Obstrukční "security" metody?

Úvodní stránka Fórum podpory WordPressu Problémy s WordPressem Obstrukční "security" metody?

Zvolené téma obsahuje celkem 7 odpovědí. Do diskuze (3 účastníci) se naposledy zapojil uživatel  gore.m a poslední změna je stará 2 roky, 6 měsíců.

Aktuálně je na stránce zobrazeno 8 příspěvků - 1. až 8. (z celkem 8)
  • Autor
    Příspěvky
  • #32844

    gore.m
    Participant

    Zdravím,

    přemýšlím co z těchto věcí, má smysl:

    1) Instalovat WP do sub dir s redirektem na root?

    2) Změnit jména wp-content, plugins, uploads?

    Proč:
    – Původní důvod proč jsem nad výše uvedeným přemyšlel, byl fakt, že jsem chtěl skrýt fakt, že používám WP, což se mi nedaří ani s přejmenovaním složek – používám Woocommerce (kvůli WOO, WP třeba Wappalyzer hned identifikuje).
    – Údajné zlepšení bezpečnosti webu.

    Tak nevím… že používám WP neutajím a nejsem si jistý, zda přejmenováním složek nenadělám v bezpečnosti spíše větší paseku – použám iThemes security, bude pak chránění systému vůbec fungovat?

    Díky

    #32848

    admin
    Keymaster
    Web

    Nevím, jestli jsem nejvhodnější osoba na podobné doporučení, protože už mnoho let na to mám stejný “odrazující” názor :-)

    – Použití WordPressu podle mě prostě neutajíte. Možná před nějakým “hloupým” robotem, který hledá soubor readme.html, ale pochybuji, že dnes to ještě někdo dělá takto jednoduše. Stačí kontrolovat existenci nějakého JavaScriptového souboru (ať už z WordPressu či WooCommerce), či cokoli jiného. Možná to s vypětím sil utajíte před nějakou službou, která to automaticky pro uživatele zjišťuje, ale ještě jsem neviděl web, který by to utajil tak, že bych to během pár minut nezjistil… Z toho vyplývá, že je to zcela zbytečné (a osobně nechápu proč to tajit).

    – Bezpečnostní pluginy (např. zmiňovaný iThemes Security) jsou podle mě také zcela k ničemu. Pokud mají administrátoři silná hesla, provádíte přiměřeně aktualizace a nepoužíváte kradené pluginy či šablony, tak se není čeho obávat. Ještě nikdy mi nikdo neukázal, že ho podobný plugin před něčím ochránil, kromě toho, že způsobují restrikcemi různé problémy (indexace vyhledávačů, konflikty pluginů). Uživatelé těchto pluginů vlastně ani neví, před čím by je měly konkrétně chránit, jen si někde v nějakém návodu přečetli, že je bezpečnostní plugin super, protože prostě “bezpečnost”. Mnozí jsou ochotni si podobné pluginy klidně i několik hodin nastavovat, ale přesto nevěřím, že to něčemu pomůže, kromě toho, že chodí spousta notifikačních emailů… Moc rád si nechám vysvětlit, proč bych měl podobné pluginy začít používat, ale zatím mě nikdo nepřesvědčil…

    Čistá instalace bez různých security vylomenin (ať už přesuny adresářů, skrývání instalace a bezpečnostních pluginů) je IMHO ta nejlepší varianta :-)

    #32849

    Borec
    Participant
    Web
    This reply has been marked as private.
    #32850

    admin
    Keymaster
    Web

    @borec: To opravdu ne :-) Přejmenovaný wp-includes a wp-content opravdu nestačí. Stačí se podívat, zda se tam načítá soubor wp-emoji-release.min.js a hned je jasno. Nehledě na to, že robotům stačí pomocí jednoho cURL dotazu zkontrolovat, jestli máte na webu třídy post-ID, status-publish, či cokoli jiného, co je typické pro WordPress weby… Podle mě je to marný boj…

    #32851

    admin
    Keymaster
    Web

    @borec: Roboti také zkoušejí feedy a REST API, stačí když zkusí adresu domena.cz/wp-json/wp/v2/posts nebo domena.cz/feed a hned je jasné, že jde o WordPress a může se web zkoumat detailněji… Naopak bych se na něj zaměřil, protože když něco tají, tak by tam mohlo být něco zajímavého :-)

    #32853

    gore.m
    Participant

    No – utajit to lze, stačí použít plugin WP Hide and Security Enhancer, ale jen do chvíle kdy se zapne Woocommerce. Zkoušel jsem to s šablonou Twenty Eleven a Wappalyzer WP neidentifikoval.

    To @admin, zkus se podívat na bloomydays.com … je zajímavej web, dřív Wappalyzer identifikoval WP, pak identifikoval jen Woocommerce, ted už neidentifikuje nic, až když člověk klikne na Blog tak je tam plné info o WP. Takže bud tam nastala změna v systému, nebo WP i WOO ukrýt lze (asi dost krkolomně?).

    Celkový problém WP pro mně je ten, že nikde člověk nenajde nějaké rozumné a ucelené info, takže člověk zkouší miliony možností a hledá tu nejrozumnější. Po tom co jsem zaplácal .htaccess kódama co jsem posbíral po netu, jsem se rozhodl pro iThemes security který tam má všechno, o čem si myslím, že má smysl, jako: Protect System Files, Disable Directory Browsing, Disable PHP in Uploads, Disable PHP in Plugins, Disable PHP in Themes a spoustu dalšího.
    Četl jsem pár článků na blogvault.net které v podstatě potvrzují to co píšeš ty a to, že tyhle pluginy nemají moc velký smysl – ale určitý smysl májí.
    Takže nevím… ty ochranu vůbec neřešíš? Nebo máš nějaký osvědčený návod o který by jsi se mohl podělit?

