Etichete : blog, cum sa fac wordpress mai sigur, despre wordpress, sfaturi de securitate, Wordpress

Cum mi-as putea face primul blog?

Cu totii stim ca securitatea este un subiect extrem de mediatizat la nivel inalt. Nimic nu trece de ochii hackerilor si nimic nu va scapa de mediatizarea intensa ulterior. Nici WordPress nu scapa de acesti ochi. Desi aceasta platforma Open Source are o armata de programatori in spate care sunt atenti 24/24 la problemele aparute, acest lucru mai scapa uneori probleme si duce la brese de securitate. Mai jos avem cateva sfaturi prin care va puteti face blogul ceva mai sigur daca va pasa de imaginea voastra pe internet.

Ascunde informatiile suplimentare de la afisare (erorile)

O problema pe care se bazeaza multe aplicatii brute force sunt erorile ce le afiseaza formularele WordPress. Dezactivarea acestora poate fi utila. Adaugati codul de mai jos in fisierul functions.php din folderul temei tale. Codul de mai jos va rescrie functia care se ocupa cu afisarea mesajelor de eroare.

add_filter('login_errors',create_function('$a', "return null;"));

Forteaza folosirea SSL

Daca sunteti un calator impatimit si folositi des retele publice pentru autentifacarea pe blog este foarte important sa activati SSL pentru a fi siguri ca sansa ca pachetele trimise de dumneavoastra sa fie interceptate si citibile sa fie redusa. Acest protocol este un standard, la fel ca HTTP, care urmareste transferul de date securizat prin retele. Pentru a activa acest protocol, adaugati linia de mai jos in fisierul wp-config.php.

define('FORCE_SSL_ADMIN', true);

Foloseste .htaccess pentru a bloca accesul la wp-config.php

Cu totii stim ca o parte din cele mai importante informatii ale blogului nostru se afla in fisierul wp-config.php. Putem sa blocam accesul la acest fisier folosindu-ne de puterea Apache si a fisierului .htaccess adaugand codul de mai jos.

order allow,deny
deny from all

Blocheaza botii nedoriti

Cu totii stim cat de enervanti sunt spammerii care nu au ce face si revin in decurc de cateva zile de zeci de ori pentru a publica mesajele lor plictisitoare cu zeci de linkuri pe ele. Puteti sa adaugati IP-urile acestora in .htaccess, blocandu-le permanent accesul.

order allow,deny
allow from all
deny from adresa_ip_1
deny from adresa_ip_2
deny from adresa_ip_3
deny from adresa_ip_4

Protejeaza blogul tau de injectii

Da, chiar daca aceste injectii sunt mai greu de gasit, acestea exista, si, exista si in WordPress. O metoda rapida de a fi sigur ca nu vei cadea in plasa atacurile 0-day este sa introduceti codul de mai jos in fisierul .htaccess. Acesta va functiona ca un mini sistem de securitate, blocand o parte din atacurile clasice ce se bazeaza pe injectii.

Options +FollowSymLinks
RewriteEngine On
RewriteCond %{QUERY_STRING} (\<|%3C).*script.*(\>|%3E) [NC,OR]
RewriteCond %{QUERY_STRING} GLOBALS(=|\[|\%[0-9A-Z]{0,2}) [OR]
RewriteCond %{QUERY_STRING} _REQUEST(=|\[|\%[0-9A-Z]{0,2})
RewriteRule ^(.*)$ index.php [F,L]

Lupta impotriva plagiatului

Una dintre problemele destul de grave e prezenta plagiatorilor. Acestea niciodata nu ezita sa foloseasca resursele puse la dispozitie pe internet. O problema este faptul ca de multe ori acestea folosesc hot linking (sau utilizarea resurselor noastre ca imaginile, videoclipurile samd) folosind adresele noastre web. O practica utila este adaugarea codului de mai jos, modificand worldit.info cu domeniul tau.

