web analytics
Blog

Imbunatateste securitatea WordPress-ului tau

WordPress nu mai este utilizat de foarte mult timp drept o platformă de blogging, fiind orientat în prezent mai mult spre zona de prezentare. Pasiunea kinderilor de a exploata vulnerabilitățile wordpress nu are nimic în comun cu siteul victimei și de cele mai multe ori nici măcar nu accesează siteul înaintea unui atac fiind folosite scannere ce detectează căile default WordPress și le testează conform unor scenarii predefinite. Totuși, este responsabilitatea ownerului să își ia toate măsurile de siguranță pentru a preveni eventuale accese neautorizate.

1. Folosește un host sigur. De foarte multe ori atacurile sunt date direct pe host. Recomand utilizarea serviciilor Chroot, fiind unii dintre cei mai siguri provideri din România la ora actuală. Costurile unui host în România sunt destul de mici, așadar recomand folosirea unui cont plătit.

2. Fă update în permanență! La tot ! Orice update de pluginuri sau CMS aduce implicit acoperirea unor găuri de securitate descoperite sau raportate dezvoltatorului .

3. Folosește o parolă sigură formată din minim 12 caractere și având în componența sa minim o literă mică, o literă mare, cifre și simboluri. Dacă instalați WordPress din CPanel, aveți grijă să modificați parola default care este de regulă “pass”.

4. Nu folosi userul admin dar nici numele de domeniu. De exemplu, pe blogul acesta nu există nici userul admin, nici userul cristianiosub sau jocuri de cuvinte pe baza acestora.

error_message 5. Modifică mesajele de eroare din pagina de autentificare. Un atacator a încerca utilizarea mai multor nume de utilizator până când îl va găsi pe cel corect. Modificând mesajele de eroare, nu va ști dacă numele de utilizator a fost eronat sau parola. Ca să nu umbli în Core-ul WordPress și să rescrii funcțile la următorul update, poți adăuga în siteul-meu.ro/wp-content/themes/tema-mea/functions.php următorul cod la sfărșitul fișierului :

//Modifică mesajul de eroare
 add_filter('login_errors', create_function('$a', "return '<b>Ooops:</b> Nu incerca sa te autentfici daca nu cunosti numele de utilizator si parola';"));

6. Ascunde numele de utilizator din arhiva articolelor scrise de un autor. În mod standard, arhiva numelui de utilizator cristianiosub ar fi disponibilă accesând linkul https://www.cristianiosub.com/publisher/cristianiosub/ . Va trebui să accesezi baza de date a siteului (poți folosi cpanel -> phpmyadmin) si să editezi în tabela wp_users – > user_nicename , punând numele care dorești să apară în arhiva autorului. Astfel, în cazul meu, arhiva este disponibilă la adresa https://www.cristianiosub.com/publisher/cristian/ .

7. Limitează încercările de autentificare. Poți folosi un plugin (Limit Attempts) pentru a bloca potențialii atacatori după 3-5 încercări eșuate de autentificare. Blocarea se face pe baza IP, așadar vor trebui să schimbe IP sau să aștepte un interval de timp setat de tine pentru a reîncerca autentificarea.

8. Dezactivează editarea fisierelor din dashboard. Acest truc este util mai ales dacă avem de-a face cu mai multi administratori pe același site. În fișierul siteul-meu.ro/wp-config.php adăugați următorul cod pentru a dezactiva editarea fișierelor din Appearance > Editor.

 define( ‘DISALLOW_FILE_EDIT’, true );
9. Evită folosirea temelor gratuite. Ca și în cazul hostingului, nu tot ce este gratuit înseamnă că e și bun. Diferențele dintre o temă premium și una gratuită sunt datrate în primul rând grijii cu care a fost scris codul, suportul ulterior din partea dezvoltatorului și bineînțeles verificarea temelor de către o terță persoană. În cazul ThemeForest, acestea sunt verificate înainte de a fi publicate și puse spre vânzare.10. Fă back-up! La tot! Poți folosi un plugin extrem de interesant numit BackWPup prin intermediul căruia puteți configura crearea backupurilor și transmiterea acestora atât via FTP, eMail, DropBox etc. Faceți backup la baza de date zilnic și la fisiere cel mult o dată pe lună. Da, compania care vă oferă hosting are și ea backup in mirrior dar este indicat să puteți avea acces fizic la backup oricând, de oriunde și configurat exact cum doriți.11.  Folosește puține pluginuri și cu multe review-uri pozitive. Nu instala orice specimen abia apărut pe piață decât dacă vine din partea unui dezvoltator deja renumit.  Au fost extrem de multe situații când accesul se putea face prin găuri lăsate specific de către dezvoltator. Din păcate nu îl poți acuza de rea voință. Extrem de important ar fi să nu folosiți never ever teme de pe newone.org, themelock etc. Never ever ! Ele sunt nulled cu un scop bine definit. Nimeni nu face acte de cartitate cumpărând teme / componente premium și să le pună la dispoziție gratuit. Nici măcar eu : )12. Folosește pluginuri de securitate ! Iată câteva dintre cele mai eficiente pluginuri :
  • http://wordpress.org/plugins/better-wp-security/ – offers a wide range of security features.
  • http://wordpress.org/plugins/bulletproof-security/ – protects your site via .htaccess.
  • http://wordpress.org/plugins/all-in-one-wp-security-and-firewall/ – adds a firewall to your site.
  • http://wordpress.org/plugins/sucuri-scanner/ – scans your site for malware etc.
  • http://wordpress.org/plugins/wordfence/ – full-featured security plugin.
  • http://wordpress.org/plugins/websitedefender-wordpress-security/ – comprehensive security tool.
  • http://wordpress.org/plugins/exploit-scanner/ – searches your database for any suspicious code.
13. Ascunde faptul că folosești WordPress. Hide My WP face o treabă minunată !14. Last chance este să apelezi la Sucuri. Nu Coca Cola sau Frutti Fresh ci Sucuri.Net. Pentru numai 9.99$ / lună ai Website AntiVirus + Firewall , malware detection, cleanup and prevention.  
Distribuie articolul pe:
TwitterFacebookGoogle+
  1. chroot here. merge la fel ca romarg. 😀

  2. Yamasha, asta este de bine sau este de rau, Romarg ? 🙂

  3. Chroot unde are serverele gazduite? In ce datacenter, cumva la Hostway?
    Romarg-ul stiu ca au serverele la GTS.
    @Cristi- am vazut ca ai recomandat in mai multe posturi Chroot. Eu accesez zilnic acest blog si pot spune ca se incarca mult mai rapid fata de cand il aveai la Webfactor (stiu ca este o firma cu probleme si nu recomand). Va recomand pe viitor sa incercati si serviciile chroot.ro in versiunea trial 15 zile. toate site-urile importante pe care le-am realizat acolo le-am hostat.

  4. Chroot aici, la recomandarea ta. Un articol care mege in bookmarks! Gracias! >:D<

    Cristian Iosub