Ca va vine sa credeti sau nu, exista persoane rau intentionate care s-au adaptat la “wordpress” si pot intra in blog-ul dvs prin nenumarate metode producand haos. Sunt sigura ca le-ati vazut efectul in rezultatele de cautare Google, care au fost etichetate cu site-ul “Acest mesaj poate dauna computerului” direct sub titlu, sau citi povesti despre blog-uluri care au fost “hacked”.
Daca efectuati o cautare rapida pe vulnerabilitatea bazelor de date nationale, veti gasi caWordPress are un numar tot mai mare de vulnerabilitati. Spre exemplu din oct 2009 au fost gasite 421 de vulnerabilitati – din care 25 sunt vulnerabilitati mari !
Articolul nu este un atac la WordPress. Ceea ce vreau sa intelegeti este ca wordpress pur si simplu nu este imun la problemele de securitate. Asa ca in acest articol, am de gand sa va arat unele remedieri rapide pe care le puteti face pentru a bloca unele probleme care pot aparea legat de securitate WordPress.
1. Upgrade wordpress cum devine disponibila o noua versiune pentru a remedia unele probleme legate de securitate care au fost rezolvate. Si in acelasi timp v-as sfatui sa scoateti afisarea versiunii wordpress in header tag.
” />
2. Editeaza cum trebuie wp-config.php. Utiliza?i WordPress secret key generation tool pentru a genera chei aleatoare. Aceste “chei” sunt utilizate pentru a asigura o mai bun? criptare a informatiilor stocate in cookie-urile utilizatorului WordPress.
define(’AUTH_KEY’, ‘R8~*lU!bh`Po?+fvlI9OQ2)7jmRcKM@S’);
define(’SECURE_AUTH_KEY’, ‘;7U:KwOscm)4IS2s%vXtD*kN;KUnj*Pr[A0-;lH-c#6G7]xx8uK{DQuR6AxhLQ&I’);
define(’LOGGED_IN_KEY’, ‘Eam=0O8define(’NONCE_KEY’, ‘Q&C{usN@r}n8pp|4(uSdls+X~c5K|Kv51ic +fOudf+>F1X=nMAD_lWwL2XEM`C;’);
De asemenea, inainte de instalare modifica prefixul tabelul de WordPress cu altceva, altele decat wp_. Adaugarea de caractere si numere aleatoare la sfarsitul WP, cum ar fi wp131xt_ obf este de indeajuns ca sa recunoasteti care tabele apartin de Wordpress.
3. Nu folositi username default admin. Daca instalati WordPress manual, aceasta implic? modificarea bazei de date. utilizatorii Fantastico au posibilitatea de a alege ce nume utilizator si parola, ca parte a procesului de instalare. Schimbarea presupune sa intrati in phpmyadmin – localizati baza de date wordpress »localizati si selectati tabelul wp_users » click iconita de browse » localizati admin si apoi click iconita de edit » sub coloana user_login schimbati admin in ce nume doriti, altul decat admin.
4. Alegeti o parola buna pentru administrator – cu numere si caractere in combinatie
5. Faceti back-up la wordpress cat se poate de des.
5. Nici un director nu ar trebui sa poata fi explorat. in .htaccess (unde aveti si wp-config) puneti urmatoarea regula
Options All -Indexes
6. Protejeaza fisierele administratorului. Daca aveti ip static in wp-admin faceti un .htaccess filecu regula urmatorare:
# acces Ip ului de acasa
Order Deny,Allow
Allow from ww.xx.yy.zz
Deny from all
Ati mai avea optiunea de a pune si parola -informatii aici authentication, authorization and access control.
7. Restrictioneaza accesul la wp-content
Cum probabil stiti deja wp-content este folderul unde se afla tema blogului si imagini. Faceti un .htaccess in wp-content cu linile urmatoare
Order Allow,Deny
Deny from all
< files ?\.(jpg|gif|png|js|css)$? ~>
Allow from all
Si cam pe astea le-am gasit eu …
Niciun comentariu:
Trimiteți un comentariu