RewriteEngine On
#Replace ?mysite\.com/ with your blog url
RewriteCond %{HTTP_REFERER} !^http://(.+\.)?mysite\.com/ [NC]
RewriteCond %{HTTP_REFERER} !^$
#inlocuieste /imagini/hotlink.jpg cu imaginea ce va fi afisata in situatiile in care nu vrei sa primesti hot linking
RewriteRule .*\.(jpe?g|gif|bmp|png)$ /imagini/hotlink.jpg [L]

Foloseste un mini-plugin pentru a detecta atacurile

Codul ce l-am adaugat mai devreme in fisierul .htaccess pentru a bloca o parte din injectii nu este suficient uneori. Cel mai puternic limbaj impotriva atacurilor ce vizeaza cod PHP este evident, PHP. De aceea, o practica utila este folosirea unui plugin de securitate. Mai jos aveti un plugin foarte simplu ce poate fi folosit in blogurile voastre si va reduce mult problemele de securitate.

< ?php
/*
Plugin Name: Block Bad Queries
Plugin URI: http://perishablepress.com/press/2009/12/22/protect-wordpress-against-malicious-url-requests/
Description: Protect WordPress Against Malicious URL Requests
Author URI: http://perishablepress.com/
Author: Perishable Press
Version: 1.0
*/

global $user_ID; 

if($user_ID) {
  if(!current_user_can('level_10')) {
    if (strlen($_SERVER['REQUEST_URI']) > 255 ||
      strpos($_SERVER['REQUEST_URI'], "eval(") ||
      strpos($_SERVER['REQUEST_URI'], "CONCAT") ||
      strpos($_SERVER['REQUEST_URI'], "UNION+SELECT") ||
      strpos($_SERVER['REQUEST_URI'], "base64")) {
        @header("HTTP/1.1 414 Request-URI Too Long");
	@header("Status: 414 Request-URI Too Long");
	@header("Connection: Close");
	@exit;
    }
  }
}
?>

Sterge versiunea WordPress

M-am repetat de foarte multe ori prin recenziile facute de mine despre eliminarea versiunii WordPress. Exploiturile sunt create avand ca target diverse versiuni WordPress. Daca versiunea CMS-ului este prezenta, aceasta poate usura munca hackerului, spunandu-i aproape clar daca website-ul pe care se afla are probleme sau nu de securiatate. De asemenea, la atacurile in masa Google poate fi foarte util, indexand aceasta informatie, ceea ce nu este deloc bine. Este foarte simplu de eliminat versiunea WordPress. Trebuie doar sa adaugati codul de mai jos in fisierul functions.php din directorul temei tale.

remove_action('wp_head', 'wp_generator');

Previne Directory Browsing(Listing)

O alta problema ce am gasit-o in foarte multe dintre recomandarile worldit.info este Directory Listing. In cazul in care un hacker are o vulnerabilitate ce permite incarcarea unui fisier pe host, acesta va cauta cu siguranta un director ce are permisiuni de scriere. De aceea, Directory Listing este ca cireasa de pe tort, oferindu-i totul pe tava. Codul de mai jos rezolva aceasta problema, adaugat in fisierul .htaccess din directorul temei.

Options -Indexes

Cam astea sunt sfaturile din acest moment. Voi ce mai folositi pentru a securiza blogul?

Resurse si referinte utile

http://www.wprecipes.com/wordpress-security-hide-login-error-messages

http://www.wprecipes.com/how-to-force-using-ssl-on-wp-admin-directory

http://www.catswhocode.com/blog/10-easy-ways-to-secure-your-wordpress-blog

http://perishablepress.com/press/2008/02/24/over-150-of-the-worst-spammers-scrapers-and-crackers-from-2007/

http://www.wprecipes.com/protect-your-wordpress-blog-using-htaccess

http://www.catswhoblog.com/how-to-protect-your-blog-from-content-thieves

http://www.makeuseof.com/tag/18-useful-plugins-and-hacks-to-protect-your-wordpress-blog/

Recomandam, pe aceeasi tema

Despre autorul articolului :

Andrei Avădănei - Autorul a scris 1104 articole (vezi lista completa).

Contact | andrei[at]worldit[dot]info | +Andrei Avădănei | @AndreiAvadanei | Avadanei.Andrei

Web Developer, Security enthusiast, Freelancer, Blogger ma numesc Andrei si sunt un elev de liceu pasionat de algoritmica si web development. Ma ocup de administrarea comunitatii worldit.info. Incerc sa fiu in permanenta la curent cu tot ce tine de securitate si tehnologiile web. Imi place sa cunosc oameni noi cu idei cat mai neconventionale, care sa-mi impartaseasca aceleasi pasiuni. Mai multe despre mine aici.