Článek o bezpečnosti WordPressu – kontrola, kritika a rady co chybí

27. 11. 2011 01:08:07

http://wordpress.bigdrobek.com/bezpecnost/

Napsal jsem článek o bezpečnosti WordPressu a nyní bych chtěl požádat wordpressáky co tomu rozumí aby se podívali jestli tam nejsou někde chybky. Pokud máte nějakou radu co tam chybí tak jí prosím napište do komentářů. Sem nebo pod článek.

Děkuji,

Bigdrobek

27. 11. 2011 01:08:07

https://webtrh.cz/diskuse/clanek-o-bezpecnosti-wordpressu-kontrola-kritika-a-rady-co-chybi/#reply701522

genesis

(3 hodnocení)

27. 11. 2011 03:36:44

Jednu malou jsem našel

Robot.txt

robots.txt

(máš to tam tak 2x, tak myslím, že to není pouze přepis)

27. 11. 2011 03:36:44

https://webtrh.cz/diskuse/clanek-o-bezpecnosti-wordpressu-kontrola-kritika-a-rady-co-chybi/#reply701521

Ján Fajčák

(4 hodnocení)

27. 11. 2011 07:52:30

Používejte méně pluginů, čím méně tím méně bezpečnostních hrozeb

toto nie je až tak úplne pravda. Osobne používam pluginy z oficiálneho depozitára Wordpressu a bez jediného problému.

V článku mi chýba zmena prístupových práv pre zložky a súbory zo 0775 na 0644.

27. 11. 2011 07:52:30

https://webtrh.cz/diskuse/clanek-o-bezpecnosti-wordpressu-kontrola-kritika-a-rady-co-chybi/#reply701520

Aleš

(18 hodnocení)

27. 11. 2011 08:03:31

Já k tomu nic nemám, jen snad +

27. 11. 2011 08:03:31

https://webtrh.cz/diskuse/clanek-o-bezpecnosti-wordpressu-kontrola-kritika-a-rady-co-chybi/#reply701519

Pan Jahudka

27. 11. 2011 10:44:36

Napsal fajo46;727451
toto nie je až tak úplne pravda. Osobne používam pluginy z oficiálneho depozitára Wordpressu a bez jediného problému.

neznamená že když jsi ZATÍM bez problému, že problém nemáš. V oficiálním repozitáři WordPressu jsou tuny pluginů přes které lze napadnout jakýkoliv web běžící na WP (například desítky pluginů a šablon obsahující staré verze scriptu timthub.php). Takže čím míň pluginů použiješ tím se vystavuješ menšímu riziku, že v některém z nich je nějaká bezpečnostní chyba.

Co se týče článku tak dávám jedno veliké +. Jen bych možná trochu víc přitlačil, ono to s tou bezpečností WP (a nejen WP) není zas tak růžové jak se to tváří, ale to je logické. Pokud do oficiálního repozitáře může kdokoliv nahrát opravdu cokoliv a nikdo to nekontroluje tak je jasné, že problémy s bezpečností budou a bude jich víc a víc. WordPress je čím dál tím oblíbenější a nových pluginů neustále přibývá a tím pádem přibývají i pluginy (nebo šablony) s bezpečnostními chybami.

27. 11. 2011 10:44:36

https://webtrh.cz/diskuse/clanek-o-bezpecnosti-wordpressu-kontrola-kritika-a-rady-co-chybi/#reply701518

Bigdrobek

(3 hodnocení)

28. 11. 2011 13:15:20

genesis: robots.txt, díky opravím

fajo46:

- zmena prístupových práv pre zložky a súbory zo 0775 na 0644 ... o tom jsem přemýšlel, problém může být s wp-content, kde je to potřeba otestovat. Asi to tam doplním. Já používám wp-seurity-scan, který práva adresářů hlídá.

- Jinak s tím oficiálním depozitářem a bezchybností pluginů jsi narazil na aktuální téma. WordPress zpřísňuje uveřejnění neaktuálních pluginů a šablon v oficiálním adresáři. Osobně si myslím, že pokud je plugin půl roku starý - POZOR, pokud více jak rok - plugin je nevyvíjen možná bezp. díra.

Pan Jahudka: souhlas, o WP je třeba pečovat, je to open source tedy i open source bezpečnostní díry. Odhaduje se že 14% všech webů jede na WP...

28. 11. 2011 13:15:20

https://webtrh.cz/diskuse/clanek-o-bezpecnosti-wordpressu-kontrola-kritika-a-rady-co-chybi/#reply701517

Bigdrobek

(3 hodnocení)

14. 12. 2011 12:06:36

Souhlasíte že všechny soubory by měli mít 644 a a složky 755?

WP security scan požaduje

root directory ../ 0755 0755

wp-includes/ ../wp-includes 0755 0755

.htaccess ../.htaccess 0644 0644

wp-admin/index.php index.php 0644 0644

wp-admin/js/ js/ 0755 0755

wp-content/themes/ ../wp-content/themes 0755 0755

wp-content/plugins/ ../wp-content/plugins 0755 0755

wp-admin/ ../wp-admin 0755 0755

wp-content/ ../wp-content 0755 0755

14. 12. 2011 12:06:36

https://webtrh.cz/diskuse/clanek-o-bezpecnosti-wordpressu-kontrola-kritika-a-rady-co-chybi/#reply701516

vpixle

(3 hodnocení)

17. 12. 2011 01:46:34

Podle me v clanku chybi ochrana nejzranitelnejsich casti wp-includes pomoci .htaccess

WP Codex zminuje Security through Obscurity. Tzn. zahrat si s potencionalnim utocnikem na schovavanou a troch poprehazet strukturu site, kterou chce napadnout.

Ve wp-config.php jdou cesty nastavit jinak, nez jak je postavil install.php:

Instalace model PARANOIA:

instalovat do subfolderu s netrivialnim nazvem e.x. "hO6YrBkaoRl71tjN2J" a rozchodit vcetne sablony

nastavit wordpress, aby adresni radek vypadal, jako by byl instalovan do rootu

prejmenovanet wp-admin

prejmenovat wp-content

v rootu udelat fake wp-content a presunout do nej /templates/ /plugins/ a /uploads/

v rootu udelat fake wp-admin a presunout do nej /css/

nastavit vsechny zmenene cesty ve wp-configu.php

upravit .htaccess

ve WP nastavit Admin Panel > Options > Media > Upload directory

V podstate se cela instalace schova do subfolderu a do rootu se vystrci jenom to, co tam musi byt z duvodu utajeni toho triku. Kdyz si utocnik vypise zdrojak, tak vsechny odkazy (na img, .js a .css ) budou vypadat jako standardni "5-minutes" instalace, i kdyz skutecna struktura je uplne jina.

Utocnikova predstava o tom, jak instalace vypada, ho povede do pekel.

Neni to zadny high-tech (spis paka-na-volant), ale kdyz se to dobre nastavi, muze to jednoho dost zdrzet. Ze to funguje zjistis, az se po pulroce pokusis to (nedokumentovane) peklo spravovat ;)

17. 12. 2011 01:46:34

https://webtrh.cz/diskuse/clanek-o-bezpecnosti-wordpressu-kontrola-kritika-a-rady-co-chybi/#reply701515

Bigdrobek

(3 hodnocení)

21. 12. 2011 22:53:44