1. Forum używa plików Cookies. Dowiedz się więcej o celu ich używania i możliwości zmiany ustawień Cookies w przeglądarce. Czytaj więcej...

PORADNIK Lista polecanych wtyczek do CMS WordPress

Dyskusja w 'Obsługa i konfiguracja CMS WordPress' rozpoczęta przez użytkownika Mariusz, 26 Wrzesień 2015.

  1. Jephrey

    Jephrey Asystent Beta-tester

    Wiadomości:
    135
    Docenione treści:
    7
    standardowa spiewka cos ponad poprzeczke to juz zaduzo a ja uwazam ze nie :) ze wlasnie obsluga techniczna powinna pomoc i w tym.Pamietaj ze korzystasz z uslug firmy ktora jest nr 1 w Polsce a to zobowiazuje.Lista wtyczek fajnie ale to jest pol produkt jest zasygnalizowane ok ze sa wtyczki cos tam wspomniane co robia,nie ma ich pierdyliard aby nie mozna siasc i opisac to jak nalezy :)
     
  2. Grzesiek

    Grzesiek Centrum Pomocy home.pl Administrator forum

    Wiadomości:
    3 562
    Docenione treści:
    325
    Co do ryby, zapraszam do Szczecina. Zaraz coś wyłowimy z morza... :)
    Nie świadczymy wsparcia, ale Wordpress Hosting SSD zobowiązuje. Nie widzę przeszkód aby ten temat pociągnąć dalej na forum, ale nie ukrywajmy, wtyczek jest bardzo dużo i najlepsze wsparcie w tym zakresie znaleźć można na stronie autorów lub forach WordPress. Przyklejam żółtą karteczkę, numer 284HG12, kolor niebieski czyli MIEJ NA UWADZE TEN TEMAT!

    Dlatego jednak pamiętajmy też o tym że jesteśmy na forum, a więc będziemy reagowali na pytania klientów. Jeśli temat będzie się rozwijał, znajdziemy i na to rozwiązanie. Póki co, jest lista i priorytetem jest jej rozwinięcie.
     
  3. Jephrey

    Jephrey Asystent Beta-tester

    Wiadomości:
    135
    Docenione treści:
    7
    zrobcie w takim razie pomoc premium dla Wordpress hosting do tematu trzeba podejsc profesjonalnie wbrew pozorom duzo stron na wp w home jest mowiac wprost "zasyfionych"roznorakim kodem i poten zdziwienie ojej jestem na RBL a odnosnie rybki to mozecie dozucic do worka paprykarz kuriera zaczynam wypatrywac powoli przez lornetke :) a ponoc macie swoje uslugi kurierskie :)
     
  4. Grzesiek

    Grzesiek Centrum Pomocy home.pl Administrator forum

    Wiadomości:
    3 562
    Docenione treści:
    325
    Spostrzegawczy, tak mamy :p ale paprykarza nie chcą wozić.
    WordPremium Support. Pomysł świetny ale jak to mówią, nie można mieć od razu wszystkiego. Taki support wymaga doświadczenia, chyba nie chciałbyś słuchać na telefonie regułki, jak zmienić hasło do WP? Zbieramy pomysły, ale decyzja nie jest zależna od nas.
     
  5. TheL

    TheL @Lider VIP Moderator forum

    Wiadomości:
    2 363
    Docenione treści:
    521
    Zróbcie płatny dział na forum :) dotyczący WP :)
     
    jakubgalinski lubi to.
  6. Jephrey

    Jephrey Asystent Beta-tester

    Wiadomości:
    135
    Docenione treści:
    7
    Piotrek Ty zamiast sie smiac moglbys przyciac troche kasy wiesz ile jest na home.pl wordpressow zainfekowanych?niestety ostatnimi czasy to plaga a potem placz ze sie na rbl trafilo albo administracyjnie zostalo zablokowane konto
     
    jakubgalinski lubi to.
  7. TheL

    TheL @Lider VIP Moderator forum

    Wiadomości:
    2 363
    Docenione treści:
    521
    plaga nie plaga, to, że jest dużo wordpressów nie oznacza, że jest dużo osób chętnych aby były zabezpieczone, a jednak jest to trochę pracy więc i koszt nie byłby malutki.
     
