WordPress – Cum imi sporesc securitatea blog-ului ?

securitatea in WordPressWordPress este una dintre cele mai folosite platforme de blogging in lume. Este actualizata destul de des si au un timp de raspuns bun la identificarea unei vulnerabilitati in aceasta. Cu toate acestea, am publicat recent despre unele vulnerabilitati care au fost remediate rapid.
Cum au fost, mai pot apare si desi este o platforma optimizata si sigura, un plus de securitate este intotdeauna binevenit.

Exista cateva metode prin care se poate bloca accesul nepoftitilor si astfel compromiterea blog-ului.

Totusi, exista si o parte ce nu tine de utilizator si anume serverul web pe care este hostat site-ul. Daca aceste ruleaza sub Windows si\sau este infectat tot ceea ce va voi prezenta mai jos este inutil, pentru ca site-ul va fi oricum compromis.

1. Actualizarea WordPress si ascunderea versiunii

Este esential sa aveti ultima versiune WordPress deoarece sunt remediate intotdeauna gaurile de securitate si se aduc imbunatatiri de performanta si functionalitate.
O puteti descarca de pe pagina oficiala, la aceasta adresa.

WordPress afiseaza in mod implicit versiunea pe care o utilizezi si aceasta informatie poate fi utilizata impotriva ta, deoarece hackerii stiu gaurile de securitate din fiecare versiune.

Ascunderea acestei informatii nu este atat de dificila. In primul rand trebuie dezactivat meta tag-ul ce-l genereaza. Pentru aceasta adaugati urmatorul cod fisierului functions.php al temei utilizate:

function hide_wp_vers()
{
return ”;
}
add_filter(’the_generator’,’hide_wp_vers’winking;

Mai exista un loc unde se poate afla numarul versiunii WordPress. Este vorba de fisierul readme.txt care vine cu instalarea platformei. Accesati serverul FTP si stergeti-l.


2. Securizarea Arborelui Director WordPress

O chestiune de baza in securizarea instalarii este restrictionarea accesului la fisierele si directoarele de pe server. Arborelui director ii sunt atribuite anumite permisiuni de accesare, in functie de importanta, functionalitatea si utilizarea lor pentru a preveni accesul neautorizat.
Iata pas cu pas ce trebuie facut pentru a proteja fisierele si folderele WordPress.

Pentru a face modificarile de mai jos este necesara accesarea contului FTP.

1. Nici un fisier sau director nu trebuie sa aiba permisiunea 777 (777 = acces nelimitat al oricarei persoane la resursa respectiva).
2. Nici un fisier nu trebuie sa aiba permisiunea 666, cu exceptia fisierelor temei care sunt editabile prin editorul inclus in dashboard-ul WordPress (666 = drepturi de scriere oricarei persoane ce acceseaza fisierul\folder-ul).
3. Ideal, toate fisierele trebuie sa aiba permisiunea 644. De asemenea, toate directoarele, permisiunea 755.
4. Unele servere solicita ca permisiunea folderului ‘wp-content/uploads’ sa fie 777. Acelasi lucru se aplica si unor plugin-uri care solicita aceleasi drepturi pentru folder-ul propriu.

In radacina blog-ului (unde se instaleaza platforma WordPress) este necesara prezenta unui fisier denumit .htaccess.
Daca nu exista, il creati manual ca fisier .txt, ii schimbati extensia si denumirea in ceva de genul blog.htaccess. Il urcati pe server si editati denumirea pentru a obtine denumirea dorita .htaccess.

Unii atacatori vor incerca browsing-ul direct al fisierelor de pe site. Adaugati urmatorul cod fisierului .htaccess pentru a preveni orice activitate de acest gen.
Aceasta face ca nimeni sa nu poata accesa folderele sau fisierele prin simpla scriere a caii lor in bara de adrese a browserului.

