Skocz do zawartości

Zabezpieczenie Wordpress cz. I


AmXuLiC

Rekomendowane odpowiedzi

Na wstępnie poradnik okrojony ponieważ po rozmowie z Ciamciajem doszliśmy do wniosku że informacje które chciałem podać mogły by wywołać kontrowersje.

Zaktualizowany poradnik na temat zabezpieczenia Wordpress znajdziesz w mentoringu moderatora Harry!

Zabezpieczenie Wordpress i Anonimowość w Internecie!

 

Co zawiera poradnik:

  1. Dlaczego warto zabezpieczyć bloga?
  2. Główne typy ataków na wordpress [krótkie wyjaśnienie]
  3. Podstawowe sposoby zabezpieczenia bloga
  4. Zakończenie

Dlaczego warto zabezpieczyć bloga:

Pomyśl napracowałeś się nad blogiem, znalazłeś "złotą niszę", rozreklamowałeś i zarabiasz. Przypadkiem [bądź też nie] na twój blog trafia osoba której nie chce się wszystkiego robić od 0. Niestety ale ma pojęcie na temat włamań na wordpress i co robi?, jest kilka opcji:

  • Kradnie szablon + niszę
  • Kładzie twojego bloga aby pozbyć się niepotrzebnej konkurencji
  • Podpina swój download pod twój blog [najbardziej chamskie ale efekty daje duże :D]
  • Itp.

Nie jest to zbyt fajne prawda?. Więc utrudnijmy innym włam na naszego bloga.

 

Główne typy ataków:

* Brute Force - Czyli zgadywanka. Skrypt w oknie logowania do panelu wordpress próbuje wszystkich możliwych sposobów loginu i hasła. Metoda ta jest czasochłonna i w aktualnych czasach mało skuteczna no chyba że ktoś ma passy: Login: Admin1 Hasło: Maslo.

* SQL Injection - Pewnie większość z was zna ten sposób jeśli interesujecie się programowaniem itp. Jest to jeden z najmocniejszych w tych czasach typ ataku. Głównie polega on na znalezieniu luki w zabezpieczeniach. Dokładniej przesyłanie zapytań SQL. Niestety przed tym sposobem ataku nie ma szans zabezpieczyć się w 100% ale można bardzo utrudnić.

* Malware - To chyba każdy zna, po prostu pilnujcie jakie wtyczki instalujecie na wordpress i co wgrywacie do FTP.

* Phishing - Atak crackerski czyli strona fikcyjna np. wordpress.org która każe potwierdzić dane. Dlaczego o tym piszę?. Ponieważ niedawno powstała strona jakiejś dobrej wtyczki do wordpress płatnej [dokładnie nie pamiętam], była to wersja "trail" na 1 miesiąc tej wtyczki. Na stronie był automat do instalacji wystarczyło podać dane do FTP lub [panelu]. Bardzo dużo stron zostało hakniętych przez to.

 

Podstawowe sposoby zabezpieczenia bloga:

Opisywać nie  będę że musicie zmienić hasło i login admina WP, bo to każdy powinien wiedzieć.

 

1.  Wtyczka LoginLockdown - Możliwość ustawienia blokowania po kilku próbach logowania do panelu WP. Bardzo przydatne zabezpieczenie przed atakiem typu Brute Force.

Link:

http://wordpress.org/plugins/login-lockdown/

2. Integrujemy bloga z websitedefender Link:

http://www.websitedefender.com/

Bardzo polecam te zabezpieczenie testowałem je na swoim blogu dawniej [nie pytajcie jak :D].

 

3. Zmień/usuń wersję wordpress. Jest to bardzo ważne ponieważ potencjalny włamywacz pierwsze sprawdza wersję wordpress, gdy zobaczy jaką mamy wersję ma 50% sukcesu. Ponieważ będzie wiedział jakie dokładnie luki ma ta wersja co za tym idzie wykluczy typy ataktów które są nieskuteczne lub trwają dłużej. Zmiana jest prosta wystarczy zmienić w kodzie.

<meta name="generator" content="WordPress <?php bloginfo('version'); ?>" />

Najlepiej zostawcie same WordPress lub dla zmyłki ustawcie jakąś archiwalną wersję :D.
 Sprawdzcie pliki header.php i functions.php. W functions php wystarczy dodać:

<?php remove_action('wp_head', 'wp_generator'); ?>

Lub tak jak pisałem wyżej samemu sobie wpisać wersję :D.

4. Jest to metoda i dobra i zła. Jeśli używamy jednego ip do łączenia się z panelem bloga i nigdzie u kolegi czy gdzieś nie będziemy wchodzić polecam ustawić ograniczenie dostępu do katalogu.

Robi się to w pliku .htaccess

AuthUserFile /dev/nullAuthGroupFile /dev/nullAuthName "Autor"AuthType Basic order deny,allowdeny from allallow from TWÓJ ADRES IP

Plik umieszczamy w folderze wp-admin [nie w głównym!]. Tutaj gdzie "twój adres ip" wpisz swoje ip. Pamiętaj jeśli masz zmienne ip to sposób nie zadziała.

 

5. Wyświetlanie zawartości wtyczek - Jak wiemy wtyczki najczęściej tworzą osoby prywatne a co za tym idzie mają pełno luk. Jest to bardzo dobry sposób na włam więc lepiej zabezpieczyć. Sposób zabezpieczenia jest dziecinnie prosty. W katalogu który chcesz zabezpieczyć umieść pusty plik index.html

 

6. SQL Injection - Najważniejsze zabezpieczenie jakie powinieneś zrobić przy instalacji wordpress. Podstawowym prefixem jest jak każdy wie wp_ i musimy go zmienić. Najłatwiejszym sposobem dla laika jest po prostu użycie wtyczki Acunetix WP Security.

