Honlap biztonság és speciális WordPress védekezések


Mit is jelent?

Honlap biztonság és speciális WordPress védekezések wordpress biztonsag 150x150Összefoglalom a napi rutin részét képező teendőket és a preventív hosting lépéseket, amelyek néhány biztonsági résen keresztüli támadást meggátolnak, és jelenthetővé válnak a behatolási próbálkozások (támadások), mivel a támadók általában egy már betörés áldozatává lett szerveren ügyködnek.

spéci .htaccess Apache-hoz

# ha esetleg állna a lehetőség, akkor se mutassa a könyvtárlistát;
# webszerver azonosító elrejtése
Options -Indexes
ServerSignature Off
# alap WordPress fájl elrejtések
<FilesMatch "^(licenc\.txt|license\.txt|olvasdel\.html|readme\.html|wp-config\.php|wp-config-sample\.php|\.htaccess)$">
    Order allow,deny
    Deny from all
</FilesMatch>
#egyéb bot-ok és biztonsági rést próbáló kérések tiltása (SQL, PHP)
<IfModule mod_rewrite.c>
RewriteEngine on
RewriteCond %{HTTP_USER_AGENT} ^EC2LinkFinder [NC,OR]
RewriteCond %{HTTP_USER_AGENT} (<|%3c|>|%3e|'|%27|%00) [NC,OR]
 
RewriteCond %{HTTP_REFERER} (<|%3c|>|%3e|'|%27|%00) [NC,OR]
RewriteCond %{QUERY_STRING} (<|%3c).*(script|iframe|src).*(>|%3e) [NC,OR]
RewriteCond %{QUERY_STRING} union.*select [NC,OR]
RewriteCond %{QUERY_STRING} (eval|concat|delete|right|ascii|left|mid|version|substring|extractvalue|benchmark|load_file).*\(.*\) [NC,OR]
RewriteCond %{QUERY_STRING} base64 [NC,OR]
RewriteCond %{QUERY_STRING} (into.*outfile) [NC,OR]
RewriteCond %{QUERY_STRING} (having.*--) [NC]
RewriteRule .*  - [F,L]
</IfModule>

A wordpress “# BEGIN WordPress” rész ezek után jöjjön a .htaccess-ben.

robots.txt

A WordPress magától létrehoz robots.txt-t. Egy bővítmény (a bővítmény keresőbe írja be “robots”) segítségével újabb sorokat adhat hozzá. A robots.txt-t csak azok a botok olvassák és tartják be, amelyek nem támadni jönnek.

WebsiteDefender és regisztráció

A WebsiteDefender bővítmény egy sor dolgot megvizsgál és kivéd a WordPress honlapon. Például nézi, hogy friss-e a motor, megvannak-e a .htaccess fájlok, törölték-e az admin nevű felhasználót. A WordPress admin felületéről leveszi a verziószámot (bár csak Javascripttel), hogy még a felhasználók se tudjanak róla, illetve a <meta> részből is kihagyja a WordPress verzió kiírását. Regisztrálni is lehet ingyen az oldalukra, ilyenkor távolról ellenőrzik a honlapot és havonta egyszer a fájlokat is.

6scan

Ezt a WordPress bővítményt egy olyan csapat írja, akik naponta vizsgálja a WordPress motort, és a legkisebb felfedezett biztonsági rést is javítják. Ezt a bővítményt nem tartom bekapcsolva, mivel elegendő, ha egy WordPress installáción fut, a többinek is ugyanaz lesz a hibája.

Limit Login Attempt

Ez a bővítmény egy nagyon nagy WordPress hibát küszöböl ki: a WordPress-be korlátlan számú alkalommal lehet megpróbálni beléni. Telepítés után már több rétegben lehet védekezni a sokszor másodpercenként kétszer belépni próbálkozók ellen.

Enforce Strong Password

Az előzőhöz hasonló probléma, hogy a WordPress felhasználók és szerkesztők akár az 12345 jelszót is választhatják. Ezt korlátozza ez a bővítmény: csak erősnek minősített jelszót állíthat be magának a felhasználó.

Error 404 figyelő

Ez a bővítmény nincs fent a WordPress plugin-ok között, de innen letölthető az Error 404 (mirror). Ez kizárólag betörés naplózó bővítmény. A nem létező WordPress oldalak (ha felhasználóbarát URL-t állít be az ember) letöltésekor nem keletkezik hibanapló bejegyzés nem úgy, mint ahogyan egy statikus oldalakat tartalmazó Apache-on futó honlapon. Első sorban a nem létező oldalak lekérését naplózza, másodsorban a két // jellel kezdődő biztonsági rés fürkészéseket (pldául //wp-content/uploads).

Ezeknek a naplózásoknak akkor van értelme, ha fut a webszerveren olyan napló figyelő mint például a fail2ban. Az ilyen programokat be lehet úgy állítani, hogy ha percenként 12-nél több hibás lekérést végez egy IP címről érkező látogató vagy robot, akkor tiltsa ki 10 percre vagy egy napra. Nagyon hasznos ez mert a webszerver összes site-ján egyszerre számolja a percenkénti hibákat. Ez a modern és körültekintő bot-okat is hamar kitiltja.

php Enkoder

Ez abővítmény a honlapon megjelenő e-mail címeket titkosítja, hogy az e-mail cím gyűjtő bot-ok ne értsék meg, tudniillik többszörös rekurzióval javascript-tel (eval) titkosítja.

