אבטחת וורדפרס

מאת הראל משה | תגובות (3) | טרקבקים (0)

the-web02-wp-security.gif

אז מה בנוגע לאבטחת וורדפרס?
lesson06.gif
כשהתחלתי ללמוד את הנושא, רציתי קודם כל להבין מה הם הסיכונים שעומדים מול מערכת וורדפרס?
ובכן מצאתי עולם שלם של סיכונים.


Security castle

טיפ בסיסי לפני שנתחיל.
רצוי למחוק את שם משתמש הברירת המחדל (admin) ולהגדיר חשבון חדש עם סיסמה חזקה.
ראה הגדרת סיסמאות מוצפנות ב-md5
Delete Admin User


אבטחה לוורדפרס.
Security Wich
שדרוג וורדפרס לגרסה האחרונה.
זה טיפ בסיסי, שדרוג המערכת לגרסה האחרונה כדי להימנע מחורים באבטחה.
ובכן, הסיכונים תלויים בגרסה שאנחנו משתמשים, סוג התבנית והפלאגינים.

טיפ בסיסי: גיבוי המערכת לפני כל שינוי.
blank-wi.gif
הסתרת הגרסה של וורדפרס.
Security eyeball
אין שום סיבה שתכולת ספריות ההתקנה של וורדפרס תהיה מוצגת לכולם.

אם לא שינינו את הגדרות ברירת המחדל של התבנית, כל אחד יוכל לדעת באיזו גרסת וורדפרס אנחנו
משתמשים ע"י הצצה ב- view source של העמוד.
View Source
כדי למנוע את זה נערוך את header.php של התבנית.

הסתרת הגרסה של וורדפרס נאתר את השורה הבאה:
<meta name="generator" content="WordPress <?php bloginfo('version'); ?>" />
ונחליף אותה בזאת: <meta name="generator" content="mywebsite" />
ראה גם מדריך באנגלית.

ספריות ההתקנה של וורדפרס.
נחלק לשני תתי נושאים: הגנה על ספריית ההתקנה עם סיסמה והסתרת תצוגת ספריות ההתקנה.

הגנה על ספריית ההתקנה עם סיסמה
ניתן להגיע לפתרון מהיר ע"י התקנת פלאגין: AskApache
לחלופין אפשר להוסיף כמה שורות לקובץ ה- htaccess
Access Key
אזהרה: במידה ואין לנו ip קבוע ישנו סיכוי טוב שנינעל בחוץ!
במצב כזה נוכל להשתמש בפקודות קוד שיאפשרו לנו להוסיף סיסמה ללא הקבלת כתובת ה-ip
ראה גם מאמרים באנגלית:htaccess-tricks, blogsafe| SecureCode

נוודא גם את ההגדרה נכונה של זכויות והרשאות על ספריות וקבצים באתר.
file-security.gif

הסתרת תצוגת ספריות ההתקנה של וורדפרס: directory listings
מסתבר שכל אחד יכול לראות את תכולת ספריות ההתקנה של וורדפרס.
למשל,אם נפתח את הדפדפן ונכניס את אחד מהקישורים שמפנים אותנו לספריות שונות:

http://mydomain.com/blogdir/wp-content/plugins
http://mydomain.com/blogdir/wp-content/themes
נגלה שאנחנו יכולים לראות את תכולת הספריות והקבצים של המערכת, באיזה פלאגינים ותבניות
אנחנו משתמשים וכדו'… האקרים יכולים להשתמש באינפורמציה הזאת כדי לפרוץ ולהזיק לאתר שלנו.

אז מה עושים כדי למנוע מכל אחד להציץ לנו לספריות ההתקנה?
שתי אופציות: index.html או htaccess

index.html
1. ניצור קובץ ריק עם notepad ונשמור אותו בשם index.html
נעלה אותו לספריית \blog\wp-content\plugins שבשרת.
לאחר מכן כשנכנס לדפדפן בשנית וננסה להציג את תכולת ספריית plugins, לא נצליח!
>> זהירות! לא להעתיק את ה-index.html לספרייה שכבר מכילה את הקובץ.

