Skip to content

Securizarea Wordpress in 10 pasi simpli

publicat vineri, 16 octombrie

Cuprins

Preambul
1. Backup-ul regulat al bazei de date SQL
2. Securizarea folder-ului “wp-admin”
3. Restrictionati afisarea numarului de versiune al platformei Wordpress instalate
4. Stergeti contul “admin”
5. Criptati cookie-urile generate de Wordpress
6. Actualizati platforma WordPress cu noile versiuni disponibile
7. Utilizati o parola complexa pentru contul de administrator
8. Folositi permisiunile corecte pentru fisierele de configurare WordPress
9. Limitati accesul spider-ilor de indexare ale motoarelor de cautare
10. Restrictionati accesul la fisierul wp-config.php

Preambul

Wordpress este cea mai utilizata platforma de Publishing, bucurandu-se de raspandire atat in mediul profesional dar mai ales in randul utilizatorilor independenti. Wordpress a devenit standardul de-facto pentru blogging, fiind preferat in locul altor platforme ca Blogger, Drupal etc. Fiind o platforma open-source, Wordpress este departe de a fi imun la atacuri informatice, vulnerabilitati sau cod malitios.

Deoarece codul sursa al platformei Wordpress este disponibil gratuit, in internet, oricarui doritor, un potential atacator poate descoperi mult mai usor vulnerabilitatile specifice platformei, exploatand bresele de securitate gasite in scopuri destructive. In continuare vom nota 10 metode utile pentru securizarea platformei Wordpress, folosind unelte disponibile gratuit in internet (plug-in-uri Wordpress) precum si unelte de administrare puse la dispozitie de platforma in sine:

1. Back-up-ul regulat la bazei de date SQL

O instalare wordpress presupune existenta unei baze de date SQL in care se stocheaza intreg continutul publicat prin Wordpress precum si setari specifice, informatii despre conturile de utilizatori si administratori. Back-up-ul acestei baze de date este foarte important in cazul compromiterii originalului prin atacuri de tip SQL Inject sau XSS. Recomandam efectuarea de back-up-uri la interval zilnic. Puteti folosi consola de administrare myPHP Admin, pusa la dispozitie de serviciul dvs. de hosting pentru a exporta continutul bazei de date in format .sql.Puteti automatiza procesul de back-up prin instalarea plug-in-ului Wordpress DataBase Backup, disponibil gratuit. Plug-in-ul permite setarea intervalului de timp la care va fi efectuat back-up-ul, locatia de pe server unde va fi salavat fisierul de back-up etc.

2. Securizarea folderului “wp-admin”

Folderul /wp-admin contine toate fisierele si resursele necesare administrarii website-ului dvs., pe platforma Wordpress. Daca aceste fisiere sunt compromise, un atacator poate obtine control complet asupra platformei Wordpress. O metoda extrem de sigura pentru a securiza accesul la aceste fisiere, inclusiv la Dashboard-ul de administrare Wordpress este limitarea IP-urilor de la care sunt acceptate conexiunile catre interfata de administrare. In situatia in care dumneavoastra sunteti unicul administrator al platformei Wordpress instalata si nu exista alti utilizatori ce publica pe site-ul dvs., puteti modifica fisierul .htaccess pentru a permite doar anumite conexiuni, de la adrese IP specificate.
Daca fisierul .htaccess nu exista in folderul /wp-admin, puteti creea unul utilizand orice editor de text:

order deny, allow
allow from xxx.xxx.xxx.xxx,yyy.yyy.yyy.yyy,zzz.zzz.zzz.zzz #Aici introduceti adresele IP rutabile de la care doriti sa administrati platforma Wordpress. Puteti introduce un numar nelimitat de adrese IP.
deny from all #Orice alta adresa IP ce nu se afla in lista de mai sus nu se va putea conecta in consola de administrare.

Salvati fisierul in folderul /wp-admin!

3. Restrictionati afisarea numarului de versiune al platformei Wordpress instalate

Multi administratori permit afisarea versiunii Wordpress instalate iar acest lucru usureaza eforturile unui atacator de a descoperi vulnerabilitatile specifice versiunii platformei instalate. Un potential atacator va stii sa utilizeze o serie de exploit-uri specifice vulnerabilitatilor dintr-o anumita versiune a platformei Wordpress, daca aceasta versiune este afisata. Masurile de securizare in acest sens sunt simple si implica editarea fisierului header.php din directorul temei curente, pentru a nu permite afisarea versiunii WP:

<meta name="generator" content="WordPress <?php bloginfo('version'); ?>" />
<!-– leave this for stats please -->

Prin stergerea acestei linii de cod, versiunea curenta a platformei Wordpress instalata nu va fi afisata public.