Hozzászólás és e-mail spam – kéretlen üzenet

A Stop Spammer Registrations bővítmény több világméretű hozzászólás és e-mail spam ellenes hálózatból (StopForumSpam, Project Honeypot, BotScout) kérdezi le a regisztrálni vagy hozzászólni kívánó látogatókat, bot-okat. Ha ez a lekérdezésnek az eredménye meghalad bizonyos szintet, akkor csak egy üzenetet kapnak a honlap tényleges tartalma helyett. Az Akismet szervereit is le tudja kérdezni, de azok csak otthoni használatra ingyenesek.

modmark – fájl változás vizsgálat

Ha van az embernek webszervere vagy SSH hozzáférést kap a webszerverhez, akkor érdemes egy fájl változás vizsgáló linux shell szkriptet futtatni naponta, ami jelzi a webes fájlok változását. Ennek a megírása egy betörés után történt.

Google Webmaster Tools

Minden olyan honlapot, aminek az üzemeltetését végzi az ember, érdemes beregisztrálni a Google Webmester eszközökbe. Ez az eszköz segít a honlap “egészségi” állapotáról képet kapni, a keresési forgalmat figyelni és a honlap optimalizálást végezni.

Hosting

Ha ilyen hosting szolgáltatásra van szüksége, kérem keressen fel a kapcsolat oldalon.

Minden jót kívánok!

Kapcsolódó bejegyzések:
  • Honlap biztonság és speciális WordPress védekezések

    Az atw.hu-ra történő wordpress telepítés előtt célszerű az alábbi módosításokat megtenni.Wordpress fájlok előkészítése telepítés előtt A “tmp” és “logs” k …

  • Honlap biztonság és speciális WordPress védekezések

    Nemrég megjelent a WordPress 2.8-as legújabb kiadása, az erről szóló részletes bemutatót illetve a változtatások és módosítások listáját 3 főbb kategóriába szedv …

  • Honlap biztonság és speciális WordPress védekezések

    Ha számít a szabványos kódAmennyiben értéket tulajdonít az ember a szabványos kódnak a szép megjelenés mellett, akkor egy-egy ilyen WordPress fícsör is nyom …

  • Honlap biztonság és speciális WordPress védekezések

    Érdemes minél gyorsabban frissíteni a nemrég kijött WordPress 2.5.1-es verzióra, mert egy komolyabb hibajavítást is tartalmaz, illetve számos egyéb fájl is friss …

  • Honlap biztonság és speciális WordPress védekezések

    Lehet, hogy ezt inkább a mactippek.com oldalra kellene kitennem, de a WordPress miatt itt is helye van .. no mindegy, a lényeg, hogy aki WordPress blogot üzemelt …

A cikket beküldte: Szépe Viktor (http://www.szepe.net/)

4 hozzászólás

  1. codee47 says:

    Hasznos cikk, köszi a tippeket.

  2. András (http://superfloor.hu) says:

    A leghasznosabb információ volt eddig, amit találtam a neten, az angol oldalakat is beleértve…

    Köszönöm..

  3. Cooper (http://cooperugynok.blogspot.hu) says:

    Hello.
    25 pontban összefoglaltam az általam ajánlot WordPress biztonsági beállításokat:
    http://cooperugynok.blogspot.hu/2014/10/wordpress-biztonsagi-beallitasok.html

  4. Szépe Viktor says:

    Kedves “Cooper”!

    Újra olvasva ezt a cikket, nagyon korábban keveset tudtam a WP biztonságról.
    Két féle WP honlap, téme, plugin stb. létezik: a populáris, és az üzleti.
    A populáris csak távolról nézve működik megfelelően, viszont az üzleti – kézzel készült – szoftver termékek belülről is rendezettek, optimalizáltak, és persze nagyon sokat kell tanulni és gyakorolni a megírásukhoz. Persze sokan adnak el olyan terméket, ami a populáris szintet sem éri el, mégis drága, és “üzelti”-nek mondott.

    Mostanában így védekezek a behatolások ellen:
    https://github.com/szepeviktor/wordpress-plugin-construction/tree/master/wordpress-fail2ban
    fail2ban program nélkül is nagyon hasznos, mert legalább leállítja a HTTP kéréseket. A fail2ban programhoz egy VPS-t kell bérelni, és karbantartani. A bérlés igen olcsó, pl a FORPSI felhőben csak 1500/hó, de a karbantartáshoz sok év tapasztalat és sok ráfordított óra szükséges.
    Minden jót kívánok neked!

Szólj hozzá
a Honlap biztonság és speciális WordPress védekezések c. bejegyzéshez

- Engedélyezett HTML elemek: <a> <em> <strong> <ul> <ol> <li>
- Forráskód beküldéséhez tedd a kódot ezek közé: <pre lang="php" line="1">Kódrészlet helye itt</pre>