  8. Jephrey

    Jephrey Asystent Beta-tester

    Wiadomości:
    135
    Docenione treści:
    7
    koszty okreslasz mniej wiecej na?rozumiem ze jest to za miesieczna opieke?a moze wprowadzic przy wordpress hosting jakis mechanizm ktory sprawdzalby czy pliki nie byly edytowane i wysylal powiadomienie o ile to technicznie mozliwe?
     
  9. TheL

    TheL @Lider VIP Moderator forum

    Wiadomości:
    2 363
    Docenione treści:
    521
    masz crona, użyj listowania wielkości i dat wszystkich plików na serwerze i porównuj je co np godzinę, jak jest różnica wysyłaj mail. Dostaniesz maila co godzine, z tego powodu, że tworzy się trochę plików tymczasowych, itp. Nie możesz folderu tmp/temp ignorować bo często tam jest jakiś śmieć. Podałem już przynajmniej kilka rzeczy które należy zastosować aby mieć pewność 99,9999 % bezpieczeństwa wordpressa. Zabezpiecza się stronę raz a porządnie i tyle. Potem należy ją tylko aktualizować i co jakiś czas patrzeć w log.
     
  10. Jephrey

    Jephrey Asystent Beta-tester

    Wiadomości:
    135
    Docenione treści:
    7
    jakis poradnik jak odpalic crona to moze byc nie glupie :)
     
  11. Grzesiek

    Grzesiek Centrum Pomocy home.pl Administrator forum

    Wiadomości:
    3 562
    Docenione treści:
    325
  12. jakubgalinski

    jakubgalinski Spryciarz

    Wiadomości:
    48
    Docenione treści:
    4
    Przejmijcie zenbox - będziecie mieli support WP gratis ;) hihihi ;)
     
    Ostatnia modyfikacja: 16 Październik 2015
    Grzesiek lubi to.
  13. Adam

    Adam Social Media home.pl home.pl Administrator forum

    Wiadomości:
    262
    Docenione treści:
    73
    jakubgalinski lubi to.
  14. TheL

    TheL @Lider VIP Moderator forum

    Wiadomości:
    2 363
    Docenione treści:
    521
    @Adam, na pewno ma to duży wpływ na zmniejszenie ilości ataków na strony i chwała Wam za to, że macie taki system.
    Jednak nic nie zastąpi zdrowego rozsądku użytkowników i poświęcania przez nich uwagi stronie.
    Sam mam bloga firmowego już od bardzo dawna u Was na serwerach i wszystko działa poprawnie :)
     
  15. gielo2

    gielo2 Asystent

    Wiadomości:
    146
    Docenione treści:
    18
    All In One WP Security - chyba najbardziej rozbudowany kombajn poprawiający bezpieczeństwo WP, dość prosta konfiguracja.
    Jetpack - Posiada funkcje ochrony i wiele innych przydatnych funkcji dla WP
    Nice Search - Pozwala na samodzielne wpisamie fraz do wyszukiwania na jakie chcemy wyszukać artykuł. Frazy nie znajdujące się w treści oczywiście :)
    Switch jQuery Version - Zmiana wersji JQuery z poziomu admina oraz miejsca skąd ma to JQ zaczytywać.
    Zia3-JS-CSS - Pozwala na przypisanie indywidualnego js bądź css dla podstrony, dzięki czemu może wyglądać ona całkowicie inaczej niż reszta bloga. Możliwość wczytania kodu z pliku lub wklejenia w okienko dla danej podstrony.
     
