Artificii pentru imbunatatirea securitatii WordPress
| March 6th, 2008Sunt de acord cu cei care spun ca pentru a avea un blog de succes trebuie ca in primul rand acel blog sa fie sigur si sa nu aiba hibe de securitate. In acet post vreau sa va spun ceea ce am reusit sa aflu despre securitatea WordPress-ului si cum sa-l faceti cat mai sigur. Sa incepem:
- Nimeni nu ar trebui sa aiba acces sa caute pe intregul tau server.
WPdesigner ne anunta sa nu folosim acest cod de cautare in fisierul search.php:
Pentru ca nimeni sa nu aiba acces la server foloseste mai degraba aceasta comanda:
<?php echo $_SERVER ['PHP_SELF']; ?>
<?php bloginfo ('home'); ?>
Blocheaza motoarele de cautare ca sa nu indexeze directoarele care incep cu WP, cea mai buna metoda pentru a bloca este ca in robots.txt sa adaugati urmatoarea linie:
Disallow: /wp-*
- Directoarele nu ar trebui fi deschise pentru browsing-ul public.
Exista un potential de risc foarte mare daca oamenii stiu ce pluginuri folosesti sau ce versiune este instalata pe site-ul tau. Daca printre ei sunt si oameni care stiu despre exploiturile care afecteaza anumite pluginuri, ei pot foarte usor sa foloseasca aceste brese de securitate in avantajul si interesul lor. Creeaza un fisier gol wp-content/plugins/index.html sau adauga in .htaccess-ul tau urmatoarea linie:
Options All -Indexes
- Afisarea versiunii WordPress-ului in meta tagurile site-ului.
Foarte multe teme WordPress au WordPress Meta Tag, cel care area arata versiunea WordPress-ului care ruleaza pe site-ul tau. Prin aceasta informatie hackerii pot afla foarte usor ca nu ti-ai upgradat fisierele de securitate. O solutie este cea pe care am prezentat-o in articolul precedent. O alta solutie este sa faceti upgrade la ultimele versiuni ale plugin-urilor.
Tagul cu pricina care iti afiseaza versiunea WordPress-ului se afla in fisierul header.php:
<meta content=”WordPress <?php bloginfo(’version’); ? />” name=”generator” /> - Protejeaza-ti directorul wp-admin.
Atacatorii pot folosi boti de tip “brute force” sau pot, foarte simplu sa ghiceasca datele de login la administrarea site-ului.- Limiteaza accesul la directorul wp-admin de la o singura adresa IP – Aceasa solutie inseamna a restrictiona IP-urile de la care se poate accesa directorul wp-admin. Aceasta restrictie se face cu ajutorul .htaccess. Aceasta solutie are un neajuns. Acesta este ca nu poti face update la .htaccess daca ISP-ul tau iti aloca IP dinamic, daca te afli intr-o alta locatie sau daca ai autori in alte locatii.
- AskApache Password Protect – Acest plugin functioneaza simplu, adauga un al doilea nivel de securitate pentru blogul tau, cerand username si parola pentru a accesa directorul wp-admin. Tot ceea ce trebuie este se alegi un username si o parola si ai rezolvat problema. Pluginul scrie in fisierul .htaccess. Deasemenea cripteaza parola si creeaza fisierul .htpasswd.
- Updateaza plugin-urile/widget-urile si versiunea de WordPress. Deasemenea aboneaza-te la RSS-urile autorilor de pluginuri/widgeturi/teme. Acest lucru te ajuta foarte mult pentru a fi la curent cu toate modificarile.
.