Options All -Indexes

De asemenea este necesara adaugarea urmatoarelor linii in acelasi fisier .htaccess pentru a proteja wp-config.php impotriva accesarii neautorizate. Acest fisier contine setari importante de configurare ale WordPress necesare conectarii la baza de date a blogului. Include parola si username-ul MySQL.


Order deny,allow
deny from all

Adaugarea urmatoarelor linii in .htaccess va proteja wp-admin.php de accesarea neautorizata. Astfel dashboard-ul administratorului va fi protejat de atacatori.

AuthUserFile /dev/null
AuthGroupFile /dev/null
AuthName “Access Control”
AuthType Basic

order deny,allow
deny from all
allow from xx.xx.xx.xx
allow from xx.xx.xx.xx

unde xx.xx.xx.xx reprezinta adresele statice de IP ale administratorilor si celorlalti care contribuie la blog. Daca acestia au un IP dinamic, aceasta metoda nu va mai fi utilizata.

Este de asemenea utila monitorizarea permanenta si automata a fisierelor blog-ului pentru a sesiza o eventuala infiltrare a unui “suspect”. Aceasta se poate face rapid si automat cu ajutorul plugin-ului WordPress File Monitor.

3. Securizarea Bazei de Date

Hackerii au deseori ca tinta baza de date WordPress pentru a insera iframe-uri infectate sau link-uri nenumarate in diferite postari. La instalarea WordPress, tabelele primesc implicit prefixul wp_ indiferent de tipul tabelului. Cei care doresc sa sparga baza de date vor folosit aceasta informatie pentru a lansa cateva tipuri de atacuri SQL Injection. Pentru o mai buna securitate, este necesara schimbarea prefixului in altceva.

Aceasta se poate face in 3 feluri:
1. La instalarea WordPress, ceea ce reprezinta cea mai facila metoda. Se introduce pur si simplu o alta denumire aleatorie, dar care trebuie retinuta a prefixului pentru tabele.

wordpress - schimbarea prefixului tabelelor bazei de date

2. Editarea manuala a tabelelor dupa instalarea WordPress. Gasiti un tutorial foarte usor de inteles si sigur la aceasta adresa.
ATENTIE! Daca nu stiti ce faceti este recomandat sa solicitati ajutorul unei persoane autorizate pentru aceasta metoda.

3. Printr-un plugin foarte eficient, care contine si alte masuri de securitate, denumit WordPress Security-Scan

Nu in ultimul rand pentru securizarea bazei de date este necesara efectuarea unui backup periodic (zilnic sau cel putin saptamanal) al acesteia. In cazul unei pierderi accidentale a blog-ului din diverse motive, backup-ul este salvator.
Recomandarea mea este sa utilizati plugin-ul WP-DB-Backup ce are optiuni avansate de backup manual si automat la orice interval doriti. Este simplu de utilizat si eficient, arhivele de backup fiind trimise prin e-mail sau putand fi descarcate de pe site.

4. Securizarea ID-urilor Utilizatorilor si a metodei de Logare

In primul rand alegeti-va o parola puternica pentru logarea in panoul de comanda si pe contul FTP.

Stergeti contul implicit de Administrator – De indata ce instalarea WordPress este finalizata, se genereaza automat un cont de administrator cu id-ul admin si o parola generata aleatoriu. NU utilizati acest cont. Realizati un cont secundar cu privilegii de administrare si stergeti contul implicit cu ID-ul admin
Acest lucru este necesar, deoarece un atacator va incerca sa ghiceasca numele administratorului si apoi va folosi metode de tip brute-force pentru a sparge parola. Daca folositi acest cont, i-ati scutit din munca si va trebui doar sa caute parola.

Securizati metoda de logare – Cu ajutorul acestor doua plugin-uri veti face logarea WordPress cu mult mai sigura. Chap Secure Login cripteaza parola astfel incat nimeni sa nu o poata fura in timp ce este transmisa spre serverul web. Login LockDown este excelent in a bloca atacurile de tip brute force asupra parolei. Dezactiveaza functia de logare dupa un numar definit de incercari esuate, blocand si IP-ul celui care le-a realizat.

