1. Forum używa plików Cookies. Dowiedz się więcej o celu ich używania i możliwości zmiany ustawień Cookies w przeglądarce. Czytaj więcej...

PORADNIK Ochrona Wordpressa - MINI PORADNIK

Dyskusja w 'WordPress, Joomla!, PHP, HTML, CSS' rozpoczęta przez użytkownika TheL, 30 Wrzesień 2015.

  1. TheL

    TheL @Lider VIP Beta-tester

    Wiadomości:
    2 400
    Docenione treści:
    532
    Jako, że na forum padały pytania dotyczące ochrony Wordpressa przed atakami postanowiłem napisać mini poradnik jak to zrobić, część z jego punktów dotyczy nie tylko Wordpressa, ale i wielu innych CMS.
    Poradnik będzie składał się z kilku części pisanych w miarę możliwości czasowych.

    Część 1

    1. Kasowanie tagu generator

    Prawie w każdej templatce znajdziemy wpis z tagiem generator mający treść:
    Kod:
    <meta name="generator" content="WordPress <?php bloginfo('version'); ?>" />
    Mimo, że autorzy proszą o zostawienie powyższego tagu, nie jest bezpieczne jego zachowanie. Podobna sprawa dotyczy np CMS Joomla i jego wpisu do tagu generator.

    Opis jak usunąć ten wpis znajdzie się w oddzielnym wpisie.

    2. Zmiana nazwy (loginu) administratora

    Zmiana ma na celu między innymi ochronę przed atakami typu brutal force

    Aby to zrobić należy połączyć się z bazą danych używając phpMyAdmin wpisując w pasku adresu:
    http://sql.nazwaserwera.home.pl
    dane bazy danych wordpressa znajdziemy między innymi na serwerze FTP wchodząc do folderu wordpressa. Plikiem w jakim te dane się znajdują jest plik wp-config.php

    Nazwa użytkownika/bazy
    Kod:
    define('DB_USER', '123456_00001');
    Hasło do bazy:
    Kod:
    define('DB_PASSWORD', '^%&FGF^%ghj56wt3uyt');
    zal1.png

    Po zalogowaniu klikamy na naszą bazę w menu po lewej stronie i z rozwiniętej listy wybieramy tabelę wp_users i zmieniamy wartość w polach user_login, user_nickname oraz display_name klikając na nazwę admin i zmieniając wpis, po zmianie klikamy ENTER
    Od tej chwili możemy logować się inną nazwą administratora.
     
  2. Grzesiek

    Grzesiek Centrum Pomocy home.pl Administrator forum

    Wiadomości:
    3 599
    Docenione treści:
    329
    Zmianę nazwy loginu, możemy także wykonać w panelu administratora WordPress. Bez instalacji dodatkowych wtyczek, w sekcji Użytkownicy dodajemy nowego użytkownika, np. jan.kowalski a następnie nadajemy mu hasło, pamiętając o podaniu prawidłowego adresu e-mail. Nadajemy mu uprawnienia administratora.

    Wylogowujemy się z panelu i logujemy ponownie nazwą nowego użytkownika, np. jan.kowalski

    Wracamy do sekcji Użytkownicy i kasujemy konto admin. Jeśli dodaliśmy adminem jakieś wpisy, pojawi się opcja przeniesienia podpisu na nowe konto.

    Zmiana nazwy loginu jest jedną z podstawowych form ochrony systemów CMS. Login admin jest najczęściej stosowanym loginem dostępu, co powoduje, że w przypadku potencjalnego ataku, roboty czy hakerzy skoncentrują swoje siły jedynie na złamaniu hasła. Unikalny login + silne hasło na pewno wpłyną pozytywnie na ochronę systemu.
     
