אבטחת הבלוג ניסיון שני

אבטחת וורדפרס מהדורה מיוחדת

ובכן למרות שהסקרים מציגים מציאות בה כולנו משדרגים את וורדפרס לגרסה האחרונה
יום אחרי שהיא משתחררת לאינטרנט, המציאות בשטח שונה קצת, לצערי. ממש לאחרונה (פסח 2008)
נפרץ וניזוק הבלוג: me.sml.co.il של צחי הררי. בכתבה "על אבטחת הבלוג וההרחקה מגוגל " הוא כותב
איך בעצם פרצו לו לאתר? איזה נזק הם השאירו? ואיך בסופו של דבר הוא התגבר על כל הסיפור?

אני רוצה להתחיל עם אימרה שמצאתי במאמר Wordpress Blog Hacked
"There are a host of other blogs that are insecure, and that may be your biggest protection
ובעברית: "ישנם מספיק בלוגים אשר לא מאובטחים כלל, וכנראה שהם הסיכוי הטוב ביותר שלנו שלא להפרץ".
מה שאומר שאנחנו צריכים לדאוג לפחות להגנה בסיסית לבלוג שלנו.


פריצות קטלניות לוורדפרס,כמה שכיח וכמה קל
?
להלן כמה עובדות כואבות מהשטח:

  1. איך האקרים מנצלים פרצות בתבנית כדי לחדור לבלוג?
  2. איך האקרים מנצלים את גוגל כדי להחדיר תוכנות ריגול לדפדפן?
  3. איך האקרים יודעים מהי גרסת השרת ובסיס נתונים של הבלוג שלנו? (אהה, זה קל).
  4. איך האקרים פורצים לוורדפרס ע"י ניצול ה- iframe
  5. 49 אחוז מבלוגים מבוססי וורפרס ניתנים לפריצה.
  6. הבלוג הרשמי של מט הטון נשיא חברות האחסון אתרים: ,blueHost & HostMonsr נפרץ.
  7. ראיון עם האקר של וורדפרס.
  8. יותר מ-500,000 שרתי אינטרנט מבוססי iis נפרצו.


ההתארגנות לכתיבה משותפת

usersלאחר התכתבות קצרה שלי עם צחי בעקבות נושא הפריצה, החלטנו לגבש שלושה או ארבעה
בעלי בלוגים שייקחו על עצמם לכתוב מאמר הקשור לאבטחת וורדפרס כאחת לחודש.
אמנם המשימה לא פשוטה ומצריכה זמן לא מבוטל של שעות להכנה ולימוד אך
4 חברה
זה יוצא כתבה 1 לכל 4 חודשים מה שלא כל כך מכביד אחרי הכול.
מה גם שהרבה משתמשים בעלי ידע מצומצם בתחום יוכלו להשתמש ולהינות מסט מדריכים זה
על מנת לאבטח את הבלוג שלהם. ואותנו זה יכריח ללמוד יותר על הנושא.

בכל אופן, התנדבתי לכתוב את המאמר הראשון, מה שנשאר זה רק לגייס שני בלוגרים נוספים.
הרשו לי להציע אתגר לפינטו, שיכול לתרגם לנו תוספי אבטחה לעברית ולגיא מזרחי בעל האתר מיומנו של האקר.
כל מי שמעוניין להצטרף ויש לו ידע בתחום מוזמן להצטרף. אני מניח שמאמר ההמשך יכול להתמקד ב:

  1. נושאים שפספסתי במאמר זה.
  2. התמקדות בנושא אבטחה ספציפי והסברו בפרטי פרטים.
  3. תרגום תוספי אבטחה לעברית.
  4. הכנת רשימה של תוספים לא בטוחים.
    וכל נושא נוסף שאתם יכולים לחשוב עליו.

תחילת המדריך
גרסאות ישנות מהוות סיכון גדול:
קחו בחשבון שמאותו רגע ששוחררה גרסה חדשה לוורדפרס, בעצם מתפרסמים באינטרנט רשימות
של כל "חורי האבטחה" שהיו קיימים בגרסה הקודמת. זה רק עניין של זמן עד שהספיידרים
(automated crawlers) ינצלו את הבאגים באותם בלוגים שעדיין לא שודרגו.
אתרי בוקאמרק חברתי כגון טקנוראטי לא מחבבים במיוחד בלוגים המריצים גרסאות ישנות,
ולכן גם מפסיקים לאנדקס אותם. דבר זה עלול לצמצם את התנועה באופן משמעותי וכך להזיק
לקידום הבלוג שלנו במנועי החיפוש (ראה וידאו-אתר שגורש מגוגל חווה ירידה משמעותית בתנועה).