In concluzie:

  • Pastrati platforma WordPress si toate plugin-urile actualizate
  • Alegeti o parola puternica pentru conturile utilizate
  • Faceti backup regulat al blog-ului (fisiere si baza de date)
  • Asigurati-va ca aveti permisiunile fisierelor setate corect

Administrator FaraVirusi.com
voluntar al Comodo Malware Research Team, expert Malwarebytes Anti-Malware

17 responses to “WordPress – Cum imi sporesc securitatea blog-ului ?”

  1. yo9fah

    Excelente informatiile ! Astazi am schimbat si eu tema, culoarea, parca negrul ala era prea negru ! Am si eu un articol publicat la mine pe blog tot referitor la securitate, cine-i curios poate sa vada. Si am mai publicat si la altii de lucrul asta, este o vulnerabilitate la ultima varianta de WP, defapt a mai scris si andrei de la Stefa Media de asta ! In fine, cu multumiri pentru articol ! Bafta ! 😉

  2. Linkurile de joi(3) | Let me blog your mind

    […] Cum poti sa iti sporesti securitatea blogului. !link! […]

  3. andrei

    Un articol foarte bun, pe care l-am propus şi pe FTW. http://bit.ly/123Nr2 Felicitări. Un singur n-am înţeles, şi anume cu ce mă ajută ascunderea versiunii de WordPress, din moment de scanarea vulnerabilităţilor se face automat. E o frecţie la picior de lemn.

    Iar dacă s-a vorbit de actualizarea WordPress, nu trebuie neglijată nici actualizarea temei şi a plugin-urilor folosite. Ultimele evenimente au arătat că există foarte mulţi utilizatori care au amânat aducerea la zi a versiunii folosite, tocmai din cauza temei sau a unor plugin-uri. De asemenea, folosirea unor plugin-uri aflate în stadiul de test, sau recunoscute ca fiind cu probleme, poate constitui un risc major de securitate. Oare de ce utilizatorilor de pe wordpress.com nu le sunt puse la dispoziţie decât „o mână” de plugin-uri ?!

    Tot legat de plugin-uri (şi cu asta închei), aş mai aminti Stealth Login, AntiVirus şi Bad Behavior. Ultimul, fiind mult mai complex decât un plugin antispam (aşa cum este prezentat „în popor”).

  4. andrei

    Legat de AntiVirus trebuie să fac o precizare. El este util doar atunci când descarci o anumită temă pentru WordPress (în special dacă nu este de pe site-ul oficial) şi vrei să verifici dacă există cod ascuns. Îmi aduc aminte că s-a discutat problema şi pe cnet.ro unde cineva a recomandat ca alternativă TAC (Theme Authenticity Checker). E şi asta o problemă detul de serioasă, mai ales că unii se încăpăţânează să descarce plugin-uri, teme sau kit-uri de wordpress din toate locurile posibile… mai puţin cele oficiale.

    Chiar îmi spunea cineva săptămâna trecută că a găsit un WordPress „premium”, mai bun decât cel oficial. Asta mai lipsea: WordPress Retestrack 🙂

  5. WordPress Admin Panel Security For Beginner !? | Windows pentru începători

    […] obiect, pe blogul lui Andrei de la “Stefa Media“, sau pe cel al lui Radu de la “Fără Viruși“, etc. Poate că unii useri, … tratează cu indiferență acest lucru, … dar nu […]

  6. FaraVirusi.com » Blog Archive » WordPress 2.8.5 – Actualizare recomandata de securitate

    […] Cu siguranta veti fi interesati si de sporirea securitatii in WordPress in afara de actualizarile oferite de prodcator. Pentru aceasta am facut un ghid pe care-l puteti consulta aici: http://www.faravirusi.com/2009/10/14/wordpress-cum-imi-sporesc-securitatea-blog-ului/ […]