  3. TheL

    TheL @Lider VIP Beta-tester

    Wiadomości:
    2 400
    Docenione treści:
    532
    Grzegorz faktycznie masz rację, nawet nie pomyślałem o tej czynności :)

    3. Wordpress na home.pl jest zabezpieczony przed dostępem do jego wewnętrznych folderów przez co zabezpieczanie folderów (prócz wp-admin) można pominąć.
    Jak zabezpieczyć folder wp-admin dodatkowym hasłem:

    tworzymy plik .htaccess o treści:
    Kod:
    AuthName "Podaj haslo"
    AuthType Basic
    AuthUserFile .htpasswd
    Require valid-user
    
    wgrywamy go do katalogu wp-admin

    wchodzimy na stronę: http://aspirine.org/htpasswd_en.html wybieramy po prawej stronie w oknie 2. Generated htpasswd file pole crypt(), w pole 1. Users and passwords wpisujemy swojego użytkownika i po spacji wpisujemy swoje hasło, po prawej stronie klikamy Generate htpasswd content i kopiujemy zawartość powyższego pola.
    tworzymy plik .htpasswd wklejamy do niego to co skopiowaliśmy z poprzedniego okna, zapisujemy plik i wgrywamy w to samo miejsce w które wgraliśmy plik .htaccess.

    Od tej pory wchodząc na admina wordpressa będziemy proszeni o dodatkowe hasło.
    To dodatkowe hasło da znacznie silniejsze zabezpieczenie panelu wordpressa i jest polecane wszystkich którym zależy na blogu.

    Więcej informacji o plikach .htaccess i .htpasswd:
    https://pomoc.home.pl/baza-wiedzy/jak-korzystac-z-pliku-htpasswd-na-serwerze-w-home-pl/
     
    Ostatnia modyfikacja: 15 Październik 2015
  4. TheL

    TheL @Lider VIP Beta-tester

    Wiadomości:
    2 400
    Docenione treści:
    532
    4. Wyłączanie rejestracji użytkowników (jeśli nie potrzebna)
    W ustawieniach ogólnych odznaczamy checkbox przy "każdy może się zarejestrować"
    Jest to dość poważna sprawa i jeśli nie chcemy aby użytkownicy się rejestrowali, powinniśmy wyłączyć dla bezpieczeństwa tą funkcję.
     
  5. TheL

    TheL @Lider VIP Beta-tester

    Wiadomości:
    2 400
    Docenione treści:
    532
    5. Zainstaluj certyfikat SSL
    Tak dla Wordpressa również warto zainstalować taki certyfikat, między innymi aby nigdzie nie wyciekły nasze dane logowania jak i dlatego aby blog pozycjonował się jeszcze lepiej.
     
  6. TheL

    TheL @Lider VIP Beta-tester

    Wiadomości:
    2 400
    Docenione treści:
    532
  7. TheL

    TheL @Lider VIP Beta-tester

    Wiadomości:
    2 400
    Docenione treści:
    532
    7. Jeśli to możliwe nie ustawiaj prefixu dla tabel wp_ lecz całkiem inny, częściowo zabezpieczy to naszego bloga przed SQL Injection
     
  8. Jephrey

    Jephrey Asystent Beta-tester

    Wiadomości:
    141
    Docenione treści:
    8
    poprosze przyklad konfiguracji Login Lockdown moze byc podstawowa bo pewnie zaraz napiszesz @TheL ze ma pierdyliard opcji :) takze te podstawowe tylko poza tym jakis videotutorial by sie zdal.Caly czas bede was namawial na Ochrone premium Wordpress hosting skoro sucuri.net funkcjonuje przy swoich cenach ktore na nasze realia sa dosc wysokie znaczy ze sie da
     
  9. Grzesiek

    Grzesiek Centrum Pomocy home.pl Administrator forum

    Wiadomości:
    3 599
    Docenione treści:
    329
    @Jephrey - proszę, załóż osobny wątek, zamieść jakieś screeny, zapytaj z czym dokładnie masz problem. Podaj przykłady. Poszukamy odpowiedzi. Jak sam napisałeś, dodatek na pewno ma wiele możliwości konfiguracji i równie wiele wariantów, które mogą być konfiguracją podstawową. W chwili obecnej nie świadczymy wsparcia płatnego dla WP ani innych CMS, bezpłatnego także. Możesz kierować swoje pytania na naszym forum, jeśli będziemy w stanie, my lub inni użytkownicy pomóc Ci, zrobimy to. Jeśli nie, pozostaje forum Wordpressa.

    Poinformujemy o wprowadzeniu nowego typu supportu jak tylko taki powstanie :)
     

Poleć forum znajomym