Wordpress Securitate Sporita

7 / 11

2008

Taguri : .htaccess , parole , platforma , securitate , wordpress , wordpress hacking

Cand avem o platforma in continua dezvoltare ca wordpress este normal ca pot aparea diferite vulnerabilitati in acest system , iar cei care raman in urma cu update-urile sunt predispusi sa fie atacati de pusti care isi pierd timpul incercand sa gaseasca orice vulnerabilitate .

Dar dupa cum stim mai toti toate scripturile administrative se afla in folderul /wp-admin/ o simpla dar foarte eficienta metoda de protectie este sa cream un fisier .htaccess care sa restrictioneze alte ip-uri decat ip-ul nostru , daca avem ip dinamic putem pune doar primele cifre din ip , exemplu ip dinamic gen 86.131.211.xxx putem scrie in .htaccess decat 86.131.211 .

Deci cream un fisier .htaccess in folderul /wp-admin/ in care punem codul de mai jos cu mentinunea ca schimbam xxx.xxx.xxx.xxx cu ip-ul sau clasa noastra de ip .

Codul :

AuthUserFile /dev/null AuthGroupFile /dev/null AuthName "Azrael-Sub7 Security R1" AuthType Basic order deny,allow deny from all allow from xxx.xxx.xxx.xxx
Un alt plugin care ne ajuta la securitate este Safer Cookies , el leaga cookie-urile de ip-ul preluat in momentul in care userul s-a logat , astfel alt user daca reuseste sa va fure cookie-urile nu se poate loga daca nu are acelas ip si te poate scuti de repararea xss-urilor ca acesta http://ndrey.com/?theme=<script>alert(“plm”)</script> .

Alta problema a securitatii la wordpress este ca multi folosesc plugine ce fac backup-uri ale bazei de date direct in webiste-ul propriuzis , iar asta este o problema pentru ca oricine poate vedea ce ai tu in baza de date inclusiv parola encriptata a adminului ( care din pacate nu este encriptata in md5 ) un exemplu este http://deeas.ro/wp-content/backup-db/ , trebuie neaparat ca in acel folder sa plasati un fisier .htaccess cu codul :

order deny,allow deny from all

astfel incat contininutul fisierului sa fie accesibil numai prin ftp.

Nu uitati ca este bine sa aveti o parola de admin cat mai complexa eu folosesc generator de parole si am parole in genul : \”X3fafH$8$#gu*ZVT , ar fi bine sa schimbati si modul in care encripteaza wordpress parolele adminului ( asa cum am facut eu ) .

Eu am facut mai multe imbunatatiri de securitate la wordpress-ul care il folosesc si mereu verific toate pluginele pe care le am instalate pentru ca de multe ori acestea sunt construite prost si pot pune in pericol securitatea webiste-ului .

In categoria : Calculator si Net

Comentarii : Reguli si Informatii :

Comentarile ce constituie o jignire indirecta sau directa adresata oricarei persoane vor fi inlaturate !
Folosirea unui limbaj trivial , licentios nejustificat poate duce la inlaturarea sau cenzurarea comentariului .
Daca doresti o imagine asociata comentariului trebuie sa foloesesti Gravatar.com
Toate comentarile sunt aprobate in mod automat .
Comentarile nu trebuie sa contina in mod excesiv linkuri ce au ca scop promovarea unor siteuri sau produse !
Comentarile care contin peste 4 linkuri vor fi automat oprite pentru evaluare ! .
Comentarile prin care se fac cereri absurde vor fi ignorate !

2 Comentarii la “Wordpress Securitate Sporita”

Ndrey, A spus:
Pe November 11th, 2008 la 10:31 am

Mersi de atentionare, dar mie nu imi apare nici o alerta..
Azrael-sub7, A spus:
Pe November 13th, 2008 la 12:24 pm

NoScript imi zice ca e Xss ( normal nu zice aiurea ) :
[NoScript XSS] Sanitized suspicious request. Original URL [http://ndrey.com/?theme=%3Cscript%3Ealert(%27plm%27)%3C/script%3E] requested from [chrome://browser/content/browser.xul]. Sanitized URL: [http://ndrey.com/?theme=%20script%3EALERT%20%20plm%20%20%20%2Fscript%3E#08998954744353271582].

Ideea e ca multe din Xss-uri nu merg din cauza browser-elor care s-au dezvoltat si filtreaza majoritatea xss-urilor , in trecut mergeau mult mai usor …