Poradnik Zabezpieczenie Wordpress cz. I

Na wstępnie poradnik okrojony ponieważ po rozmowie z Ciamciajem doszliśmy do wniosku że informacje które chciałem podać mogły by wywołać kontrowersje.

Zaktualizowany poradnik na temat zabezpieczenia Wordpress znajdziesz w mentoringu moderatora Harry!

Zabezpieczenie Wordpress i Anonimowość w Internecie!

Co zawiera poradnik:

1. Dlaczego warto zabezpieczyć bloga?
2. Główne typy ataków na wordpress [krótkie wyjaśnienie]
3. Podstawowe sposoby zabezpieczenia bloga
4. Zakończenie

Dlaczego warto zabezpieczyć bloga:

Pomyśl napracowałeś się nad blogiem, znalazłeś "złotą niszę", rozreklamowałeś i zarabiasz. Przypadkiem [bądź też nie] na twój blog trafia osoba której nie chce się wszystkiego robić od 0. Niestety ale ma pojęcie na temat włamań na wordpress i co robi?, jest kilka opcji:

• Kradnie szablon + niszę
• Kładzie twojego bloga aby pozbyć się niepotrzebnej konkurencji
• Podpina swój download pod twój blog [najbardziej chamskie ale efekty daje duże ]
• Itp.

Nie jest to zbyt fajne prawda?. Więc utrudnijmy innym włam na naszego bloga.

Główne typy ataków:

* Brute Force - Czyli zgadywanka. Skrypt w oknie logowania do panelu wordpress próbuje wszystkich możliwych sposobów loginu i hasła. Metoda ta jest czasochłonna i w aktualnych czasach mało skuteczna no chyba że ktoś ma passy: Login: Admin1 Hasło: Maslo.

* SQL Injection - Pewnie większość z was zna ten sposób jeśli interesujecie się programowaniem itp. Jest to jeden z najmocniejszych w tych czasach typ ataku. Głównie polega on na znalezieniu luki w zabezpieczeniach. Dokładniej przesyłanie zapytań SQL. Niestety przed tym sposobem ataku nie ma szans zabezpieczyć się w 100% ale można bardzo utrudnić.

* Malware - To chyba każdy zna, po prostu pilnujcie jakie wtyczki instalujecie na wordpress i co wgrywacie do FTP.

* Phishing - Atak crackerski czyli strona fikcyjna np. wordpress.org która każe potwierdzić dane. Dlaczego o tym piszę?. Ponieważ niedawno powstała strona jakiejś dobrej wtyczki do wordpress płatnej [dokładnie nie pamiętam], była to wersja "trail" na 1 miesiąc tej wtyczki. Na stronie był automat do instalacji wystarczyło podać dane do FTP lub [panelu]. Bardzo dużo stron zostało hakniętych przez to.

Podstawowe sposoby zabezpieczenia bloga:

Opisywać nie  będę że musicie zmienić hasło i login admina WP, bo to każdy powinien wiedzieć.

1.  Wtyczka LoginLockdown - Możliwość ustawienia blokowania po kilku próbach logowania do panelu WP. Bardzo przydatne zabezpieczenie przed atakiem typu Brute Force.

Link:

http://wordpress.org/plugins/login-lockdown/

2. Integrujemy bloga z websitedefender Link:

http://www.websitedefender.com/

Bardzo polecam te zabezpieczenie testowałem je na swoim blogu dawniej [nie pytajcie jak ].

3. Zmień/usuń wersję wordpress. Jest to bardzo ważne ponieważ potencjalny włamywacz pierwsze sprawdza wersję wordpress, gdy zobaczy jaką mamy wersję ma 50% sukcesu. Ponieważ będzie wiedział jakie dokładnie luki ma ta wersja co za tym idzie wykluczy typy ataktów które są nieskuteczne lub trwają dłużej. Zmiana jest prosta wystarczy zmienić w kodzie.

<meta name="generator" content="WordPress <?php bloginfo('version'); ?>" />

Najlepiej zostawcie same WordPress lub dla zmyłki ustawcie jakąś archiwalną wersję .
 Sprawdzcie pliki header.php i functions.php. W functions php wystarczy dodać:

<?php remove_action('wp_head', 'wp_generator'); ?>

Lub tak jak pisałem wyżej samemu sobie wpisać wersję .

4. Jest to metoda i dobra i zła. Jeśli używamy jednego ip do łączenia się z panelem bloga i nigdzie u kolegi czy gdzieś nie będziemy wchodzić polecam ustawić ograniczenie dostępu do katalogu.

