Pluginy WordPressu pre bezpečnosť

15. května 2009

Medzi prvými vecami, ktoré by ste mali urobiť po nainštalovaní WordPressu, je jeho zabezpečenie. Pracovať na svojom blogu po dobu niekoľkých mesiacov a následne stratiť všetko zo dňa na deň kvôli zneužitiu bezpečnostnej chyby, nie je pekná predstava. V dnešnom článku ukážem ako môžete jednoducho zvýšiť bezpečnosť svojho blogu za pomoci pluginov a všeobecných tipov.

Pluginy

WP Security Scan

Plugin od Michaela Torberta s názvom Security Scan za vás vykoná základnú bezpečnostnú previerku. Po nainštalovaní vám v menu v adminskej časti pribudne možnosť s názvom Security. Plugin skontroluje bezpečnosť hesiel, databázy či prístupových práv ku súborom.

Takto vyzerá základná prehliadka na novo nainštalovanom WordPress 2.71 na domácom servery.

Security scan

Na nasledujúcej obrazovke je položka Scanner. Môžete vidieť vybrané adresáre, ich momentálne nastavené a pluginom odporúčané prístupové práva.

Security Scan položka Scanner

Pod možnosťou Pasword Tool sa skrýva jednoduchý nástroj, ktorý len skontroluje, či vami zadané heslo je bezpečné a navrhne vám príklad bezpečného hesla Predposlednou položkou je stránka s nástrojom pre zmenu predpôn pre názvy tabuliek v databáze. Posledná položka je stránka s informáciami o plugine. WP Security Scan poskytuje naozaj rýchly a jednoduchý prehľad bezpečnosti vášho blogu. Posledná verzia vyšla 12.3 2009 takže sa na plugine neustále pracuje. Budúce verzie sľubujú mnoho noviniek.

WordPress Automatic upgrade

Plugin Word press Automatic upgrade vám pomôže nainštalovať novšiu verziu vášho WordPressu. Od verzie 2.7 je automatická aktualizácia zabudovaná priamo vo WordPresse, ale ten Ako prvé plugin zálohuje súbory a následne vám ponúkne odkaz na stiahnutie tejto zálohy vo forme zip súboru. V ďalšom kroku vytvorí tým istým spôsobom zálohu databázy. V treťom kroku stiahne najnovšiu verziu WordPressu.

Následne nastaví mód WordPress inštalácie na takzvaný „maintenance“. V „maintaince“ móde všetko, čo vidíte po navštívení vášho blogu je správa s ospravedlnením pre vašich návštevníkov kvôli údržbe. Plugin následne deaktivuje všetky pluginy a aktualizuje súbory. Ako predposledný krokbudete musieť odsúhlasiť aktualizáciu. Po úspešnej aktualizácii sa všetky pluginy, ktoré boli v jednom z predošlých krokov deaktivované opäť aktivujú.

Na obrázku je možné vidieť prvý krok aktualizácie z verzie 2.5 na verziu .7.1.

Automatic Update

S týmto pluginom bola aktualizácia WordPressu veľmi jednoduchá. Pri jeho používaní si pozorne prečítajte, čo je vám písané. Mohli by ste si nevšimnúť odkazy na stiahnutie zálohy databázy a súborov. V žiadnom prípade nepokračujte, pokiaľ si zálohy najskôr nestiahnete na bezpečné miesto.

Admin SSL

Základný protokol HTTP nie je šifrovaný a je ho možné relatívne jednoducho „vidieť“. Pokiaľ chcete dosiahnuť bezpečnejší prenos dát po sieti, môžete použiť protokol SSL. Práve na tento účel slúži plugin Admin SSL. Pomocou tohto pluginu môžete použiť nie len súkromný SLL, ale aj zdieľaný. Je možné pridať, či odobrať ľubovoľné adresy, pre ktoré chcete použiť SSL. Po nastavení stránok je na nich možný len prístup pomocou tohto bezpečnostného protokolu.

Admin SSL

LOCK DOWN

Plugin s názvom Lock Down slúži ako ochrana proti brute force útokom. Plugin blokuje možnosť prihlasovania užívateľom z tých IP adries, z ktorých sa niekto neúspešne snažil prihlásiť. Pluginon môžete nastaviť povolený počet neplatných prihlásení, čas medzi jednotlivými pokusmi a dobu počas, ktorej sa nebude môcť človek s blokovanou IP adresou prihlásiť.

Tento plugin sa nehodí pre ľudí, ktorí zdieľajú IP adresu s viacerými ľuďmi. Mohlo by sa stať, že vám niekto s rovnakou IP adresou ako je tá vaša, zablokuje prístup na vlastný blog. Pokiaľ by sa niečo podobné stalo, stačí pokiaľ v databáze vymažete záznamy z tabuľky lockdowns. Tieto záznamy je možné vymazať aj priamo v nastaveniach pluginu.

O chvíľu si ukážeme aj ďalší spôsob ako si inak zabezpečiť prihlasovanie.

