Kontrola článku o bezpečnosti WordPressu

Úvodní stránka Fórum podpory WordPressu Oznámení Kontrola článku o bezpečnosti WordPressu

Štítky: 

Zvolené téma obsahuje celkem 8 odpovědí. Do diskuze (6 účastníků) se naposledy zapojil uživatel  Lukenzi a poslední změna je stará 7 let, 2 měsíce.

Aktuálně je na stránce zobrazeno 9 příspěvků - 1. až 9. (z celkem 9)
  • Autor
    Příspěvky
  • #1295

    Bigdrobek
    Participant
    Web

    Ahoj, napsal jsem článek o bezpečnosti WordPressu a chtěl bych požádat všechny kdo tomu rozumí aby se na to podívali a řekli jestli jsou dané tipy OK, zda něco chybí atd. Některé tipy jsem totiž zatím netestoval.

    Bezpečnost

    Děkuji,

    Bigdrobek

    #9954

    neteyescz
    Participant

    Zdravím,

    Mě osobně se to líbí a v článku jsem nenašel žádné věcné chyby. Trochu mě ale rmoutí, že za .htaccess kódy, které jsi nenapsal ty, nedoplníš ze slušnosti citaci. Dále by také nebylo od věci, kdyby anglicky psané části článku byly přeloženy a doplněny o citaci, ne jen hloupě zkopírovány.

    Jsem velice rád, že v současné době ještě někdo aktivně o WordPressu v ČR píše! :-)

    S Pozdravem,

    Neteyes.cz

    #9955

    neteyescz
    Participant

    Jinak ale menší chybičky našli kolegové na Webtrhu :-)

    #9956

    togur
    Participant
    Web

    Pěkný souhrn. Jen doplňuji 2 tipy:

    1) zajímavý článek dokumentující jakým způsobem mohou být zneužity free šablony

    http://wpmu.org/why-you-should-never-search-for-free-wordpress-themes-in-google-or-anywhere-else/

    2) web zabývající se bezpečností WP, mj. přehled aktuálních exploitů v pluginech, jiný seznam pro začátečníky, pokročilé a také security list for servers.

    http://www.wpsecure.net/

    #9957

    Bigdrobek
    Participant
    Web

    neteyescz: citací myslíš použité zdroje? Ty jsou vyjmenované dole….

    togur: Díky za tipy, mrknu na to

    #9958

    neteyescz
    Participant

    Bigdrobek: Ano, to vidím.

    Přesto nechápu, proč jsou v článku anglické části.

    #9959

    admin
    Keymaster
    Web

    Asi nikdo z nás nevyzkoušel všechny popisované možnosti, ale článek je to dobrý, shrnuje mnoho různých vylepšení. Je ale velmi dlouhý a raději bych udělal ještě nějakou zkrácenou verzi, kde by bylo několik nejdůležitějších (a jednoduchých) bodů, protože ne všichni uživatelé se tím budou chtít detailně “prokousávat”.

    Chtělo by to asi také postupně vyzkoušet a stručně porovnat zmiňované pluginy, anglický popis funkcí se do článku moc nehodí. Důležitý je určitě bod, který zmiňoval togur – obecná opatrnost, odkud stahujete šablony a pluginy (zejména prémiové). Opravdu nepoužívat warez (šablon i pluginů zdarma je mnoho) a vyvarovat se různých super mega (zejména SEO) pluginů. Bohužel ani oficiální adresáře WordPressu nejsou zcela imunní a občas nějaký problematický plugin proklouzne kontrole. Velmi rychle je však odstraněn a uživatelé upozorněni…

    Nečetl jsem to celé zcela podrobně, ale chybí mi tam ještě zdůraznění jedné věci (nesouvisí zcela s WordPressem): Neukládat hesla k FTP účtům do programů, kde nejsou šifrované! Už jsem viděl mnoho napadených webů, kde uživatel uložil své heslo k FTP např. do Total Commanderu a potom chytil virus, který začal jeho přístup k FTP bez omezení používat a vkládat do souborů spamovací odkazy a další “havěť”.

    U mnoha věcí by se asi dalo diskutovat:

    – U jednoduchých pluginů, které jsou velmi užitečné a obsahují třeba jen jednu funkci bych neviděl jako zásadní problém, že nebyly delší dobu aktualizovány. Používám i pluginy, které jsou staré několik let, ale je pravda, že hodně záleží na konkrétním pluginu a jeo funkci. Hodně často se mění např. JavaScript (jQuery), takže tyto pluginy by měly být aktualizovány pro každou novou verzi WordPressu. Každopádně by se měla zejména sledovat informace, zda je plugin s novou verzí WordPressu kompatibilní…

    – Některá nastavení (např. u .htaccess) jsou podle mě zbytečná, ale nevím, osobně jsem to nezkoušel…

    – Debugování by rozhodně nemělo být zapnuto, protože by mohlo pomocí chyb naznačit případným útočníkům slabiny hostingu či použitých pluginů. Ale možná jsem cíl tohoto opatření nepochopil?

    Další názory zde.

    #9960

    Leire
    Participant

    Prosím o info a radu, zda se s tím někdo setkal a jakou bezpečnostní část článku mohu na toto použít, aby se to již neopakovalo, když mi asi před necelým měsícem došel email od googlu, že mě z důvodu nebezpečných stránek a to konkrétně pishingu vyřazují z vyhledávání. Já jsem hned šla kontrolovat stránky, mám tam zatím jen šablonu a teprve se na práci s ní chystám – nicméně se nějak nějaký robot či co dostalo do tinymce a následně do tématu stránek a nahrálo mi tam následující soubor: respektive byl tam i zip souboru, vše sem smazala a v inkriminovanou dobu, kdy tam tyto souboru něco nebo někdo narhál, jsem na svém wp vůbec nebyla.

    //mydigest.net/wp-includes/js/tinymce/themes/advanced/skins/yahoo/login.html

    Může mi někdo poradit jak a co změnit, abych se vyvarovala podobných kulišáren? Heslo mám dobré, ale mohu změnit na lepší, admin mám původní myslím tak jej změním též, není problém, ale co ještě? Ještě dotaz jak změnit profil admin, pise mi to ze uzvatelske jmeno admin nelze zmenit, poradite mi?

    #9961

    Lukenzi
    Participant

    Může mi někdo poradit jak a co změnit, abych se vyvarovala podobných kulišáren?

    Tak hlavní je řešit příčinu a né jen následky. Nejdůležitější je přijít na to jakým způsobem se škodlivý kód dostal do vašeho systému a zamezit aby se toto opakovalo.

    Každopádně nejdůležitější je mít vždy aktualizovaný systém na nejnovější verzi a totéž platí i pro šablony a pluginy.

    Pro práci s webem používat vždy “čistý” počítač s nějakým antivirovým softwarem (pokud používáte ten shit windows…) a k FTP se připojovat vždy zabezpečeným přenosem např FTPS.

    Systém, pluginy a šablony stahovat nejlépe pouze z oficiálního repozitáře a placené šablony či pluginy nestahovat z warez fór.

    Věci jako složité hesla k FTP, MYSQL, hostingu a admin účtu jsou snad samozřejmostí.

    Heslo mám dobré, ale mohu změnit na lepší

    Pokud máte zavirovaný počítač, nebo je malware například ve vaší šabloně vzhledu je vám sebelepší heslo k ničemu…

    Ještě dotaz jak změnit profil admin, pise mi to ze uzvatelske jmeno admin nelze zmenit, poradite mi?

    A co tak vytvořit si druhý administrátorský účet s libovolným jménem, přihlásit se do něj a ten původní (admin) smazat? :)

    Jinak radit něco na téma zabezpečení je si myslím zbytečné, na internetu jsou tuny nejrůznějších návodů jak své stránky zabezpečit a stejně je většina lidí vůbec nebere vážně a pak jen naříkaj… Stačí jen chtít a hledat

Aktuálně je na stránce zobrazeno 9 příspěvků - 1. až 9. (z celkem 9)

Pokud chcete odpovědět na toto téma, musíte se nejdříve přihlásit.