WordPress Securitate Sporita

This article has been written before more than 24months, information might old.

Cand avem o platforma in continua dezvoltare ca wordpress este normal ca pot aparea diferite vulnerabilitati in acest system , iar cei care raman in urma cu update-urile sunt predispusi sa fie atacati de pusti care isi pierd timpul incercand sa gaseasca orice vulnerabilitate .

Dar dupa cum stim mai toti toate scripturile administrative se afla in folderul /wp-admin/ o simpla dar foarte eficienta metoda de protectie este sa cream un fisier .htaccess care sa restrictioneze alte ip-uri decat ip-ul nostru , daca avem ip dinamic putem pune doar primele cifre din ip , exemplu ip dinamic gen 86.131.211.xxx putem scrie in .htaccess decat 86.131.211 .

Deci cream un fisier .htaccess in folderul /wp-admin/ in care punem codul de mai jos cu mentinunea ca schimbam xxx.xxx.xxx.xxx cu ip-ul sau clasa noastra de ip .

Codul :


AuthUserFile /dev/null
AuthGroupFile /dev/null
AuthName "Azrael-Sub7 Security R1"
AuthType Basic
order deny,allow
deny from all
allow from xxx.xxx.xxx.xxx

Un alt plugin care ne ajuta la securitate este Safer Cookies , el leaga cookie-urile de ip-ul preluat in momentul in care userul s-a logat , astfel alt user daca reuseste sa va fure cookie-urile nu se poate loga daca nu are acelas ip si te poate scuti de repararea xss-urilor ca acesta http://ndrey.com/?theme=<script>alert(„plm”)</script> .

Alta problema a securitatii la wordpress este ca multi folosesc plugine ce fac backup-uri ale bazei de date direct in webiste-ul propriuzis , iar asta este o problema pentru ca oricine poate vedea ce ai tu in baza de date inclusiv parola encriptata a adminului ( care din pacate nu este encriptata in md5 ) un exemplu este http://deeas.ro/wp-content/backup-db/ , trebuie neaparat ca in acel folder sa plasati un fisier .htaccess cu codul :

order deny,allow
deny from all

astfel incat contininutul fisierului sa fie accesibil numai prin ftp.

Nu uitati ca este bine sa aveti o parola de admin cat mai complexa eu folosesc generator de parole si am parole in genul : \”X3fafH$8$#gu*ZVT , ar fi bine sa schimbati si modul in care encripteaza wordpress parolele adminului ( asa cum am facut eu ) .

Eu am facut mai multe imbunatatiri de securitate la wordpress-ul care il folosesc si mereu verific toate pluginele pe care le am instalate pentru ca de multe ori acestea sunt construite prost si pot pune in pericol securitatea webiste-ului .

Share the joy

2 Comments

  1. Azrael-sub7 noiembrie 13, 2008
  2. Ndrey noiembrie 11, 2008

Leave a Reply