Login Lock Down

WordPress Database Backup

WordPress Database Backup je jednoduchý plugin, ktorý vám zaistí zálohovanie celej vašej databázy. Ponúka dva módy zálohovania: automatický a ručný. Pri ručnom môžete zálohu okamžite uložiť na server, môžete si ju stiahnuť alebo si ju nechať poslať na email.

Pri automatickom móde je možné zálohu len poslať na email. Podľa autorových slov plugin síce plugin podporuje automatické ukladanie na server, avšak túto možnosť priamo neponúkol kvôli bezpečnosti. Správnym vyhľadávaním na Google je možné vidieť, že mnoho stránok má verejne prístupné zálohy svojich databáz vytvorených práve týmto pluginom.

Pri automatickom posielaní na email, si môžete určiť email, na ktorý sa má záloha poslať, môžete si určiť ako často sa má poslať a tiež kedy najbližšie sa má záloha poslať. Pri zadávaní tohto času si dávajte pozor, čo zadávate. Plugin nedáva jasne najavo, že ste zadali neplatný dátum alebo čas.

Database Back Up

Ostatné tipy

Skryte adresáre

Prezradili by ste úplne cudziemu človeku slabé stránky zabezpečenia vlastného domu? Nie? Tak prečo prezradiť slabé stránky zabezpečenie vášho blogu. Stále platí, že čím menej o vás útočník vie, tým lepšie. Jedna z možností ako sa o vás útočník môže niečo dozvedieť je, že si pozrie adresáre vašej stránky. Veľmi dôležitý je zoznam vašich pluginov a ich verzií. Ak útočník vie, ktoré pluginy používate a v akej sú verzii, môže zneužiť bezpečnostné chyby jednotlivých pluginov. Samozrejme, že nastavenia servera by výpis adresárov nemali dovoliť. Pokiaľ to však dovoľujú, existujú minimálne 2 jednoduché riešenia.

Ako prvé môžete do každého adresára, pridať súbor index.html. Ten sa automaticky načíta a útočník uvidí len prázdnu stránku. Tento spôsob je však mierne nepraktický, lebo musíte vložiť túto stránku do každého adresára, vrátane podadresárov.

Účinnejší spôsob je vytvorenie(alebo upravenie, pokiaľ súbor existuje) súboru s názvom .htaccess priamo v hlavnom adresári WordPressu. Do tohto súboru následne pridáte riadok:

Options All -Indexes

Od tohto momentu sa namiesto výpisu obsahu adresárov zobrazí chyba o zákaze prístupu.

Zmeňte predponu tabuliek

Útočníkovi môže pri útoku pomôcť aj to, pokiaľ vie názvy tabuliek v databáze. Veľa ľudí necháva predponu tabuliek na hodnote wp, ktorá bola nastavená počas inštalácie. Jej zmenou na ľubovoľnú predponu, sťažíte útočníkovi jeho plány. Vyššie spomenutý plugin WP Security Scan, vie celé premenovanie vykonať za vás.

Nepoužívajte login Admin

WordPress vám ponúka možnosť priradiť ku užívateľskému kontu prihlasovacie meno a meno, ktoré sa bude oficiálne zobrazovať ostatným. Vďaka tomu nikto nebude vedieť s istotou, aké je vaše prihlasovacie meno. Jeho správnym nastavením, ochudobníte útočníka o ďalšiu informáciu, ktorú by mohol použiť. Môžete vytvoriť úplné nové konto a základné konto admin zmazať alebo premenujete konto admin na nejaké iné priamo v databáze napríklad pomocou phpMyAdmin.

Obmedzte prístup ku prihlasovaniu

Ukázali sme si spôsob ako zabrániť viacnásobným pokusom o prihlásenie. Teraz si ukážeme ako zabrániť prístupu ku prihlasovaniu určitým ľudom. Stačí ak vytvoríte súbor .htaccess v adresári wp-admin. Pomocou tohto súboru je možné obmedziť, zoznam IP adries, ktoré budú mať prístup na stránku s prihlasovaním. Stačí pokiaľ do .htaccess zadáte tieto riadky:

order deny,allow
deny from all
allow from xxx.xxx.xxx.xxx

Takto sa bude môcť na stránku pozrieť len ten, koho IP adresa je uvedená v riadku allow from. Tento spôsob samozrejme nie je veľmi vhodný pre ľudí, ktorí majú dynamickú IP.

Starší komentáře ke článku

Pokud máte zájem o starší komentáře k tomuto článku, naleznete je zde.

Štítky: Články, WordPress

Mohlo by vás také zajímat

Nejnovější

1 komentář

  1. Irisa

    Úno 2, 2010 v 19:11

    Příjemný dobrý den,

    ráda bych se zeptala na hlavní bezpečnostní rizika systémů typu WordPress?

    Předem Vám děkuji za odpověď.

    Iris

    Odpovědět

Napsat komentář: Irisa Zrušit odpověď na komentář

Vaše e-mailová adresa nebude zveřejněna. Vyžadované informace jsou označeny *