    Mariusz lubi to.
  16. gielo2

    gielo2 Asystent

    Wiadomości:
    146
    Docenione treści:
    18
    Taka mała uwaga jeszcze. Jeśli ktoś trzyma bloga na serwerze VPS lub dedykowanym, to polecam uruchomić i skonfigurować Fail2Ban+JAIL na swoim serwerze. To dość znacznie poprawia bezpieczeństwo, a na pewno mocno utrudnia życie wszelkiej maści spamerom komentarzy, pseudo hackerom z gimnazjum itp. Działa to tak, że według skonfigurowanych reguł w pliku konfiguracyjnym, blokuje czasowo dane ip. Np. po 3ch nieudanych próbach logowania do FTP, SSH, po wielu połączeniach z serwerem w krótkiej jednostce czasu (przykład spamowania komentarzy) po protokołach pocztowych itd. Program posiada wiele wstępnie skonfigurowanych reguł i daje możliwość tworzenia własnych bądź korzystania z gotowych rozwiązań dostępnych z sieci :) Osobiście bardzo polecam.
     
  17. gielo2

    gielo2 Asystent

    Wiadomości:
    146
    Docenione treści:
    18
    I kolejna bardzo fajna rzecz, jak już mamy Fail2Bana to jest wtyczka do WP WP-Fail2Ban :) Konfiguracja i uruchomienie jest banalne. Kopiujemy plik (z katalogu pluginu) wordpress.conf, dodajemy reguły do Jail.local i przeładowujemy fail2ban. Od tej pory po określonej w regule maxretry błędnych próbach logowania odcina dostęp do wordpressa danemu klientowi na określony czas :) bardzo skuteczne zabezpieczenie przed BriteForce na naszego WP.

    Przykladowe reguły:

    [wordpress]
    enabled = true
    port = http,https
    filter = WordPress
    logpath = /var/log/auth.log
    maxretry = 5
     
  18. LorK

    LorK Przyjaciel forum Beta-tester

    Wiadomości:
    1 013
    Docenione treści:
    88
    @gielo2

    > BriteForce

    chodziło Ci o bruteforce?

    > odcina dostęp do wordpressa danemu klientowi na określony czas

    jak to jest blokowane? Zakłada ciasko blokujące możliwość logowania do wp-admin? Blokuje dane konto na określony czas?
     
  19. gielo2

    gielo2 Asystent

    Wiadomości:
    146
    Docenione treści:
    18
    tak, miało być bruteforce - literówka :)
    Działa to tak, że fail2ban do iptables dodaje łańcuch blokujący dla danego ip po określonej błędnej ilości prób zalogowania i po określonym czasie go zdejmuje. Zarówno ilości prób jak i czas takiego bana określa się w pliku jail.conf lub jail.local fail2bana.

    Ta wtyczka to nic innego jak filtry dla fail2ban pod wordpressa o zawartości dla failregex.

    failregex = ^%(__prefix_line)sAuthentication failure for .* from <HOST>$
    ^%(__prefix_line)sBlocked authentication attempt for .* from <HOST>$
    ^%(__prefix_line)sBlocked user enumeration attempt from <HOST>$
    ^%(__prefix_line)sPingback requested from <HOST>$

    W konfiguracji jednak warto podać, aby blokował jedynie dostęp do portów 80 i 443 jeśli dostęp ma być odcinany jedynie dla strony. Jeśli nie podasz tego, a w głównym configu ustawione będzie blokowanie wszystkich portów to zablokuje danemu dostęp na określony czas do wszystkich portów, czyli całego serwera.

    Jeśli teraz czas blokady ustawisz na np. 30min po 3 błędnych próbach zalogowania i o ile do wp. nie będzie można się dostać wpisując admin admin dla loginu i hasla lub podobnie , to prędzej życia atakującemu zbraknie niż uda mu się złamać hasło i dojść jaki masz login np. metodą słownikową. Oczywiście do samego wp, hasło dobrze jest zmieniać co jakiś czas np. co 2-3 miesiące. Dobre hasło to takie składają ce się z kombinacji małych i wielkich liter, cyfr i znaków specjalnych jednak przy tym zabezpieczeniu nawet prostsze hasło będzie nie do złamania jeśli co te 2-3 miesiące będziesz je zmieniał.

    Na podstawie tych filtrów można z powodzeniem napisać inne filtry, zabezpieczając tym samym inne skrypty.