  7. Actualizarea la WordPress 2.8.5, o necesitate prost înţeleasă

    […] de la premisa că instalarea WordPress este una CORECTĂ şi ACTUALIZATĂ. Materialul scris de Radu pe faravirusi.com şi propus de mine pe FTW, spune încă de la primul punct „este esenţial să aveţi ultima […]

  8. hopsieu

    Salut, foarte necesare informatiile din acest articol. Pana nu am fost lovit de situatie nu am acordat prea mare atentie acestui lucru. Insa nu gasesc un plugin care sa restrictioneze anumite privilegii pe care le are un editor… azi unul dintre editori s-a gandit ca sunt prea multe postari si a inceput sa stearga din ele :))…simplu .. Te rog frumos daca poti sa ma ajuti! raman dator !!!

  9. Vilabong

    Hi there. I would like to know what the following: ZoneAlarm, and Windows Defender will do for my laptop. I already have avast! 4 Home Edition installed, and would like to enhance my laptop’s security. And that’s why I would like to know what ZoneAlarm and Windows Defender will do, what else do they cover? What parts of my laptop do they protect and so on, for instance, internet security or the laptop itself? If you know what I mean. I’d just like to know because avast! is great, they are a very good anti-virus software, I’ve been using them for around a month or two, or more, and they have been brilliant. I’m just wondering because I’ve heard that ZoneAlarm and Windows Defender are two other great softwares that can enhance and improve someone’s laptop (or even computer). I’m very happy with avast! at the moment, they are doing a great job in protecting my laptop. But I wouldn’t mind knowing what else I can do with ZoneAlarm and Windows Defender. If there are other options too, other than ZoneAlarm and Windows Defender, please do let me know, as I would look into them more. So, please, let me know what ZoneAlarm and Windows Defender’s functions are, and what role they play. Thank you.

  10. Wordpress 3.0.3 – Actualizare de Securitate

    […] actualizarile oferite de prodcator. Pentru aceasta am facut un ghid pe care-l puteti consulta aici: http://www.faravirusi.com/2009/10/14/wordpress-cum-imi-sporesc-securitatea-blog-ului/Related posts:WordPress 2.8.4 – Actualizare Importanta de SecuritateWordPress 2.8.5 – […]

  11. WordPress 3.0.5 – Actualizare de securitate

    […] actualizarile oferite de prodcator. Pentru aceasta am facut un ghid pe care-l puteti consulta aici: http://www.faravirusi.com/2009/10/14/wordpress-cum-imi-sporesc-securitatea-blog-ului/ […]

  12. WordPress 3.1.1 – Actualizare de securitate

    […] actualizarile oferite de prodcator. Pentru aceasta am facut un ghid pe care-l puteti consulta aici: http://www.faravirusi.com/2009/10/14/wordpress-cum-imi-sporesc-securitatea-blog-ului/ /* */ var nr_url="http://api.nrelate.com/rcw_wp/0.45.1/?tag=nrelate_related"; […]

  13. WordPress 3.1.3 – Actualizare importanta de securitate

    […] actualizarile oferite de prodcator. Pentru aceasta am facut un ghid pe care-l puteti consulta aici: http://www.faravirusi.com/2009/10/14/wordpress-cum-imi-sporesc-securitatea-blog-ului/.nrelate .nr_sponsored{ left:0px !important; } // […]

  14. WordPress 3.5.2 – Actualizare importanta de securitate

    […] Cu siguranta veti fi interesati si de sporirea securitatii in WordPress in afara de actualizarile oferite de prodcator. Pentru aceasta am facut un ghid pe care-l puteti consulta aici: http://www.faravirusi.com/2009/10/14/wordpress-cum-imi-sporesc-securitatea-blog-ului/ […]

Leave a Reply