לגוגל יש מנגנון הגנה- חסימה דומה, אשר מזהיר את המשתמש בהודעה שהאתר עלול להזיק למחשב
שלו באם יחליט להיכנס אליו (סוג של site-advisor- תמונת מסך).
כדי להבין מה גורם לגוגל להפסיק לאנדקס אותנו, נצטרך להבין את המושג: badware, malware
זה אומר שהבלוג שלנו "נחטף" ע"י שכירי חרב ונוצל ע"י באגים בתוכנה.
הפריצה לבלוגים במגמת עלייה
במקרה של פריצה ממשית לבלוג והזרקת קוד זדוני סמוי לפוסטים
:
נשחזר את הבלוג ובסיס הנתונים מגיבוי שאנחנו בטוחים שהוא שנקי מקוד זדוני.
נשדרג אותו ואת התוספים לגרסה האחרונה. אולי כדאי במקביל גם לחסום את האתר מהעולם החיצון
מתוך ממשק הניהול של ספק האחסון, כדי שהמכונות לא יתלבשו עלינו שוב לפני שהספקנו לשדרג גרסה.

(ראה מאמרים: נשבר לי הוורדפרס,שדרוג, התקנה והגדרות ראשוניות).
פוסטים שלא הספקנו לגבות ניתן לשחזר בעזרת הגוגל קאש
(Google Cache).
גוגל מציעה "מדריך לריפויי הבלוג" ולאחר מכן אפשרות להחזיר את הבלוג לאינדקס.
(ראה גם: מה עושים עם אתר שנעלם מגוגל)?
גוגל פתחה לאחרונה בלוג העוסק בנושא:
stopbadware.
וכפי שכבר ציינתי, ניסיון מפחיד מהשטח תוכלו למצוא בבלוג של צחי "על אבטחת הבלוג וההרחקה מגוגל ".
לצערו, הוא בטח מכיר את המונח: iframe src= ממש מקרוב.

רק לאחר שהבלוג שודרג והכול תקין ובטוח, נוכל לבצע שוב גיבויי לאתר (וידאו).


רשימת כיס בסיסית לאבטחת וורדפרס
:
w-icon-small.gif הקדמה: לכל משימה ישנה אפשרות להתקין תוסף או להגדיר ידנית.
במידה ונמצא בתוספים פתרון לכל בעיה, הרי שאנחנו "יורים לעצמנו ברגל".
כמה שיותר תוספים בבלוג ככה גדלים הסיכויים של האקר לנצל את הפרצות של הפלטפורמה.
הבעיה שלפעמים ההגדרות יותר מדי מסובכות ומצריכות זמן רב ללמידת המנגנון.

במקרה כזה, לפחות אחרי ניסיון או שניים נגיע לפתרון של התקנת תוסף.
במילים אחרות, נתקין תוסף אך ורק כאילוץ ולא כפתרון ברירת מחדל.
בנוסף, אם אנחנו נוהגים להוסיף סקריפטים שונים לבלוג (גאווה סקריפט וכדו')
כדאי שנתחיל לצמצם בכמות ההוספות, מכיוון שסקריפטים אוטומטים הוא מקום
מאוד נוח להוסיף קוד נסתר. אני ממליץ להשתמש בתוסף EmbedIt
לפוסטים, ככה הסקריפט לא חשוף כשמציצים בקוד דף האתר (view source).

שדרוג וורדפרס
עדכונים אחרונים:
חשוב להקפיד לעדכן את התבנית והתוספים לגרסה אחרונה לא משנה כמה עצלנים אנחנו!
פלאגינים שלא בשימוש למחוק מהשרת או לפחות לשנות את שם הספרייה ואת קובץ התוסף
מ- php לסיומת לא מוכרת. כך אנחנו לפחות לא מסתכנים בניצול פירצה בתוסף שכנראה גם לא
מעודכן זמן מה. בוורדפרס 2.5 ישנו מנגנון מובנה אשר מציג באם התוסף זקוק לשדרוג או לא.
בגרסאות קודמות ניתן להשתמש בתוסף: Preflight Check |Plugin Tracker
או יותר טוב לבדוק באתר התוסף באם שוחררו עדכונים חדשים.
כך שבאם לא שדרגתם עדיין לגרסה 2.5, זה הזמן.
ראה גם: שדרוג תוספים לוורדפרס 2.5 ורשימת מכולת לשדרוג מוצלח.

Security eyeball Security Spider

איתור סיכונים קיימים:
1.secunia Vulnerability Report- חדשות ופרצות אבטחה בוורדפרס.
ראה גם: וורדפרס ברשת, WordPress Development Blog, blogsecurity.net
כלים לזיהוי, באם שונה תוכן באתר ללא ידיעתינו: followthatpage, DigoWatchWP, WPTrac,
כלים מתקדמים לזיהוי נסיונות פריצה:postlogger, bot-tracker, WPIDS


2
. כאשר ישנה סיבה אשר מונעת מאיתנו לשדרג (תוסף לא עובד בגרסה החדשה וכדו'..)
כדאי שנשדרג לפחות את הקבצים הקשורים לאבטחה (קבצי אבטחה לוורדפרס 5.1).

