WordPress sistemos apsaugojimas nuo įsilaužimų
Išleidus naująją WordPress turinio valdymo sistemos (TVS) versiją pasigirdo vis daugiau kalbų apie tai, kaip svarbu tinkamai apsaugoti savo tinklaraščius ir svetaines, naudojančias būtent čia TVS. Atrinkau keletą populiariausių priedų saugumui bei priemonių techniškai (programuojant, pridedant kodo) apsaugoti prieigą prie administratoriaus ar galimybę pakenkti turiniui.
Žinotina informacija prieš imantis bet kokių priemonių
Esu įsitikinęs, kad dauguma tinklaraščio autorių savo tinklaraščius laiko ne atskiruose serveriuose, o paprastuose hostingo bendruose talpyklose. Tai reiškia, kad jeigu programišiai (angl. hackers) perimtų bent vienos iš tame serveryje esančios svetainės valdymą, o pats serveris nebūtų tinkamai apsaugotas nuo kenkėjiškų veiksmų, jūsų svetainė taip pat gali tapti tokios atakos auka. Panašių pavyzdžių jau esame matę ir praeityje, kai buvo įsilaužta į vienos lietuviškos talpinimo įmonės serverius ir sunaikintos kelių šimtų visiškai skirtingo turinio svetainės.
Nereikia pamiršti ir to, kad visą programinę įrangą reikia visada atnaujinti nieko nelaukiant, nes WordPress jau tapo pakankamai populiari, kad pritrauktų piktavalius ir pastebima vis daugiau senesnių versijų atakų.
Tinkamos wp-config.php failo nuostatos
Kartais toks dalykas, kaip duomenų bazės slaptažodis gali atrodyti menkas dalykas ypač galvojant, kad niekas vis tiek neprieis prie šio failo, tačiau ir čia svarbu nerizikuoti ir sugalvoti pakankamai sunkų slaptažodį.
Taip pat dažnai daugelio paprastų ir patyrusių vartotojų ignoruojami slapti raktai (angl. secret keys). O norint juos pakeisti ar sugalvoti net nereikia sukti galvos, nes aplankę specialų WordPress.org svetainės puslapį, gausite jau sugeneruotus ir kopijavimui paruoštus raktus. Belieka atlikti paprastą ir eiliniam vartotojui „kopijuoti/įterpti” (angl. copy/paste) veiksmą.
Prieigos prie administravimo apsaugojimas
Yra daugybė būdų apsaugoti WordPress TVS administratoriaus panelę ir pagrindinį prisijungimo būdą. Eiliniai vartotojai, nenusimanantys programavimo subtilybių, gali pasinaudoti daugelio autorių anksčiau aprašytų specialių priedų galimybėmis.
WP Security Scan priedas padės nustatyti pažeidžiamiausias svetainės vietas, bet ir paslėps programišiams reikalingą informaciją – tai, kad svetainė naudoja WordPress, sistemos versiją ir kt.
Stealth Login priedas padės paslėpti prisijungimo puslapį pakeisdamas jo adresą – kenkėjams taps sunkiau pasiekiama prisijungimo forma, o tai padės apsisaugoti nuo automatinio slaptažodžio atspėjimo, kai naudojami įvairūs žodžiai iš žodynų ar pan.
O apribojimas matyti prisijungimo formą išskirtinai keliams IP adresams (kiekvienas kompiuteris turi unikalų ir dažniausiai nekintamą) padės Login Lockdown WordPress priedas. Beje, savo IP adresą galite sužinoti pasinaudoją WhatIsMyIPAdress puslapiu internete – čia taip pat nereikalingos programavimo žinios.
Tą patį šiek tiek žingeidesni gali atlikti ir be papildomų priedų (tačiau kam be reikalo vargti?) pasinaudodami .htaccess failu ir jo nuostatomis.
<Files wp-config.php> Order Deny,Allow Deny from All </Files>
Papildomos apsaugos priemonės
Patartina nenaudoti diegimo metu naudojamos administratoriaus paskyros ir susikurti visiškai naują su žemesnio lygio teisėmis arba bent jau kitą ir naudoti pastarąją.
Taip pat galima pakeisti WordPress TVS duomenų bazės lentelių pavadinimų priešdėlį (angl. prefix) iš wp_ į ką nors subtilesnio.
Pranešimų apie nepavykusį prisijungimą šalinimas
Pasinaudodami paprasčiausiu WordPress filtru (funkcija) galite pašalinti visus pranešimus apie nepavykusius prisijungimus prie sistemos, kad jungiantysis nežinotų, ar slaptažodis neteisingas, ar blogas vartotojo vardas ir t.t.
add_filter('login_errors',create_function('$a', "return null;"));
Apibendrinimas
Savo sistemas ir svetaines galite apsaugot tik patys – niekas kitas už jus to nepadarys, o atsarga gėdos nedaro, kaip ir nedaro gėdos nuolatinis atsarginių kopijų darymas ir kaupimas, nes ne vien programišiai gali pakenkti jūsų saugomam turiniui internete.
Komentarai
Dar galima apsaugoti viską, kas yra po /wp-admin/
Tereikia į šį katalogą įkelti failą .htaccess su šiuo tekstu
# BEGIN Security
AuthUserFile /dev/null
AuthGroupFile /dev/null
AuthName „Access Control”
AuthType Basic
order deny,allow
deny from all
# whitelist home IP address
allow from 73.163.187.241
# whitelist work IP address
allow from 83.251.46.20
# END Security
Šios komandos užblokuos bet kokį jungimąsi prie administratoriaus sąsajos ne iš nurodytų IP adresų. Netinka, jei svetainėje daug administratorių arba kitokio rango vartotojų.
Dar reikia neužmiršti daryti reguliarias atsargines kopijas (automatiškai arba rankiniu būdu – priklausomai nuo hostingo teikėjo) ir jas reguliariai parsisiųsti į savo kompiuterį.
[…] wp apsaugos įskiepių ir atidžiai perskaitykite Povilo straipsnį apie wp saugumą bei Ričardo patarimus. Panašūs straipsniai:Facebook hacked?DDoS ataka?Šiuolaikiniai […]