Setări de securitate WordPress – Ghid cît mai complet

Dacă tot am început să mă ocup de WordPress m-am gîndit să îmi și postez încercările și mai ales tot ce testez, poate fi util pentru unii.

Printre primele lucruri la care se gîndește oricine în ziua de azi este să-și securizeze cît mai bine munca încît să nu se trezească cu blog-ul hack-uit sau defaced. Noroc că s-au mai gandit unii drintre noi să se ocupe de acest lucru și au ajuns să facă și plugin-uri în legătura cu securitatea WordPress-ului.

Ce anume prinde bine pentru a asigura securitatea blogului personal atunci cînd te decizi să pornesti unul?

Protecție chiar de la instalare

wordpress-securitate11. Instalați ultimele versiuni de WordPress pentru a evita vulnerabilitatile și alte probleme de securitate ale versiunilor mai vechi. La fel sugerez menținerea la zi și a plugin-urilor care pot avea de asemenea diferite găuri de securitate WordPress.

2. Cînd se instalează un blog WordPress este de preferat să nu se foloseasca prefixul standard pentru tabele (wp_). Avantajul este că totusi există plugin-uri care să permită modificarea acestor nume, dar procesul este unul care implica riscuri.

Securitate între setări inițiale

3. Ascundeți versiunea de WordPress. Securitatea blog-ului dvs este astfel mult îmbunătățită deoarece posibilii atacatori nu știu ce exploit-uri să folosească.

  • Intrați în functions.php din folderul temei dvs și adăugați următoarea linie de cod

remove_action(‘wp_head’, ‘wp_generator’);

  • Alternativ puteți căuta în fișierul header.php al temei active următoarea bucată de cod și să o eliminați sau cel puțin să ștergeți <?php bloginfo(’version’); ?>

<meta name=”generator” content=”WordPress <?php bloginfo(’version’); ?>” /> <!-– leave this for stats please -->

4. Opriți mesajele de eroare la baza de date și la PHP. În acest fel se poate evita scurgerea de informații care să ajute rău-făcătorii să știe unde sunt posibile vulnerabilități și unde pot ataca blogul. Protejați pe cît posibil blog-ul de intruși

  • Pentru aceasta folositi WP_DEBUG setat pe false. Din versiunea 2.3.2 erorile la baza de date sunt afișate doar cand WP_DEBUG este setat pe true. Aceasta setare se face în wp-config.php

define(‘WP_DEBUG’, false);

Admin, Username si Parole

5. Nu folosiți username admin pentru accesarea panoului de administrare. Prin algoritmi de forța bruta (brute force) reduceți drastic timpul în care un profesionist ar putea penetra blogul. Un username diferit de admin asigură o bună protecție.

6. Parolele de admin și ale altor useri să fie complexe și greu de intuit. Recomand folosirea unor unelte de generare automată a parolelor.

7. Ca și trick as mai recomanda folosirea unor plugin-uri care să protejeze accesul la /wp-admin/ prin limitarea numărului de încercări pe care cineva le poate face pentru a accesa zona administrativă.

Fișiere și directoare

wordpress-files8. Folosiți fișiere .htaccess atît în root-ul folderului unde este instalat WordPress-ul cat și în folderul wp-admin. Uneori se recomandă și folosirea fișierelor.htpasswd pentru a proteja admin-ul chiar și cu parola pe server.

9. Securizați directorul /wp-admin/. Permiteți doar unui sau unor IP-uri specifice să aiba acces la panoul de administrare, în acest fel vă asigurați că aveti o protectie crescută de securitate la WordPress-ul proaspat instalat.

 

 

O recomandare pentru un /wp-admin/.htaccess pentru Apache

AuthUserFile /dev/null
AuthGroupFile /dev/null
AuthName “Access Control”
AuthType Basic
order deny,allow
deny from all
# whitelist home IP address
allow from 64.233.169.99
# whitelist work IP address
allow from 69.147.114.210
allow from 199.239.136.200
# IP while in Kentucky; delete when back
allow from 128.163.2.27

 

10. Ștergeți fișierul de instalare a WordPress-ului. Securitatea este pusă în pericol de fișierul wp-admin/install.php care poate fi rulat de un intrus.

11. Un hacker isteț ar putea incerca să acceseze readme.html si să afle versiunea de WordPress pe care o folositi. Ștergeți acel fișier, sau cel puțin redenumiți-l.

12. Sporiți securitate blogului dvs WordPress și opriți sistemul de editare a fișierelor de plugin și a temei direct din interfata de administrare. Putina lume vă face aceste modificări, dar un hacker poate profita de aceste neatenții si să profite de pe urma lipsei de atenție și protecție.

  • Adăugați în wp-config.php următoarea linie de cod

define(‘DISALLOW_FILE_EDIT’, true);

13. Aveți grija că la nici un folder să nu i se poată lista fișierele. Setați în.htaccess opțiunea Options All –Indexes pentru a evita listarea fișierelor deoarece este o mare problema de securitate.

14. Un mic truc/trick ar fi să puneți fișiere index.html care să nu conțină nimic, dar care la încărcarea folderului se ruleaza prima dată, deci implicit oamenii vor vedea continutul gol al acestor fisiere.

15. Dacă aveți access SSH la un server pe care tocmai instalați WordPress-ul, aveți mare grijă la drepturile de acces al fisierelor, evitați să folosiți chmod 777 pentru orice foldere. Această comandă oferă drepturi de execuție pentru toți userii din server, inclusiv un atacător care a întrat printr-un loc pe care nu vă imaginați.

  • Toate fișierele ar trebui să aibă drepturi 644, wp-config.php 640, toate directoarele 755 și toate fisierele din directorul temei 666.

16. Este recomandat ca și protecție să se mute fișierul wp-config.php într-un alt folder decat root-ul, dar acest lucru nu este întotdeauna posibil din cauza ca unele plugin-uri sunt scrise astfel încît să fie cautat fișierul în root. Ideea de baza este să nu fie ușor accesibil din exterior. O foarte eleganta solutie pentru securitate este folosirea în .htaccess a urmatoarei linii

<FilesMatch ^wp-config.php$>deny from all</FilesMatch>
<FilesMatch ^htaccess$>deny from all</FilesMatch>

17. Restricționarea cautărilor în site este la fel de important ca orice access la fisiere. Căutari nu ar trebui să fie făcute pe întregul server, de aceea recomand înlocuirea în fișierul search.php a liniei

<?php echo $_SERVER [‘PHP_SELF’]; ?> cu <?php bloginfo (‘home’); ?>

Alte trucuri de protecție WordPress

18. Chiar daca am lasat la urma, poate cel mai important lucru ce trebuie facut în permanență este back-up la baza de date și la fișiere cît de des puteți pentru a avea protecția datelor.

19. Faceți tot ce puteți pentru a proteja securitatea blogului de asa numitele Script injection sau XSS (Cross Site Scripting). Studiați puțin subiectul și căutați soluții de protecție pentru aceste vulnerabilități. Am sa recomand și plugin-uri care pot proteja blog-ul dvs în acest sens.

20. SSL înseamnă transfer securizat. Creșterea în securitate WordPress ar însemna să aveți SSL-ul activat pentru userul de FTP, dar vă sugerez pe post de truc să nu faceți acest lucru decît dacă știți exact ce faceți.

21. Înainte de orice update fie el de WordPress sau de plugin nu uitați să faceți back-up la date. Un backup nu este niciodată în plus, dar lipsa lui de multe ori se resimte.

No comments yet.

Lasă un răspuns