Securitatea în WordPressBlogtrip #2 Suceava

21 nov 2009

Probleme, probleme…

Versiuni “stravechi” ale WordPress si/sau ale pluginurilor instalate

Backup-uri inexistente sau inutilizabile

Teme WordPress sau pluginuri din surse indoielnice

Parole de dictionar /pastrarea userului default admin

Inregistrarile permise pe un blog personal

Restrangerea accesului la panoul de administrare

Browsing in foldere permis

Permisiuni necorespunzatoare ale folderelor/fisierelor

Actualizarile nu sunt optionale!

“Wordpress nu este cea mai buna platforma de blogging, doar

cea mai utilizata si user friendly”

Actualizare imediat sau la scurt timp dupa lansarea unei

versiuni noi indiferent ca este sau nu security release

Actualizare manuala sau automata incepand cu WordPress 2.7

Actualizarea pluginurilor din versiune 2.3, iar temelor de la 2.7

+ Valabila doar pentru pluginurile/temele disponibile pe

Wordpress.org, de la versiunea 2.9 API pentru cele ce nu sunt incluse in aceste directoare

Backup, backup, backup!

Orice operatiune de upgrade WordPress sau pluginuri

si/sau modificare db precedata de un backup

Backup-uri regulate si UTILIZABILE

Backup folosind phpMyAdmin

Backup prin intermediul unor pluginuri dedicate – de

exemplu DBC Backup sau WP-DB-Backup

Abonare la propriul feed prin intermediul Google Reader

Tu de unde ti-ai descarcat tema si pluginurile pe care

le folosesti? 1052 de teme și peste 7000 de pluginuri in

directoarele oficiale

Directoare de teme premium/cu plata –

Elegantthemes.com, WooThemes, Obox Themes,

Press 75, Theme Hybrid

Directoare de teme gratuite safe WParchive.com și

Web2Feel.

Nu folosi teme/pluginuri obtinute din surse

indoielnice, warez sau directoare anonime

Daca iti place o tema comerciala atunci cumpar-o!

Parola ta o gasesc in dictionar?

1% din utilizatori au parola chiar cuvantul “parola”

Pseudonimele, denumiri de animale, orice cuvant pe

care il gasesc in dictionar – A big no-no!

Parole diferite pentru panoul de control al WordPress,

contul de FTP al domeniului si contul de gazduire

Complexitate marita a parolelor – combinatii de

majuscule si minuscule, litere si cifre

Generatoare online de parole google it “password

generator”

Tu stii cine scrie pe blogul tau?

Inregistrarile inchise pe un blog personal

Pe un blog colectiv crearea manuala de noi autori

Limitarea accesului la folderul wp-admin prin

restrictionarea adreselor IP statice

Limitarea tentativelor de brute force prin intermediul

pluginului Login Lockdown – numar de autentificari

nereusite per adresa IP per intervalul de timp

( default 3 login failed in 5 minute )

Ascunderea erorilor intampinate la tentative nereusite

de login

Ce gasesc prin folderele tale?

Browsing-ul in foldere interzis fie prin setarile corecte ale

serverului pe care esti gazduit, fie manual de utilizator

In cel de-al doilea caz ar trebui sa te gandesti sa iti

schimbi furnizorul de gazduire pentru blogul tau

Fiecare folder ar trebui sa contina un fisier index.php gol

Browsing interzis prin intermediul .htaccess

WordPress nu solicita prin protocol HTTP acces la

fisierele PHP

Limitarea accesului browserelor doar la fisierele

necesare

Permisiunile folderelor/fisierelor

Permisiuni foldere – 755

Permisiuni fisiere – 644

Exceptii de la regula exista, dar trebuie tratate cu

atentie

Fisierele temei pe care o customizam pot avea

TEMPORAR permisiuni 666

Folderul pluginurilor de cache – wp-content/cache de

cele mai multe ori are permisiuni 777, dar este

protejat cu un fisier .htaccess

Anumite teme vin cu TimThumb pentru

redimensionare imagini

Multumesc!

@unmicdrac

paun.eugen

paun.eugen@gmail.com