Securitatea In WordPress
-
Upload
eugen-paun -
Category
Self Improvement
-
view
696 -
download
0
Transcript of Securitatea In WordPress
Securitatea în WordPressBlogtrip #2 Suceava
21 nov 2009
Probleme, probleme…
Versiuni “stravechi” ale WordPress si/sau ale pluginurilor instalate
Backup-uri inexistente sau inutilizabile
Teme WordPress sau pluginuri din surse indoielnice
Parole de dictionar /pastrarea userului default admin
Inregistrarile permise pe un blog personal
Restrangerea accesului la panoul de administrare
Browsing in foldere permis
Permisiuni necorespunzatoare ale folderelor/fisierelor
Actualizarile nu sunt optionale!
“Wordpress nu este cea mai buna platforma de blogging, doar
cea mai utilizata si user friendly”
Actualizare imediat sau la scurt timp dupa lansarea unei
versiuni noi indiferent ca este sau nu security release
Actualizare manuala sau automata incepand cu WordPress 2.7
Actualizarea pluginurilor din versiune 2.3, iar temelor de la 2.7
+ Valabila doar pentru pluginurile/temele disponibile pe
Wordpress.org, de la versiunea 2.9 API pentru cele ce nu sunt incluse in aceste directoare
Backup, backup, backup!
Orice operatiune de upgrade WordPress sau pluginuri
si/sau modificare db precedata de un backup
Backup-uri regulate si UTILIZABILE
Backup folosind phpMyAdmin
Backup prin intermediul unor pluginuri dedicate – de
exemplu DBC Backup sau WP-DB-Backup
Abonare la propriul feed prin intermediul Google Reader
Tu de unde ti-ai descarcat tema si pluginurile pe care
le folosesti? 1052 de teme și peste 7000 de pluginuri in
directoarele oficiale
Directoare de teme premium/cu plata –
Elegantthemes.com, WooThemes, Obox Themes,
Press 75, Theme Hybrid
Directoare de teme gratuite safe WParchive.com și
Web2Feel.
Nu folosi teme/pluginuri obtinute din surse
indoielnice, warez sau directoare anonime
Daca iti place o tema comerciala atunci cumpar-o!
Parola ta o gasesc in dictionar?
1% din utilizatori au parola chiar cuvantul “parola”
Pseudonimele, denumiri de animale, orice cuvant pe
care il gasesc in dictionar – A big no-no!
Parole diferite pentru panoul de control al WordPress,
contul de FTP al domeniului si contul de gazduire
Complexitate marita a parolelor – combinatii de
majuscule si minuscule, litere si cifre
Generatoare online de parole google it “password
generator”
Tu stii cine scrie pe blogul tau?
Inregistrarile inchise pe un blog personal
Pe un blog colectiv crearea manuala de noi autori
Limitarea accesului la folderul wp-admin prin
restrictionarea adreselor IP statice
Limitarea tentativelor de brute force prin intermediul
pluginului Login Lockdown – numar de autentificari
nereusite per adresa IP per intervalul de timp
( default 3 login failed in 5 minute )
Ascunderea erorilor intampinate la tentative nereusite
de login
Ce gasesc prin folderele tale?
Browsing-ul in foldere interzis fie prin setarile corecte ale
serverului pe care esti gazduit, fie manual de utilizator
In cel de-al doilea caz ar trebui sa te gandesti sa iti
schimbi furnizorul de gazduire pentru blogul tau
Fiecare folder ar trebui sa contina un fisier index.php gol
Browsing interzis prin intermediul .htaccess
WordPress nu solicita prin protocol HTTP acces la
fisierele PHP
Limitarea accesului browserelor doar la fisierele
necesare
Permisiunile folderelor/fisierelor
Permisiuni foldere – 755
Permisiuni fisiere – 644
Exceptii de la regula exista, dar trebuie tratate cu
atentie
Fisierele temei pe care o customizam pot avea
TEMPORAR permisiuni 666
Folderul pluginurilor de cache – wp-content/cache de
cele mai multe ori are permisiuni 777, dar este
protejat cu un fisier .htaccess
Anumite teme vin cu TimThumb pentru
redimensionare imagini