Blogul tău este în siguranță? Iată un sfat simplu de securitate.
Mă adresez acelor bloggeri care au un domeniu propriu și un wordpress self-hosted instalat pe un server. Recent mi s-a atras atenția de o mică chestie care poate să-ți afecteze site-ul foarte grav. Și credeți-mă că am văzut cazuri care m-au lăsat cu gura căscată.
Și iată câteva sfaturi relativ simple și eficiente pentru a vă securiza site-ul și să nu aveți scurgeri de informații.
Plugin-ul ăsta mic, vă ajută enorm de mult și nu doar că vă securizează site-ul, crează un firewall, dar vă face site-ul și mai rapid cu 50 de ori mai mult.
2. Creați un fișier „index.php” ce va conține următoarele:
<?php
function Redirect($url, $permanent = false)
{
if (headers_sent() === false)
{
header('Location: ' . $url, true, ($permanent === true) ? 301 : 302);
}
exit();
}
Redirect('http://ADRESA_URL_A_SITEULUI_TAU', false);
?>
3. Copiază acest fișier în următoarele locații, folosindu-te de cPanel:
- wp-content/uploads/
- wp-content/uploads/2008/
- wp-content/uploads/2008/01
- wp-content/uploads/2008/02
- wp-content/uploads/2008/03
- ……………………………………..
- wp-content/uploads/2014/01
- wp-content/uploads/2014/02
- wp-content/uploads/2014/03
- ………………………………………
- wp-content/uploads/2014/10
- și următoarele foldere ce vor fi create lunar
De ce acest lucru? Simplu, chiar dacă îți instalezi Wordfence, folder-ul wp-content/uploads este obligatoriu cerut de către WordPress să fie chmod 777, adică citit de toată lumea. Adică toți cei care au site-uri pe WordPress și nu au un fișier index.php în folder-ul respectiv, poate să vadă structura de fișiere, imagini și ce mai salvează unii oamenii prin folder-ul acela, și poate downloada. Asta nu înseamnă că nu poate să acceseze imaginile și să le downloadeze, ci doar îi îngreunează pe kinderii wanna be hackers să facă practică pe site-ul tău.
Și da știu, puteam să pun un fișier gol „index.html” dar asta ar fi însemnat să pierdem vizitatorul. Așa că m-am gândit să-l redirecționez către homepage, pagina principală. Poate din atacator îl transformăm în cititor fidel. Zic și eu 😀
Dacă aveți întrebări sau nelămuriri vă răspund cu cea mai mare plăcere, dacă mi le adresați printr-un comentariu.
O zi bună și be safe!
<div class='sharedaddy sd-block sd-like jetpack-likes-widget-wrapper jetpack-likes-widget-unloaded' id='like-post-wrapper-103532497-5934-690e02baa955e' data-src='https://widgets.wp.com/likes/?ver=13.8.1#blog_id=103532497&post_id=5934&origin=damianirimescu.ro&obj_id=103532497-5934-690e02baa955e&n=1' data-name='like-post-frame-103532497-5934-690e02baa955e' data-title='Apreciază sau republică'><h3 class="sd-title">Apreciază:</h3><div class='likes-widget-placeholder post-likes-widget-placeholder' style='height: 55px;'><span class='button'><span>Apreciază</span></span> <span class="loading">Încarc...</span></div><span class='sd-text-color'></span><a class='sd-link-color'></a></div>
Salut Damian,
tocmai ce ma confrunt si eu cu problema unora care tot mi-au spart site-ul in ultimele saptamani.
Am ajuns acum la sfaturile tale, si cele 8 idei practice le-am urmat, sa vedem ce iese 🙂
Iti multumesc pentru informatii. Duminica placuta sa ai.