3. התקנת התוסף: WordPress Scanner-אשר בודק באם קיימים פרצות אבטחה בתבנית ובתוספים.
לחלופין, אפשר להשתמש בשירות: Online Security Scanner Tool או ב- WP Security Scan
שירות נוסף שכדאי לבדוק (במידת הצורך) הוא: apache rootkit scaners הבודק כינון של רוטקיט ב-HTTP Header

4. אני ממליץ לכל מי שאין משתמשים רשומים בבלוג לסגור את האופציה ממשק הניהול של וורדפרס!
מאיפה? תחת הגדרות, ניהול משתמשים להוריד את ה-V מ-"כל אחד יכול להירשם".
הטיפ הזה בלבד יכול לחסוך לנו הרבה צרות (ניצול הפרצה).
אפרופו אף פעם לא הבנתי במה זה מועיל לאפשר למשתמשים להירשם לאתר (לא פידים),
אם מישהוא יכול להסביר לי, אני אשמח?

5. Akismet- התוסף הכי יעיל שאני מכיר למניעת הודעות ספאם בוורדפרס.

6. Search Badware Website Clearinghouse -הרצת בדיקה חיה של גוגל המחפשת מסתננים. להוספת אמבד קוד 1. במידה ואנחנו לא מריצים את הגרסה האחרונה, כדאי לבדוק מהן הסיכונים הקיימים ואיך ניתן לצמצם אותם.

הגדרות אבטחה:
Bad free software כאן אסור לנו להתעצל, הפעולות הבאות הם פעולות אבטחה בסיסיות.
חסימת גישה לספריות רגישות אשר שייכות למערכת וורדפרס
(wp-includes, wp-content, and wp-admin).
זאת ניתן לעשות בעזרת קובץ index.html וקובץ htaccess
או ע"י שימוש בתוספים.


הגדרות htaccess ביצוע ידני: שתי אופציות: index.html או htaccess עדיף שניהם ביחד.
קובץ ה- htaccess -מאפשר לקבוע מה ניתן או לא ניתן להריץ על השרת
(ראה אפשרויות ודוגמאות).
מוע ידידותי ליצירת קובץ httaccess לוורדפרס: htpasswd file creator

blank-wi.gif
הסתרת רשימת התוספים שהבלוג משתמש
ניתן להשתמש בתוסף: Disable Directory Listings
או לבצע ידנית: צריך להוסיף קובץ index.html ריק לכל ספרייה, כדי שלא יוכלו לראות
את רשימת התוספים אשר ממוקמת תחת ספריית ההתקנה של וורדפרס.
דוגמה:http://johncow.com/wpcontent/plugins

הסתרת הגרסה
: ביצוע הפעולה באופן ידני (שינוי שורת קוד בקובץ header.php)
או ע"י התקנת תוסף: Remove WordPress Version.

מחיקת המשתמש: admin
ויצירת משתמש חדש עם סיסמה חזקה.
יצירת סיסמה חזקה? האם הסיסמה חזקה? האם הסיסמה ניתנת לפריצה? נסה לפרוץ את הסיסמה?
התחברות מאובטחת לממשק הניהול: Admin SSL


אבטחה הוורדפרס
2.5

שדרוג תוספים לגרסה 2.5 החל מגרסה 2.5, וורדפרס משתמשת במפתח סודי (secret key) בקובץ wp-config.php
אם חסרה לנו השורה הבאה בקובץ ה- wp-config.php נצטרך להוסיף אותה ידנית
(פרטים נוספים). רשימת התוספים ורשימת תבניות אשר לא תואמים לוורדפרס גרסה 2.5

רשימת קישורים מועילים
tiny_red.gif מומלץ לקרוא גם את התגובות בסוף כל מאמר.
מתיו כץ: Three tips to protect your WordPress installation
הקשחת וורדפרס, מהאתר הרשמי של וורדפרס: Hardening WordPress
הגנה על וורדפרס בלוג מאת לורל: protecting-your-wordpress-blog
נוספים:How Wordpress Blogs Are Hacked
five wordpress security essentials
Security Tips and Guidelines for your WordPress Blog
How to Remove Wordpress.net.in Spam Injection

smilly

[Slashdot] [Digg] [Reddit] [del.icio.us] [Facebook] [Technorati] [Google] [StumbleUpon]

Related posts


נהנית מהפוסט? ניתן להביע זאת בעזרת השארת תגובה ויצירת המשך דיון, או הרשמה לפיד ה-RSS וקבלת כל הפוסטים ישידות לקורא ה-RSS שלך.