4. Stergeti contul “admin”

Dupa instalarea Wordpress creati un nou cont cu privilegii administrative si redenumiti-l!
Stergeti contul “admin” pentru a va asigura ca un atac de tip “password guessing” nu va avea succes atat timp cat
atacatorul nu cunoaste numele contului nou creeat.Va recomandam sa instalati si sa configurati si plugin-ul
LoginLockDown ce pastreaza numarul de tentative de login de la o adresa IP si limiteaza automat accesul
respectivului IP la interfata de log-in dupa un numar configurabil de tentative esuate. Plugin-ul este configurabil
chiar din Dashboard-ul Wordpress si permite stabilirea numarului de tentative de log-in precum si perioada de timp
in care adresele respective sunt restrictionate.

5. Criptati cookie-urile generate de Wordpress

O modalitate comuna de compromitere a platformei Wordpress o reprezinta utilizarea unor atacuri de tip
Cookie Hijacking ce permit atacatorului ce utilizeaza o unealta de tip sniffer sa salveze Cookie-urile ce tranziteaza
intre server-ul pe care ruleaza instalarea Wordpress si calculatorul administratorului. Aceste cookie-uri pot contine
informatii sensibile cum ar fi numele de utilizatori si parolele de acces. Criptarea cookie-urilor face foarte dificila
daca nu chiar imposibila incercarea atacatorului de a obtine informatiile de login. Pentru a cripta cookie-urile
specifice WordPress puteti utiliza unealta WPSecretGeneration Tool. Unealta va genera un cod ce va trebui inserat
in fisierul wp-config.php. Acest cod va contine cheile de autentificare pentru decriptarea cookie-urilor.

6. Actualizati platforma WordPress cu noile versiuni disponibile

Poate cea mai utila metoda de a securiza platforma WordPress o reprezinta update-ul regulat.
Fiecare actualizare lansata pentru WordPress aduce, in primul rand, imbunatatiri in privinta securitatii versiunii
existente precum si imbunatatiri ce tin de viteza si accesibilitate. Asigurati-va ca aveti intotdeauna cea mai
recenta versiune WordPress instalata! Update-ul poate fi facut manual, prin descarcarea celei mai recente
versiuni WP si instalarea acesteia pe serverul dvs., insa aceasta operatiune presupune un backup initial al
bazei de date SQL precum si a folderelor ce contin plug-in-urile si temele customizate. O metoda mult mai
comoda si mai sigura este utilizarea functiei de update din
DashBoard-ul WordPress: O noua versiune WP este disponibila! Pentru a functiona, sistemul
de update automat al Wordpress necesita introducerea
datelor de login ftp pe server-ul unde este gazduit
website-ul dvs.



7. Utilizati o parola complexa pentru contul de administrator

Recomandam utilizarea unei parole de cel putin 8 caracatere, ce va contine atat litere mici cat si majuscule precum
si cifre si/sau unul dintre simbolurile ASCI: ~!@#$%^&*()! O parola simpla este relativ usor de aflat utilizand metode
de tip brute-force attack/dictionary-based attacks! Nu recomandam utilizarea unor date personale usor de aflat,
ca si parola!
Informatii precum data nasterii, locul nasterii, numele prietenilor si asemenea pot fi relativ usor obtinute de catre
un atacator, utilizand cautari specifice pe site-uri de socializare, forumuri de discutii etc.
Pentru a determina complexitatea unei parole puteti utiliza unealta gratuita Microsoft Password Checker.
Aceasta aplicatie va ofera un rating pentru fiecare parola incercata pe o scala valorica de la Weak la Strong.
Utilizarea unei parole complexe pentru contul de administrator, in special atunci cand acest cont a fost redenumit
(vezi punctul 4) creeaza premizele unei securitati deosebite pentru instalarea dvs. WordPress!

