Securizare WordPress
________________________________________
Pentru că multe site-uri facute in WordPress sunt vulnerabile la anumite atacuri, mai jos va descriem cum sa faceti o minima protective site-ului dumnavoastră.
Modificaţi calea la logare la admin si redenumiţi userul admin. Userul admin nu poate fi setrs decât daca creaţi un nou user si îi adordati dreturi de admin. Apoi user+ul admin poate fi şters.
Folositi parole cu discritice si semen de punctuatie. Astfel userul creat poate fi spart mai greu.
Va recomandam sa instalaţi si un plugin împotriva atacurilor de tip brute force. Recomandăm Limit Login Attempts (http://wordpress.org/extend/plugins/limit-login-attempts/). Prin acest plugin de Securitate se blochează accesul utilizatorilor care greșesc parola la autentificare după un număr pre-stabilit de incercări eșuate.
Mai multe aplicatii se bazeaza pe brute force sunt erorile ce le afiseaza formularele WordPress. Dezactivarea este utila. Adaugati codul de mai jos in fisierul functions.php din folderul temei tale. Codul de mai jos va rescrie functia care se ocupa cu afisarea mesajelor de eroare.
?
1 add_filter(‘login_errors’,create_function(‘$a’, “return null;”));
Este obligatoriu sa actualizați platform wordpress și toate plugin-urile si temele aflate in cont care nu sunt updatate la zi. Inclusiv cele inactive.
Wordpress+ul va permite ca creaţi back-up. Face-ti acest backup cel puțin odată pe săptămână.
Exista posibilitatea de a va scana site-ul online. Scanarea o puteti face la adresa de mai jos http://sitecheck.sucuri.net/scanner/
Plugin-urile pe care nu le folositi trebuiesc şterse.
Securitate WordPress: avansată
Când instalati wordpress si creaţi baza de date schimbati prefixul acesteia. Automat se creaya cu prefixul wp_numetabel dar dumnavoastra schimbati de exeplu in v1_ numetabel
securizați fișierul wp_config.php schimbând CHMOD. http://en.wikipedia.org/wiki/Chmod. Noi recomandam ca acest fișier să aibă permisiunile 600.
adițional, se poate seta un cron job care să schimbe permisiunile odată la un interval de timp. În acest fel, indiferent dacă cineva schimbă permisiunea fișierului, cron-ul îl schimbă înapoi.
Cazuri de atacuri și vulnerabilități WordPress
Timthumb
Cel mai recent caz de vulnerabilitate pentru wordpress și atacuri în masă pe platformele wordpress a fost prin fișierul care conține scriptul TimThumb. Acest script este folosit de pluginuri si teme și permitea atacatorului să încarce fișiere exploit și backdoor, care îi premitea atacatorului să dea comenzi serverului care îi returna informații sensibile(parole, adrese de e-mail, etc).
Cum detectăm fișierul timthumb?
În folderul temei sau a pluginurilor: wp-content/wp-themes/numeletemei/thumb.php sau timthumb.php. Numele fișierului variază în funcție de plugin sau temă. Noi am găsit fișierul în ambele variante.
Care e soluția?
Primul pas ar fi să intrați în fișier, iar la rândul unde apare
$allowedSites = array ( ‘flickr.com’,
‘picasa.com’,
‘img.youtube.com’,
‘upload.wikimedia.org’,
);
va trebui să modificați în $allowedSites = array ();
Noua variantă a scriptului timthumb o puteți găsi aici. Atenție! Și această variantă va trebui modificată conform celor de mai sus.
Ștergerea fișierelor malițioase.
În cazul în care nu aveți cunoștințe avansate de wordpress, va recomandăm să apelați la o firma-persoană cunoscătoare de wordpress.
De obicei, fișierele suspecte întâlnite destul de des și detectate de noi au fost cu următoarele denumiri:
__cc, bhc, b, chb, prd, udp, upd sau fisiere ca și: safeof.php, safeon.php, backdoor.php, shell.php,etc
De asemenea, următoarele fișiere au fost detectate ca și exploituri și erau localizate în folderele root a conturilor de găzduire: cgi2012.izo, phyton2.izo, cgitelnet.izo. Noi recomandăm ca în cazul în care întâlniți fișiere cu extensia .izo, să apelați urgent la o persoană calificată sau cunoscătoare care să inspecteze acele fișiere.
Am întâlnit și foldere suspecte de forma tumthumbs_cache_hashes, timthumbs_cache_hashes sau thumbs_cache care conțineau fișiere .php care permiteau încărcarea fișierelor pe server. Recomandăm ștergerea conținutului acestor foldere.
Măsuri de prevenire:
Va recomandam sa securizati orice formular pentru a evita trimiterea mailurilor de confirmare catre adrese introduse de boţi (si a evita blocarea mailurilor)
Daca sunteti o persoana care călătoreste şi vă conectaţi la reţele publice când vă autentificaţi pe blog, va recomandăm sa activaţi SSL
Acest protocol este un standard, ca HTTP, care urmareste transferul de date securizat prin retele. Pentru a activa acest protocol, adaugati linia de mai jos in fisierul wp-config.php.
?
1 define(‘FORCE_SSL_ADMIN’, true);
Cele mai importante informatii ale blogului nostru se afla in fisierul wp-config.php. Este importnant sa blocăm accesul la acest fisier folosindu-ne de puterea Apache si a fisierului .htaccess adaugand codul de mai jos.
?
<files wp-config.php=””>
order allow,deny
deny from all
</files>
O metoda rapida pentru a ne proteja de injecţii şi de a fi sigur ca nu vei cadea in plasa atacurile 0-day este sa introduceti codul de mai jos in fisierul .htaccess. Acesta va functiona ca un sistem de securitate, blocand o parte din atacurile clasice ce se bazeaza pe injectii.
?
Options +FollowSymLinks
RewriteEngine On
RewriteCond %{QUERY_STRING} (\<|%3C).*script.*(\>|%3E) [NC,OR]
RewriteCond %{QUERY_STRING} GLOBALS(=|\[|\%[0-9A-Z]{0,2}) [OR]
RewriteCond %{QUERY_STRING} _REQUEST(=|\[|\%[0-9A-Z]{0,2})
RewriteRule ^(.*)$ index.php [F,L]
Va recomandam instalarea plugin-urilor care ofera protectie brute-force, comment spam, de exemplu:
• BulletProof Security http://wordpress.org/plugins/bulletproof-security/installation/
• Akismet (pentru comment spam) http://wordpress.org/plugins/akismet/
• alte pluginuri
Buna, Nu folosesc prea mult si ele au XSS etc 🙂