    Jedna podotázka: stále se všechno kolem WP a php učím a jak jsem zmiňoval, moc ucelené info člověk nenajde, před měsícem jsem zjistil, že je dobré používat esc_url();.
    – Štoural jsem ve Woo checkout takže jsem včechny inputy sanitizoval.
    – Na všechny url jsem dal esc_url();
    – Hodně používám get_... a echo '' pro html nebo script výstup (většinou bez php obsahu)… je potřeba nějak ošetřovat? Pokud to správně chápu esc_... není v tomto případě na místě?
    A ted samozřejmě přemýšlím, o čem dalším – ohledně bezpečnosti a šablony – ještě nevím :-)

    Díky

    #32854

    admin
    Keymaster
    Web

    Díky za tip na plugin, má tam asi většinu věcí, které jsem zmiňoval, ale stejně bych chtěl vidět nějaký opravdu utajený web (třeba i nastavený tímto pluginem). Nemáte nějaký testovací? :-) A i kdyby se podařilo odebrat všechno (čemuž nevěřím), tak stačí zkontrolovat nejpoužívanější pluginy, atd. Nemyslím si, že má tato snaha nějaký smysl…

    Ad bloomydays.com: WordPress mají podle mě instalovaný v podadresáři blog a na hlavní stránku dali nějaké vlastní řešení (WooCommerce tam podle mě na 99 % není).

    Bezpečnost ze strany WordPressu vůbec neřeším, věřím mu, že je bezpečný sám o sobě (na základě toho, že ho používají miliony lidí). A pak věřím také hostingu, že to mají alespoň trochu zabezpečený server. A pro jistotu mám zálohu :-) Viděl jsem už dost napadených webů, ale v naprosté většině případů šlo o kradené šablony či pluginy, několik let neaktualizované šablony či pluginy, hesla typu “12345”, atd. Nikdy jsem neviděl “normální” napadený web, jen spoustu problémů s různými bezpečnostními pluginy. Na jednom webu jsem sledoval jak bezpečnostní plugin bojuje s hackem (přes starý plugin). Hacker web vždy napadl a něco tam změnil, bezpečnostní plugin poslal notifikační email, majitel smazal napadené soubory a další den znovu. A takhle to dělal asi tři měsíce než ho napadlo, že by s tím měl něco dělat a bezpečnostní plugin mu s tím nepomůže :-)

    Prostě to neřeším, nezabývám se tím, podle mě je to zbytečné a uživatel si spíše způsobí problémy. Bezpečnostní pluginy neinstalovat a ignorovat. Je to těžké, protože mají reklamu všude, každý kdo píše o WordPressu zplodil nějaký návod jak podobný plugin “ideálně” nastavit a je těžké ignorovat bezpečnost, protože přece bezpečnost (!). Rozumné a ucelené informace nikde nejsou, protože to prostě není potřeba a jen různí lidé hledají různé obskurní triky. Proč nemá WordPress nějaký bezpečnostní plugin už v samotném základu? Není to nebezpečné poskytovat lidem nějaký program a nezabezpečit ho? :-) Ani jsem nikde neviděl, že by byl nějaký bezpečnostní plugin oficiálně doporučován přímo ze strany vývojářů…

    Osobně spíše doporučuji jednou ročně aktualizovat WordPress a několikrát ročně proklikat aktualizace pluginů, mít bezpečné heslo a neinstalovat nic, co není z WordPress.org. Tím to pro mě končí a nikdy jsem žádný problém neměl. No, párkrát vlastně ano, ale jednou to byla chyba hostingu, jednou si klient (administrátor) změnil heslo (aby si ho lépe pamatoval) a jednou jsem na web několik let zapomněl a nechal jsem tam nějaký starý plugin s bezpečnostní chybou… Doufám, že mi to tady teď někdo schválně nehackne :-)

    Na bezpečnost skriptů je na webu mnoho návodů (např. zde a zde), ale obecně záleží na konkrétním místě. Někde je to zbytečné, protože je to třeba už zabezpečeno o úroveň výše v nějaké jiné funkci nebo to prostě není zneužitelné. Nevím, co jste upravoval ve WooCommerce checkoutu, ale věřím, že je ze strany pluginu dost zabezpečený sám o sobě a není tam potřeba nic podobného doplňovat (pokud jste neprováděl nějaké zásadní úpravy). Schválně se dívejte, jak je to používáno ve WordPressu, v základních šablonách a oblíbených pluginech, tím se toho lze naučit asi nejvíce…

    #32856

    gore.m
    Participant

    Ne e, takový web nemám, plugin jsem zkoušel na localhostu. Ale mám ozkoušený Wappalyzer, který toho odhalí vždycky nejvíc ze všech, ale nic nenašel .)

    Zmíněný hosting je taky dobré téma… dost jsem ted narážel na spoustu článků a reklam kde se doopravdy dělá “bu bu bu” samozřejmě kvůli hostingu vs bezpečnost samozřejmě hned s doporučením toho nejlepšího který si máte objednat.
    V ČR “WP hosting kampaň” nikdo nejede, tak nevím… máme už 5 let Onebit (statické html), neměli jsme sebemenší problém.
    Je něco, co u hostingu vs bezpečnost řešit a jakou konfiguraci hostingu volit pro hladký chod WP + WOO + WPML?

    Díky za tip, články už jsem četl, ale mrknout do základních šablon je top tip, to mě netrklo .-)

Aktuálně je na stránce zobrazeno 8 příspěvků - 1. až 8. (z celkem 8)

Pokud chcete odpovědět na toto téma, musíte se nejdříve přihlásit.