Link:

http://wordpress.org/plugins/wp-security-scan/

Możemy również użyć skanerów [polecam]:

  • PunkSpider
  • Skaner Online:
http://sitecheck.sucuri.net/scanner/

Co w 2 części:

Jeśli opracuję dobrze [tak abyście wiedzy zdobytej nie wykorzystali do czegoś innego niż zabezpieczenia] dowiecie się:

  • Jak znajdować luki w wordpress ręcznie [działa to lepiej niż skannery bo wyszuka 100%]
  • Jak je zabezpieczyć za pomocą skryptów [głównie własnych]
  • Łatwe triki związane z zabezpieczeniem :).

Sorry że taki długi poradnik, życzę miłej lektury.

 

  • Super 9

 

Użytkownik oskarżony o oszustwo.

 

Odnośnik do komentarza

Zarejestruj się za darmo i naucz się zarabiać online!

  • Dostęp do darmowych poradników pokazujących krok po kroku jak zarabiać w Internecie
  • Sposoby zarabiania niepublikowane nigdzie indziej
  • Aktywna społeczność, która pomoże Ci rozwiązać problemy i doradzi
  • Profesjonalne treści na temat SEO, social media, afiliacji, kryptowalut, sztucznej inteligencji i wiele więcej!

Albo przez directadmina, czy jeszcze coś pominąłem :D?

Ps. Warto aktualizować WP?

Wordpress z każdą aktualizacją teoretycznie jest bardziej zabezpieczony. Mimo to polecam poczekać kilka dni po wydaniu aktualizacji niech naprawią bugi które znajdą ludzie aby nie było problemów.

 

Użytkownik oskarżony o oszustwo.

 

Odnośnik do komentarza

Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto

Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.

Zarejestruj nowe konto

Załóż nowe konto. To bardzo proste!

Zarejestruj się

Zaloguj się

Posiadasz już konto? Zaloguj się poniżej.

Zaloguj się
  • Polecana zawartość

    • Poradnik podatkowy - jak rozliczać się z pieniędzy zarobionych przez Internet bez DG?
      Zarabianie w Internecie wiąże się z koniecznością płacenia podatków - a rozliczanie się z urzędem skarbowym nie jest jednoznaczne i proste. Prawo podatkowe w Polsce jest nieujednolicone - co oznacza, że każdy urząd skarbowy może mieć inne interpretacje. Sprawdź jak się za to zabrać!
        • Dzięki!
      • 12 odpowiedzi
    • JDG - Jak zarejestrować, rozliczać i prowadzić działalność gospodarczą w Polsce
      Jednoosobowa działalność gospodarcza (JDG) to najprostsza forma prowadzenia działalności gospodarczej w Polsce. Jest to działalność prowadzona przez jedną osobę fizyczną na własne nazwisko i na własne ryzyko. Jednak mimo, że nazywa się jednoosobowa - daje jednak możliwość zatrudniania pracowników. Takich firm jest zarejestrowanych w Polsce zdecydowanie najwięcej. Sprawdź jak zarejestrować, rozliczać i prowadzić własną JDG!
      • 3 odpowiedzi
    • Inwestowanie w obligacje detaliczne skarbu państwa - od podstaw!
      Sprawdź jak inwestować w obligacje skarbowe - krok po kroku! Detaliczne obligacje skarbowe to rodzaj obligacji emitowanych przez Państwo, które są oferowane indywidualnym inwestorom, takim jak osoby fizyczne, a nie instytucjom finansowym.

      Są to instrumenty dłużne, nienotowane na żadnym rynku, co oznacza że kupując taką obligację, w praktyce pożyczasz pieniądze państwu na określony czas, a w zamian otrzymujesz odsetki. Można więc powiedzieć że obligacje są indywidualną pożyczką na określony % dla Skarbu Państwa. Państwo odda Ci więcej niż od Ciebie pożyczyło.
      • 7 odpowiedzi
    • Jak pozyskiwać i zarabiać na poleconych dzięki make-cash.pl
      W tym poradniku przedstawiam możliwości dostępne dla każdego użytkownika. Dowiesz się jak efektywnie wykorzystać forum do zbierania poleconych i budowania dodatkowych zysków.

      Make-cash.pl to miejsce, gdzie ludzie dzielą się swoimi doświadczeniami, poszukują porad i rekomendacji, a także nawiązują wartościowe kontakty. Codziennie odwiedza nas minimum 2000 unikalnych osób, które są zainteresowane zarabianiem przez Internet - a to ogromny potencjał, z którego może korzystać nie tylko administracja - ale każdy użytkownik forum !
      • 2 odpowiedzi
    • Jak pisać treści na stronę internetową z wykorzystaniem AI
      Tworzenie treści od podstaw może być procesem czasochłonnym. Istnieje wiele mniejszych kroków, o których należy pomyśleć w drodze do stworzenia atrakcyjnych treści, takich jak badanie rynku, SEO i redagowanie tekstu, a to tylko początek. Jednak nie musisz zaczynać od zera, gdy istnieją narzędzia AI, które mogą pomóc w tworzeniu wysokiej jakości treści. 
      • 13 odpowiedzi
×
×
  • Dodaj nową pozycję...

Powiadomienie o plikach cookie

Ta strona korzysta z ciasteczek, aby świadczyć usługi na najwyższym poziomie. Dalsze korzystanie z witryny oznacza zgodę na ich wykorzystanie. Polityka prywatności .