Robi się to w pliku .htaccess

AuthUserFile /dev/nullAuthGroupFile /dev/nullAuthName "Autor"AuthType Basic order deny,allowdeny from allallow from TWÓJ ADRES IP

Plik umieszczamy w folderze wp-admin [nie w głównym!]. Tutaj gdzie "twój adres ip" wpisz swoje ip. Pamiętaj jeśli masz zmienne ip to sposób nie zadziała.

5. Wyświetlanie zawartości wtyczek - Jak wiemy wtyczki najczęściej tworzą osoby prywatne a co za tym idzie mają pełno luk. Jest to bardzo dobry sposób na włam więc lepiej zabezpieczyć. Sposób zabezpieczenia jest dziecinnie prosty. W katalogu który chcesz zabezpieczyć umieść pusty plik index.html

6. SQL Injection - Najważniejsze zabezpieczenie jakie powinieneś zrobić przy instalacji wordpress. Podstawowym prefixem jest jak każdy wie wp_ i musimy go zmienić. Najłatwiejszym sposobem dla laika jest po prostu użycie wtyczki Acunetix WP Security.

Link:

http://wordpress.org/plugins/wp-security-scan/

Możemy również użyć skanerów [polecam]:

• PunkSpider
• Skaner Online:

http://sitecheck.sucuri.net/scanner/

Co w 2 części:

Jeśli opracuję dobrze [tak abyście wiedzy zdobytej nie wykorzystali do czegoś innego niż zabezpieczenia] dowiecie się:

• Jak znajdować luki w wordpress ręcznie [działa to lepiej niż skannery bo wyszuka 100%]
• Jak je zabezpieczyć za pomocą skryptów [głównie własnych]
• Łatwe triki związane z zabezpieczeniem .

Sorry że taki długi poradnik, życzę miłej lektury.

Dodaj prefiks Poradnik do tematu.

Dodaj prefiks Poradnik do tematu.

Niestety nie mogę przy załadaniu też nie mogłem .

Pamiętajcie, także o dobrym dobraniu hostingu, bo jak ktoś wrzuci shella przez czyjąś stronkę i ominie base_dir to amen.

Przydatny temat, dla nowicjuszy jak i tych trochę obytych w PPA.

Jeszcze można by dodać, że shella może wrzucić przez naszą stronkę jak mamy lukę np. RFI w WP albo w jakiejś wtyczce. Dlatego najlepiej wykorzystywać tylko sprawdzone wtyczki i nie napieprzać nimi na stronce.

W jaki sposób zmienić hasło i login?

W jaki sposób zmienić hasło i login?

Przez panel admina, albo w DB.

W panelu nie znalazłem opcji do tego

W panelu nie znalazłem opcji do tego

No to DB (baza danych). http://jankwiatek.pl/jak-odzyskac-haslo-do-wordpress-przy-wylaczonej-funkcji-mail

Chodzi o zmian nazwy użytkownika, bo "Nazwy użytkowników nie mogą być zmieniane." Wcześniej nie sprecyzowałem, wybacz.

Dzięki przydało się

Leci reput.

Chodzi o zmian nazwy użytkownika, bo "Nazwy użytkowników nie mogą być zmieniane." Wcześniej nie sprecyzowałem, wybacz.

Może zmienić w bazie danych. NP. przez phpmyadmina.

To jest wtyczka do ściągnięcia?

To jest wtyczka do ściągnięcia?

PhpMyAdmin to aplikacja do zarządzania bazami danych, często udostępniana przez usługodawce.

Dziękuje.
Jakby trafiła się jakaś nowa osoba i również nie wiedziała, to dostęp do tego uzyskuje się przez napisanie domeny i dodanie /phpmyadmin  np. twojadomena.pl/phpmyadmin

Dziękuje.

Jakby trafiła się jakaś nowa osoba i również nie wiedziała, to dostęp do tego uzyskuje się przez napisanie domeny i dodanie /phpmyadmin  np. twojadomena.pl/phpmyadmin

Nie zawsze.

Albo przez directadmina, czy jeszcze coś pominąłem ?

Ps. Warto aktualizować WP?

Albo przez directadmina, czy jeszcze coś pominąłem ?

Ps. Warto aktualizować WP?

Wordpress z każdą aktualizacją teoretycznie jest bardziej zabezpieczony. Mimo to polecam poczekać kilka dni po wydaniu aktualizacji niech naprawią bugi które znajdą ludzie aby nie było problemów.

ok, a jak mam wersję 3.6 to nie będzie problemu z wtyczkami jak zaktualizuję?