8. Folositi permisiunile corecte pentru fisierele de configurare WordPress

Asigurati-va cum ca toate fisierele publice de administrare si configurare a platformei WP au stabilite permisiunile
de acces corecte! Ideal este ca niciun fisier de configurare sau administrare WP sa aiba permisiuni de scriere insa
o serie de plug-in-uri necesita ca aceste fisiere sa poate fi editate.
Configurati-va instalarea WordPress de asemenea natura incat toate fisierele importante sa aiba minimul functional
de permisiuni de acces. Puteti modifica permisiunile de acces din consola de administrare a Server-ului Apache
sau chiar din clientul FTP preferat: Schimbare Mod accesModul 644, spre exemplu,
permite citirea fisierelor ca catre oricine insa limiteaza
posibilitatea de scriere in acestea doar de catre
administratorul logat. Modul 777, pe de alta parte, permite
scrierea si citirea acestor fisiere de catre oricine.
Recomandam instalarea si utilizarea plug-in-ului
WPSecurity Scan ce va analiza instalarea WordPress
pentru vulnerabilitati specifice si va propune cele mai facile metode de corectare a breselor descoperite.
WPSecurity Scan va atentiona, de asemenea, asupra permisiunilor de acces incorect stabilite pentru fisierele
de administrare si configurare a platformei.

9. Limitati accesul spider-ilor de indexare ale motoarelor de cautare

Un motor de cautare va indexa, daca ii este permis, intreaga structura a website-ului dvs., inclusiv foldere-ele
si fisierele de administrare si configurare. Indexarea acestor resurse sensibile nu este necesara pentru
cresterea relevantei cautarilor si nicinu atrage un ranking mai bun in motoarele de cautare
moderne (Google, Bing!, Yahoo etc.) Dimpotriva, odata indexate, aceste fisiere devin mult mai vulnerabile
la a fi compromise de un atacator ce utilizeaza o sintaxa specifica pentru cautarea lor. Recomandam editarea
fisierului robots.txt pentru a limita accesul spider-ilor de indexare la folder-ele si fisierele sensibile:

Disallow: /wp-*

Prin adaugarea liniei de cod de mai sus in fisierul robots.txt, interziceti accesul spider-ilor de indexare la fisierele
si folder-ele a caror denumire incepe cu prefixul wp-, asigurand, astfel, confidentialitatea folderelor
wp-admin, wp-install, wp-plugins etc. Mai multe detalii despre manipularea fisierului robots.txt pentru apache
gasiti in acest articol.
Tineti cont de faptul ca, implicit, fisierele Media (ex.: poze, filme) vor fi uploadate in folder-ul wp-content/uploads, asadar
limitarea accesului in folderele wp-* nu va permite indexarea pozelor si a altor fisiere Media de catre spideri.
Recomandam ca fisierele media sa fie uploadate intr-un alt folder, din radacina, si nu in "wp-content/uploads".

10. Restrictionati accesul la fisierul wp-config.php

Fisierul wp-config.php contine informatii sensibile despre instalarea WordPress, precum numele de utilizator
si parola pentru accesul in bazade date SQL, printre altele. Securizarea fisierului presupune fie blocarea accesului
catre acesta fie mutarea intr-un director cu un nivel mai sus decat directorul implicit. Puteti bloca accesul la fisier
 editand fisierul .htaccess din directorul in care se afla fisierul wp-config.php:

<files wp-config.php>
  Order deny,allow
  deny from all
</files>

O alta modalitate de securizare a fisierului, descrisa in codexul WordPress, presupune mutarea fisierului
intr-un folder ierarhic superior folder-ului implicit.
Adauga / Trimite:
  • Print
  • Digg
  • email
  • Google Bookmarks
  • LinkedIn
  • del.icio.us
  • Twitter
  • Technorati
  • Facebook
  • StumbleUpon
  • Mixx
  • Live
  • Reddit
  • Yahoo! Bookmarks
  • Yahoo! Buzz

Tagged with , , .

1 comentariu

One Response

Stay in touch with the conversation, subscribe to the RSS feed for comments on this post.

Continuing the Discussion

  1. FTW.ro linked to this post on October 16, 2009

    Articolul tău a fost adăugat pe FTW…

    Mulţumim. Vizitatorii tăi te pot vota la http://ftw.ro/IT_C/Securizarea_Wordpress_in_10_pasi_practici…



Some HTML is OK

or, reply to this post via trackback.

« Securitatea mediilor de stocare USB-Flash Nou update Wordpress – versiunea 2.8.5 »
articole similare: