Úvodní stránka › Fórum podpory WordPressu › Oznámení › Kontrola článku o bezpečnosti WordPressu
Štítky: bezpečnost
Zvolené téma obsahuje celkem 8 odpovědí. Do diskuze (6 účastníků) se naposledy zapojil uživatel Lukenzi a poslední změna je stará 11 let, 10 měsíců.
-
AutorPříspěvky
-
27. listopadu 2011 (0:13) #1295
Ahoj, napsal jsem článek o bezpečnosti WordPressu a chtěl bych požádat všechny kdo tomu rozumí aby se na to podívali a řekli jestli jsou dané tipy OK, zda něco chybí atd. Některé tipy jsem totiž zatím netestoval.
Děkuji,
Bigdrobek
27. listopadu 2011 (9:06) #9954Zdravím,
Mě osobně se to líbí a v článku jsem nenašel žádné věcné chyby. Trochu mě ale rmoutí, že za .htaccess kódy, které jsi nenapsal ty, nedoplníš ze slušnosti citaci. Dále by také nebylo od věci, kdyby anglicky psané části článku byly přeloženy a doplněny o citaci, ne jen hloupě zkopírovány.
Jsem velice rád, že v současné době ještě někdo aktivně o WordPressu v ČR píše! :-)
S Pozdravem,
Neteyes.cz
27. listopadu 2011 (9:12) #9955Jinak ale menší chybičky našli kolegové na Webtrhu :-)
27. listopadu 2011 (17:09) #9956Pěkný souhrn. Jen doplňuji 2 tipy:
1) zajímavý článek dokumentující jakým způsobem mohou být zneužity free šablony
http://wpmu.org/why-you-should-never-search-for-free-wordpress-themes-in-google-or-anywhere-else/
2) web zabývající se bezpečností WP, mj. přehled aktuálních exploitů v pluginech, jiný seznam pro začátečníky, pokročilé a také security list for servers.
28. listopadu 2011 (12:04) #9957neteyescz: citací myslíš použité zdroje? Ty jsou vyjmenované dole….
togur: Díky za tipy, mrknu na to
28. listopadu 2011 (12:34) #9958Bigdrobek: Ano, to vidím.
Přesto nechápu, proč jsou v článku anglické části.
29. listopadu 2011 (11:13) #9959Asi nikdo z nás nevyzkoušel všechny popisované možnosti, ale článek je to dobrý, shrnuje mnoho různých vylepšení. Je ale velmi dlouhý a raději bych udělal ještě nějakou zkrácenou verzi, kde by bylo několik nejdůležitějších (a jednoduchých) bodů, protože ne všichni uživatelé se tím budou chtít detailně “prokousávat”.
Chtělo by to asi také postupně vyzkoušet a stručně porovnat zmiňované pluginy, anglický popis funkcí se do článku moc nehodí. Důležitý je určitě bod, který zmiňoval togur – obecná opatrnost, odkud stahujete šablony a pluginy (zejména prémiové). Opravdu nepoužívat warez (šablon i pluginů zdarma je mnoho) a vyvarovat se různých super mega (zejména SEO) pluginů. Bohužel ani oficiální adresáře WordPressu nejsou zcela imunní a občas nějaký problematický plugin proklouzne kontrole. Velmi rychle je však odstraněn a uživatelé upozorněni…
Nečetl jsem to celé zcela podrobně, ale chybí mi tam ještě zdůraznění jedné věci (nesouvisí zcela s WordPressem): Neukládat hesla k FTP účtům do programů, kde nejsou šifrované! Už jsem viděl mnoho napadených webů, kde uživatel uložil své heslo k FTP např. do Total Commanderu a potom chytil virus, který začal jeho přístup k FTP bez omezení používat a vkládat do souborů spamovací odkazy a další “havěť”.
U mnoha věcí by se asi dalo diskutovat:
– U jednoduchých pluginů, které jsou velmi užitečné a obsahují třeba jen jednu funkci bych neviděl jako zásadní problém, že nebyly delší dobu aktualizovány. Používám i pluginy, které jsou staré několik let, ale je pravda, že hodně záleží na konkrétním pluginu a jeo funkci. Hodně často se mění např. JavaScript (jQuery), takže tyto pluginy by měly být aktualizovány pro každou novou verzi WordPressu. Každopádně by se měla zejména sledovat informace, zda je plugin s novou verzí WordPressu kompatibilní…
– Některá nastavení (např. u .htaccess) jsou podle mě zbytečná, ale nevím, osobně jsem to nezkoušel…
– Debugování by rozhodně nemělo být zapnuto, protože by mohlo pomocí chyb naznačit případným útočníkům slabiny hostingu či použitých pluginů. Ale možná jsem cíl tohoto opatření nepochopil?
Další názory zde.
20. května 2012 (7:16) #9960Prosím o info a radu, zda se s tím někdo setkal a jakou bezpečnostní část článku mohu na toto použít, aby se to již neopakovalo, když mi asi před necelým měsícem došel email od googlu, že mě z důvodu nebezpečných stránek a to konkrétně pishingu vyřazují z vyhledávání. Já jsem hned šla kontrolovat stránky, mám tam zatím jen šablonu a teprve se na práci s ní chystám – nicméně se nějak nějaký robot či co dostalo do tinymce a následně do tématu stránek a nahrálo mi tam následující soubor: respektive byl tam i zip souboru, vše sem smazala a v inkriminovanou dobu, kdy tam tyto souboru něco nebo někdo narhál, jsem na svém wp vůbec nebyla.
//mydigest.net/wp-includes/js/tinymce/themes/advanced/skins/yahoo/login.html
Může mi někdo poradit jak a co změnit, abych se vyvarovala podobných kulišáren? Heslo mám dobré, ale mohu změnit na lepší, admin mám původní myslím tak jej změním též, není problém, ale co ještě? Ještě dotaz jak změnit profil admin, pise mi to ze uzvatelske jmeno admin nelze zmenit, poradite mi?
20. května 2012 (15:59) #9961Může mi někdo poradit jak a co změnit, abych se vyvarovala podobných kulišáren?
Tak hlavní je řešit příčinu a né jen následky. Nejdůležitější je přijít na to jakým způsobem se škodlivý kód dostal do vašeho systému a zamezit aby se toto opakovalo.
Každopádně nejdůležitější je mít vždy aktualizovaný systém na nejnovější verzi a totéž platí i pro šablony a pluginy.
Pro práci s webem používat vždy “čistý” počítač s nějakým antivirovým softwarem (pokud používáte ten shit windows…) a k FTP se připojovat vždy zabezpečeným přenosem např FTPS.
Systém, pluginy a šablony stahovat nejlépe pouze z oficiálního repozitáře a placené šablony či pluginy nestahovat z warez fór.
Věci jako složité hesla k FTP, MYSQL, hostingu a admin účtu jsou snad samozřejmostí.
Heslo mám dobré, ale mohu změnit na lepší
Pokud máte zavirovaný počítač, nebo je malware například ve vaší šabloně vzhledu je vám sebelepší heslo k ničemu…
Ještě dotaz jak změnit profil admin, pise mi to ze uzvatelske jmeno admin nelze zmenit, poradite mi?
A co tak vytvořit si druhý administrátorský účet s libovolným jménem, přihlásit se do něj a ten původní (admin) smazat? :)
Jinak radit něco na téma zabezpečení je si myslím zbytečné, na internetu jsou tuny nejrůznějších návodů jak své stránky zabezpečit a stejně je většina lidí vůbec nebere vážně a pak jen naříkaj… Stačí jen chtít a hledat
-
AutorPříspěvky
Pokud chcete odpovědět na toto téma, musíte se nejdříve přihlásit.