WordPress sistemos apsaugojimas nuo įsilaužimų

Išleidus naująją WordPress turinio valdymo sistemos (TVS) versiją pasigirdo vis daugiau kalbų apie tai, kaip svarbu tinkamai apsaugoti savo tinklaraščius ir svetaines, naudojančias būtent čia TVS. Atrinkau keletą populiariausių priedų saugumui bei priemonių techniškai (programuojant, pridedant kodo) apsaugoti prieigą prie administratoriaus ar galimybę pakenkti turiniui.

Žinotina informacija prieš imantis bet kokių priemonių

Esu įsitikinęs, kad dauguma tinklaraščio autorių savo tinklaraščius laiko ne atskiruose serveriuose, o paprastuose hostingo bendruose talpyklose. Tai reiškia, kad jeigu programišiai (angl. hackers) perimtų bent vienos iš tame serveryje esančios svetainės valdymą, o pats serveris nebūtų tinkamai apsaugotas nuo kenkėjiškų veiksmų, jūsų svetainė taip pat gali tapti tokios atakos auka. Panašių pavyzdžių jau esame matę ir praeityje, kai buvo įsilaužta į vienos lietuviškos talpinimo įmonės serverius ir sunaikintos kelių šimtų visiškai skirtingo turinio svetainės.

Nereikia pamiršti ir to, kad visą programinę įrangą reikia visada atnaujinti nieko nelaukiant, nes WordPress jau tapo pakankamai populiari, kad pritrauktų piktavalius ir pastebima vis daugiau senesnių versijų atakų.

Tinkamos wp-config.php failo nuostatos

Kartais toks dalykas, kaip duomenų bazės slaptažodis gali atrodyti menkas dalykas ypač galvojant, kad niekas vis tiek neprieis prie šio failo, tačiau ir čia svarbu nerizikuoti ir sugalvoti pakankamai sunkų slaptažodį.

Taip pat dažnai daugelio paprastų ir patyrusių vartotojų ignoruojami slapti raktai (angl. secret keys). O norint juos pakeisti ar sugalvoti net nereikia sukti galvos, nes aplankę specialų WordPress.org svetainės puslapį, gausite jau sugeneruotus ir kopijavimui paruoštus raktus. Belieka atlikti paprastą ir eiliniam vartotojui „kopijuoti/įterpti“ (angl. copy/paste) veiksmą.

Prieigos prie administravimo apsaugojimas

Yra daugybė būdų apsaugoti WordPress TVS administratoriaus panelę ir pagrindinį prisijungimo būdą. Eiliniai vartotojai, nenusimanantys programavimo subtilybių, gali pasinaudoti daugelio autorių anksčiau aprašytų specialių priedų galimybėmis.

WP Security Scan priedas padės nustatyti pažeidžiamiausias svetainės vietas, bet ir paslėps programišiams reikalingą informaciją – tai, kad svetainė naudoja WordPress, sistemos versiją ir kt.

Stealth Login priedas padės paslėpti prisijungimo puslapį pakeisdamas jo adresą – kenkėjams taps sunkiau pasiekiama prisijungimo forma, o tai padės apsisaugoti nuo automatinio slaptažodžio atspėjimo, kai naudojami įvairūs žodžiai iš žodynų ar pan.

O apribojimas matyti prisijungimo formą išskirtinai keliams IP adresams (kiekvienas kompiuteris turi unikalų ir dažniausiai nekintamą) padės Login Lockdown WordPress priedas. Beje, savo IP adresą galite sužinoti pasinaudoją WhatIsMyIPAdress puslapiu internete – čia taip pat nereikalingos programavimo žinios.

Tą patį šiek tiek žingeidesni gali atlikti ir be papildomų priedų (tačiau kam be reikalo vargti?) pasinaudodami .htaccess failu ir jo nuostatomis.

<Files wp-config.php>
Order Deny,Allow
Deny from All
</Files>
Šiomis kodo eilutėmis apsaugosite wp-config.php failo prieigą nuo pašalinių asmenų.

Papildomos apsaugos priemonės

Patartina nenaudoti diegimo metu naudojamos administratoriaus paskyros ir susikurti visiškai naują su žemesnio lygio teisėmis arba bent jau kitą ir naudoti pastarąją.

Taip pat galima pakeisti WordPress TVS duomenų bazės lentelių pavadinimų priešdėlį (angl. prefix) iš wp_ į ką nors subtilesnio.

Pranešimų apie nepavykusį prisijungimą šalinimas

Pasinaudodami paprasčiausiu WordPress filtru (funkcija) galite pašalinti visus pranešimus apie nepavykusius prisijungimus prie sistemos, kad jungiantysis nežinotų, ar slaptažodis neteisingas, ar blogas vartotojo vardas ir t.t.

add_filter('login_errors',create_function('$a', "return null;"));

Apibendrinimas

Savo sistemas ir svetaines galite apsaugot tik patys – niekas kitas už jus to nepadarys, o atsarga gėdos nedaro, kaip ir nedaro gėdos nuolatinis atsarginių kopijų darymas ir kaupimas, nes ne vien programišiai gali pakenkti jūsų saugomam turiniui internete.

Rašykite komentarą

Komentarai

  • Andrius
    liepos 1st, 2010 / 15:27
    Atsakyti

    Dar galima apsaugoti viską, kas yra po /wp-admin/
    Tereikia į šį katalogą įkelti failą .htaccess su šiuo tekstu

    # BEGIN Security
    AuthUserFile /dev/null
    AuthGroupFile /dev/null
    AuthName „Access Control“
    AuthType Basic

    order deny,allow
    deny from all
    # whitelist home IP address
    allow from 73.163.187.241
    # whitelist work IP address
    allow from 83.251.46.20

    # END Security

    Šios komandos užblokuos bet kokį jungimąsi prie administratoriaus sąsajos ne iš nurodytų IP adresų. Netinka, jei svetainėje daug administratorių arba kitokio rango vartotojų.

  • Evaldas
    liepos 2nd, 2010 / 08:57
    Atsakyti

    Dar reikia neužmiršti daryti reguliarias atsargines kopijas (automatiškai arba rankiniu būdu – priklausomai nuo hostingo teikėjo) ir jas reguliariai parsisiųsti į savo kompiuterį.

  • Insaider.lt hacked! | Tomo Morkūno blogas - Insaider.lt
    sausio 7th, 2012 / 14:46
    Atsakyti

    […] wp apsaugos įskiepių ir atidžiai perskaitykite Povilo straipsnį apie wp saugumą bei Ričardo patarimus. Panašūs straipsniai:Facebook hacked?DDoS ataka?Šiuolaikiniai […]

Tęsdami naršymą sutinkate su slapukų (angl. cookies) naudojimu. daugiau...

Slapukai (angl. cookies) naudojami sukurti patrauklią ir patogią vartotojo sąsają ir užtrikina geriausią naršymą. Spausdami "Sutinku" sutinkate su slapukų naudojimu šioje svetainėje.

Užverti