Am continuat această serie de sfaturi privind securitatea blogului și am scris despre 8 pași pentru o siguranță mai mare în fața curioșilor 😀
Articolul îl puteți citit aici: http://damianirimescu.ro/blog/8-pasi-pentru-un-blog-wordpress-mai-sigur/
Eu am avut pana acum pe unele situri wordpress, intr-adevar, fisierul index gol. Da’ uite ca mi-ai dat o idee geniala, multumesc pentru idee, poate crestem numarul de vizitatori asa 🙂
Cu plăcere!
Te complici. 😛
Poti dezactiva directory browsing cu o singura linie de cod in htacces.
Adica: Options All -Indexes
La fel, in Wordfence, exista un set de reguli , la optiuni (Firewall Rules). Le activezi si setezi ca orice nr de vizualizari de pagina mai mare de 32/sec din partea aceluiasi user sau robot, sa fie limitata sau blocata.
Falcon Engine e bun, insa nu pentru toti. L-am testat pe shared hosting si a „rupt” baza de date. Pe vps, in schimb, e ok.
Nu cred că aceea setare de 32 de secunde este benefică. Dacă există o persoană care citește un articol, iar articolul respectiv are și 100 de comentarii, să zicem cazul lui Vali Petcu, imaginează-ți cum ar afecta această setare blogului său?
32 de vizualizari per secunda ale unei pagini, din partea aceluiasi user? -nu are legatura cu nr de comentarii.
vorbeam de vizualizari de pagina, nu de solicitari de fisiere/requests. 😉
Greșeala mea, am citit pe minut 😀
Niște informații foarte utile. Mulțumesc pentru ele dar am totuși o întrebare. Dacă ulterior voi dezinstala wordefence, acest index.php nu va afecta legăturile către imagini?
Teoretic nu, nu ar trebui. Index.php apare doar în momentul în care cineva îți accesează direct folder-ul cu pricina, nu fișierele ce se află acolo. Deci dacă cineva intră pe http://www.blogultau.ro/wp-content/uploads/2014/10 și nu ar fi acest fișier index.php, ar apărea o structură tip explorer unde poți să vizualizezi absolut totul.
Dacă ai fișierul acolo, ai redirecționarea activată doar pentru vizitator. Dacă cineva intră direct pe http://www.blogultau.ro/wp-content/uploads/2014/10/fisier_imagine.jpg, este accesibilă și o poate vedea, deci va apărea în orice articol care face trimitere direct.
Dacă instalezi sau dezinstalezi WordFence-ul nu ar trebui să aibă nici un conflict cu acest fișier.
Ok, mulțumesc pentru răspuns. Am încercat în browser și într-adevăr, oricine are acces la fișierele media (și ce se mai găsește acolo). O să aplic și eu metoda din articol 🙂
Mă bucur că ți-a fost de folos acest articol.
Wordfence este foarte bun. Daca cauti singur vulnerabilitatile, poti sa innebunesti.
Nu am căutat, ci doar am mi-a arătat cineva cât de ușor poate fi spart un wordpress, doar pentru că nu ai un fișier .htacces care să nu permită accesul la wp-content/uploads sau un fișier fie index.html gol, fie un index.php așa cum am zis mai sus.
Deci, repet, nu am căutat această vulnerabilitate, am descoperit-o accidental. Și nu ar fi o vulnerabilitate gravă, dacă nu ai lăsa în folder-ul acela fișiere importante, back-up-uri ce ar putea fi descărcate de oricine.
Defapt punctul 2 si 3 ar trebuie sa fie concatenate –
cat despre metodata in sine, de ce nu respingi citirile catre folderele fara index prin htaccess; si nu copiezi un fisier lunar … posibil sa uiti la un moment dat.
zic si eu…nu aruncati cu namol ca nu ma pricep
Am specificat în articol, poate reușești să transformi curiosul, într-un cititor fidel 😀
Sunt optimist, deh… ce să fac :))
Apropo, pe mobil ai bug. Sa imi amuntesti diseara sa iti dau un print 🙂
Aștept printscreen-ul!