    Innym sposobem na zwiększenie bezpieczeństwa może być instalacja i odpowiednia konfiguracja modułu do apache mod_evasive co także ograniczy nam tego typu ataki niejako. Przykładowa konfiguracja tego modułu.

    DOSHashTableSize3097# rozmiar tablicy z zapamiętanymi kluczami
    DOSPageCount5 # l. req do pojedynczej strony dla DOSPageInterval
    DOSSiteCount100 # l. req do całego serwisu dla DOSSiteInterval
    DOSPageInterval2# przedział czasowy pojedynczej strony
    DOSSiteInterval2# przedział czasowy całego serwisu
    DOSBlockingPeriod10 # czas blokady, w sekundach
    DOSCloseSocket yes # zamyka sockety po zablokowaniu, wymuszając ponowne nawiązanie połączenia

    Oczywiście, że wszystkie takie rozwiązania mają pewne wady i nie są 100% zabezpieczeniem, chociażby przed atakiem DDOS kiedy często idzie on z kilku tysięcy komputerów i tym samym adresów IP, jednak przed pseudochackeramii, którzy stanowią 99,99% wszystkich ataków, prób skanowania portów itp. jest to dość dobre zabezpieczenie.

    Kolejna sprawa, że w przypadku evasive należy pamiętać, że jest to zabezpieczenie dla całego apache i stron działających pod jego kontrolą, więc te parametry powinny być dobrane indywidualnie dla każdego serwera, gdyż to co dla jednego serwisu może być już próbą ataku, to dla innego może być czymś naturalnym,

    Przy wielkich atakach jak np. zalewanie milionami małych pakietów w ilości 5GB na sekundę to pozostaje jedynie CloudFlare i to nie w wersji Free :]

    Pisałem o Fail2Ban, a zacząłem pisać o innych metodach zabezpieczeń. Jest to ze sobą powiązane jako, że Fail2Ban to zabezpieczenie przed atakami DOS, także DDOS o ile nie idą w tysiącach, a takim jest też i atak Bruteforce. Wiem, że chodzi obiegowa opinia jako, że przed DDOS nie ma skutecznej ochrony, faktem jest jednak że największy atak DDOS w historii był odparty właśnie przez CloudFlare, więc da się jak ma się środki i odpowiednie umiejętności.

    Jasne, że takiego ataku żadna maszyna w Polsce by nie wytrzymała jednak jak pisałem większość, jakieś 99,99% ataków da się odeprzeć przy odpowiedniej konfiguracji serwera.

    Wracając do samego WP jeszcze, to polecam także instalacje wtyczki All WP Security o której wspomniałem już w innym wątku. Można zmienić za pomocą niej nazwę podstrony wp-admin na jakąś inną, co samo z siebie ograniczy nam możllwoiść ataków bruteforce o 70-90% ? Oczywiście sam plugin ma o wiele szersze możliwości zabezpieczeń WP z czego także proponuje skożystać.

    Czym jeszcze warto się zainteresować? Portsentry + oczywiście filtr dla Fail2Ban :) Na moim serwerze to on właśnie odcina najwięcej potencjalnych hakierów :)
     
  20. gielo2

    gielo2 Asystent

    Wiadomości:
    146
    Docenione treści:
    18
    Kolejne przydatne pluginy do WP :)

    404 to 301 - poprawia nam seo przekierowując wszystkie niedostępne podstrony zgłaszające się z kodem 404 np. na stronę główną. Przekierowanie przez 301 :)
    Antispam Bee - Jedna z najlepszych wtyczek antyspamowych
    Loco Translate - Tłumaczenie szablonów graficznych i wtyczek z poziomu panelu administratora. Aktualizacja wtyczki lub templatki nie nadpisuje tłumaczenia.
    W3 Total Cache lub Hyper Cache - Najlepsze według mnie wtyczki cachujące. Pierwsza niesamowicie rozbudowana dzięki której możemy np. odpalić cachowanie bazy danych oraz skonfigurować memcached, CDN i wiele więcej, Druga wprost przeciwnie, posiada minimum opcji konfiguracyjnych, więc najlepsza będzie dla początkujących.
     

Poleć forum znajomym