טרקבקים & פינגים

[...] גדולה של טיפים ונושאים באבטחתח וורדפרס http://itbananas.com/blog-security-second-edition/ [...]
טראקבק: http://www.talgalili.com/?p=889


תגובות

ידידי קודם כל הרשה לי לשבח אותך על היוזמה ועל הכתבה המושקעת.
לא יצא לי לקרוא את כולה כי רק עכשיו חזרתי מהפלגה מטורפת כל השבוע אבל אני אשב על זה זה בטוח.
לגבי ההצעה על להציע אותי בכיף, אני מאוד מקווה שהסופ"ש הזה בלי הבטחה אני אסיים את התוסף של הפורום ואני אוכל להתפנות לתירגום של תוסף אבטחה כל שהוא שתמליץ עליו.
בברכה,
פינטו.
http://www.pintophotography.com/wp

ספר לאן הפלגת?
לא יודע למה, אבל היתה לי הרגשה שתקבל את המשימה בחיוביות ואופטימיות, אולי זאת התמונה :)

אבטחת הבלוג:
נראה כי לאחרונה הרבה בלוגים נפרצים בגלל שאין להם אבטחה מינימלית לבלוג ואין ממש מדריכים ועזרה על הנושא בעברית
חוץ מבכסף כמובן. אני מקווה שיצוצו עוד מתנדבים כמוך, כמוני
כי סך הכל כולנו נרוויח.

שוב, תודה על הרצון וההתנדבות, אני מחכה לשמוע פידבק או הערות על הכתבה ומשתוקק לשחרורו של תוסף הפורום המתורגם.

אפרופו, אתה צריך לשדרג…

הראל ידידי חיפשתי את הפוסט הזה ועל הדרך עשיתי טיול בבלוג שלך,
והאמת מצאתי דברים מעניינים ואופן הכתיבה שלך מבוצע יפה ובצורה מקצועית!
בטיול שלי הייתי בהפלגה של המג'יק 1 שהפליגה לאלניה, רודוס וקפריסין.
נופש חובה ! ואגב הרבה אבל הרבה יותר זול ההפלגה הזו יצאה לי מאשר לרדת לאילת ל5 ימים חחחחח
לגבי התוסף של הפורום סיימתי את התירגום וכבר אתמול בלילה הצואתי את התירגום של הגירסה העדכנית 3.1.1 אתה יותר ממוזמן להוריד אותה ולבדוק אותה אצלך.
http://www.pintophotography.com/

גיליתי " חור" באבטחת אתר מסויים.
השארתי שם הודעה / שאלה
ואני פתאום רואה אצלי באימייל ממתינה הודעה של צריך אישור שמכילה קישורים לניהול הבלוג ההוא…
אמנם אין לי סיסמאות לכניסה לניהול שם, וגם תודה לאל אין לי כוונה לפרוץ לשום אתר.
(אני לא כותב פה את שם האתר כדי לא לחשוף אותם לפריצות (ניסיתי להודיע להם).
אבל המקרה עצמו מדאיג אותי
והשאלה היא:
מה גורם לתקלה כזו להתרחש?

(זה שהאתר שולח הודעות ניהול למגיב במקום למנהל)

יאיר,
זאת לא בעיה ממשית מכיוון שבלי שם משתמש וסיסמה אתה לא יכול להיכנס. למעשה אתה יכול לגלות את כתובת הניהול של כל בלוג ברשת בשניה ע"י ה page source.

זה נכון אבל שזו לא בעיה ממשית
אבל זה שההודעת אישור תגובה מגיעה למגיב במקום למנהל זה דורש טיפול!
(תאר לך שחס וחלילה אצלי או אצלך זה קורה ואנו לא יודעים מזה?)

מה יכול לגרום לזה ? אולי איזה תוסף שעושה את "הפאשלה" הזו?

שלום, לאחר שפרצו לי פעם שלישית תוך יומיים לבלוג ronco.co.il
החלטתי לקרוא את המאמרים שלכם על הגנה על הבלוג.
נקוה שמאמרי זהב אלו יעזרו לי
כל הפריצות נעשו על ידי חמאסניקים מיד לאחר פתיחת המלחמה בעזה
עזרה בהגנה על הבלוג תתקבל בברכה
אברהם רונקו

החברה שלנו שוקלת לעבור למנוע בלוג. האם ישנם מומחים שיכולים להסב CSS רגיל לבלוג?
http://www.hakaveret.com

יופי של פוסט כתוב וערוך נכון אהבתי לקרוא כל שורה המשך כך…

היי הראל,
פוסט מצוין.

אתה מכיר אפשרות לעשות בוורדפרס דף אחד מאובטח https ??
(האתר מאוחסן ב HOSTGATOR)

השארת תגובה

(חובה)

(חובה)