Disallow: /xmlrpc.php

Disallow: /wp-*
Va recomandam sa instalati urmatoarele plugin-uri in instalarea WordPress pentru a adauga un nou nivel de securitate. Va rugam sa retineti ca nu trebuie sa le instalati pe toate, alegeti-le doar pe cele care va sunt de folos:Precautiuni suplimentare

  • http://wordpress.org/plugins/rename-wp-login/ – Redenumeste pagina de login WordPress pentru a preveni atacuri in forta impotriva instalarii (WordPress 3.8+)
  • http://wordpress.org/plugins/login-security-solution/ – Login Security Solution (Solutie de Securitate Login): Blocheaza IP-urile dupa mai multe erori de autentificare. Un plugin grozav pentru atacurile in forta impotriva instalarilor WordPress.
  • http://wordpress.org/extend/plugins/stealth-login-page/ – Va schimba pagina de login cu o adresa pe care o veti cunoaste numai dvs.
  • http://wordpress.org/extend/plugins/bulletproof-security/ – WordPress Website Security Protection: BulletProof Security va protejeaza site-ul WordPress de tentativele de hacking XSS, RFI, CRLF, CSRF, Base64, Code Injection si SQL Injection.
  • http://wordpress.org/plugins/ultimate-security-checker/ – Ultimate Security Checker este un plugin care va ajuta sa identificati problemele de securitate legate de instalarea WordPress. Scaneaza blogul si ii noteaza gradul de securitate pe baza testelor
  • http://wordpress.org/plugins/block-bad-queries/ – Block Bad Queries (BBQ) este un script simplu care va protejeaza website-ul de cereri URL periculoase. BBQ verifica tot traficul care intra si blocheaza “pe ascuns” cererile care contin chestii rele ca eval(, base64_, si lanturi de cereri excesiv de lungi.

Speram ca v-a placut acest tutorial. Tineti minte, echipa noastra tehnica va sta la dispozitie 24/7 pentru orice intrebari prin portalul clientilor.

 

Comments

comments

Tags:




 |  Acasa  |  Servicii  |  Oferte  |  Portofoliu  |  Cere Oferta  |  Avantaje  |  Companie  |  Blog  |  Contact  | 
Copyright © Eweb InfoPro - Web Design - 2007 - 2018 Web Design Bucuresti, Web Design Ploiesti