זהו, פשוט?
ובכן, נצטרך לחזור על הפעולה הזאת מספר פעמים כדי להעלות את הקובץ לכל ספרייה שאנחנו
מעוניינים שלא תוצג. זה יכול להיות מיגע כשיש הרבה ספריות.
לכן אני מעדיף להשתמש באופציה השנייה, שהיא הוספת שורת קוד לקובץ htaccess.

htaccess
נוסיף שורת קוד לקובץ על מנת שכל דף שאינו מכיל את הקובץ: index.html
תוצג הודעת שגיאה (404)שאין לנו את ההרשאות המתאימות כדי להציג את תכולת הספרייה.
וזה בסדר, כי זה מה שאנחנו רוצים, אין שום סיבה שמישהו יוכל להסתכל בספריות ההתקנה שלנו.

נפתח את הקובץ (תחת ספריית ההתקנה של וורדפרס) ונוסיף מתחת לשורה
הזאת: <IfModule mod_rewrite.c>
את הקוד הזה: Options All -Indexes
htaccess.gif

אפשר לעדכן את הודעת השגיאה ע"י הוספת הקוד: ErrorDocument 403 /forbidden.html
מתחת לשורה שהוספנו קודם ואז כל שגיאה בהקלדת הקישור תחת הדומיין שלנו תיקשר לתבנית הפתיחה של וורדפרס.
htaccess2.gif

blank-wi.gif
כדי למנוע ממנועי החיפוש לחפש קוד באתר.
נערוך את קובץ התבנית: search.php ונחליף את שורת הקוד כמו בתמונה.
replace search code in the search.php ראה מדריך באנגלית.
blank-wi.gif
מה בנוגע לקובץ robots.txt?Security Spider
הקובץ הזה הוא הקובץ שאומר למנועי החיפוש מה הם יכולים או לא יכולים לראות באתר שלנו.
קובץ ה-robots מאפשר גם להסיר תוכן כפול (כפילויות בדפים, פוסטים, תגובות וכדו'…).
איך משתמשים?

ספאם
ניתן להשתמש בפלאגין של akismet שנכתב במיוחד לוורדפרס לעצור דואר זבל.
akismet
כאשר ספאמרים סורקים את האתר הם מחפשים קישורים לכתובת מייל
ואת הקבצים: wp-comments-post.php, wp-trackback.php

סוגי רישוי חופשי
creative-commons.gif

חשוב מאוד לייצר רישיון לתכני האתר!
כלים להפקת זכויות יוצרים ליצירה שלנו:
not2.gif שמור על הטקסט ע"י זכויות יוצרים.
cclic.gif קביעת רישיון ליצירתך.

כלים שונים.
השוואת הטקסט מאתר לאתר אחר: Blog Juice
בדוק אם נעשו שינויים באתר: WebSite-Watcher
כלים לבדיקות אתרי Web

w-icon-small.gifראה גם: << בחירת שירות אחסון אתרים לוורדפרס <<התקנת או שדרוג וורדפרס בעברית
>> תוספות לוורדפרס.

[Slashdot] [Digg] [Reddit] [del.icio.us] [Facebook] [Technorati] [Google] [StumbleUpon]

Related posts

נהנית מהפוסט? ניתן להביע זאת בעזרת השארת תגובה ויצירת המשך דיון, או הרשמה לפיד ה-RSS וקבלת כל הפוסטים ישידות לקורא ה-RSS שלך.

תגיות: , , , , , , , , , , ,
נושאים: אבטחה

טרקבקים & פינגים

עדיין לא נשלחו טרקבקים ופינגים.

תגובות

יפה, אהבתי
אתחיל לישם חלק מהנושאים

תגובה מאת איתי בתאריך 4 בפברואר 2008 @ 23:16

מכובד ביותר, קבל ח"ח!
עכשיו לימדת אותי משהו :)

תגובה מאת Morphey בתאריך 5 בפברואר 2008 @ 16:49

This story sounds convincingly! I agree with you in this case.

תגובה מאת ronnknee בתאריך 3 באפריל 2008 @ 13:08

השארת תגובה

(חובה)

(חובה)