Úvodní stránka › Fórum podpory WordPressu › Problémy s WordPressem › Zabezpečení přístupu do administrace
Štítky: admin, login, Přihlášení, zabezpečení, zabezpečení přístupu
Zvolené téma obsahuje celkem 6 odpovědí. Do diskuze (4 účastníci) se naposledy zapojil uživatel eman a poslední změna je stará 11 let, 10 měsíců.
-
AutorPříspěvky
-
1. dubna 2013 (12:59) #3143
Zdravím, potřeboval bych poradit se zabezpečením přihlášení. Aktuálně jsem to řešil tak, že byla sekce s administrací chráněna nastavením Apache a umožňovala přístup jen z mé IP adresy. Jenomže budu bohužel muset využívat i připojení s dynamickou IP.
Myslíte, že bude stačit prostě nahodit 25 místný heslo, nebo byste doporučovali ještě něco?
Děkuji za pomoc, s pozdravem M.
1. dubna 2013 (16:35) #15269Každopádně zrušit účet admin a nebát se použít nějaký plugin pro omezení počtu pokusů přihlášení. Mě osobně se osvědčil http://devel.kostdoktorn.se/limit-login-attempts který mi každou chvíli hlásí pokus o zlomení hesla uživatele admin
2. dubna 2013 (6:27) #15270Máš hned několik možnosí jak zabezpečit admin přístup:
1) nastav https (SSL) – některé hostingy pro admin přístup umožnují použít jejich certifikát
2) změn URL – /wp-admin/ na /cokoli/
3) aktivuj limit login – tohle je “must have” záležitost, aktivací docílíš že pokud někdo X krát zadá špatně heslo během Y minut tak jeho IP adresa dostane na XY minut ban
4) deaktivuj administraci na určitý čas jednorázově nebo opakovaně
Všechny tyto věci lze udělat pomocí pluginu Better WP security – http://wordpress.org/extend/plugins/better-wp-security/
5. dubna 2013 (9:47) #15271eman:Jakkoliv zabezpečená administrace je k ničemu pokud použijete nějaký plugin nebo šablonu s bezpečnostní chybou. Nejlíp zabezpečíte web když se začnete zajímat o možnosti jak zabezpečení překonat nebo alespoň jak se vyhnout tomu aby byla překonána.
mirekk:Asi bych doplnil i informaci o tom, že pokud už na webu musíme mít více uživatelských účtů, tak administrátor by měl být max jeden. Ostatní by měli mít nějakým způsobem omezené práva – a i tak je to další riziko navíc. Limit Login Attempts používám taky – podle mě nutnost u WP. Šablona koupená? Patrně obsahuje bezpečnostní chybu…
Bigdrobek: K čemu je dobrá změna URL z wp-admin na cokoliv? To jsem nepochopil jelikož přihlášení probíhá přes soubor wp-login.php v rootu.
Deaktivování administrace je také k ničemu pokud bude bezpečnostní chyba třeba v některém z pluginů.
Proč doporučuješ plugin, který ale momentálně nedělá nic proti tomu abych zrovna teď nezkoušel různá hesla k tvému přihlašovacímu jménu? Aspoň by mohl odstranit tu hlášku při chybném přihlášení “ano jste šikovní takové uživatelské jméno existuje jen zkuste jiné heslo” nebo proč mi nezabrání abych zrovna nežasnul nad tím, kolik šablon máš na webu? Každá ještě k tomu používá script timthumb…
Použít nějaký plugin pro zabezpečení je určitě dobře, ale tím jste udělali tak možná pouze desetinu toho co by jste ještě udělat měli.
6. dubna 2013 (6:20) #15272Lukenzi:
1)”změna adres” – změní Login URL + Register URL + Admin Slug. Netestováno.
2) Limit login attemps – plugin má
Má i 404detection a spoustu dalších věcí. Zatím jsem nenašel lepší.
Co myslíš tím “proč mi nezabrání abych zrovna nežasnul nad tím, kolik šablon máš na webu? Každá ještě k tomu používá script timthumb” tomu nerozumím.
Podle mě je to zatím nej bezpečnostní plugin pro WP. Každopádně pokud máš tip na jiný plugin dej vědět.
Bigdrobek
6. dubna 2013 (12:49) #152731) testováno – za cca 20 minut jsem přišel jak na “skrytý” přihlašovací formulář a tím pádem i na registrační, ale také i na “tajný klíč” který se přidává jako parametr k URL adrese – funkce naprosto k ničemu.
2) nic z toho co plugin dále umí jsem nepotřeboval, buď na tyto konkrétní funkce používám jiný plugin nebo vlastní řešení. Každopádně všechny funkce pluginu jsou naprosté základy, které by měli být u každého webu nejen na WordPressu a návody lze najít snad každém druhém webu o zabezpečení.
Problém vidím taky v tom, že snad u každé položky pluginu vidím nějaké varování, ale nikde není žádný popis toho co konkrétní “zatrhávátko” vlastně udělá – tedy lépe řečeno, pokud dojde k problému kde chybu hledat a jak ji opravit. Jestliže uživatel uvidí 10 nezatržených políček tak je snad jasné, že:
a) nechá je tak (pak je mu tenhle plugin k ničemu)
b) zatrhne je všechny (a pak neví kde hledat chybu v případě problému)
A ten nejhlavnější problém je právě ten, že každý kdo si tento plugin nainstaluje má rázem pocit, že to je ten NEJ plugin a že je vše vyřešeno a má bezpečný web. To je naprostý omyl, jen případnému útočníkovi malinko ztížil práci…
K těm šablonám…jen jsem chtěl říct, že instalovat nejrůznější pluginy pro zabezpečení není žádné řešení, je X věcí které za vás žádný plugin neudělá a právě tyto věci stačí na to aby si případný útočník nasbíral dostatek potřebných informací a patřičně je využil. Ale to chce mít na webu hlášku “tango down” aby si člověk uvědomil, že všechny ty pluginy pro zabezpeční jsou vlastně k ničemu :) Pokud někdo chce mít bezpečný web, tak jediná možnost je prostě se učit a zabývat se tímto problémem a né jen instalovat pluginy…
8. dubna 2013 (9:33) #15274Díky všem za reakce. No o zabezpečení se snažím trochu zajímat… jinak bych to neřešil ;)
Aktuálně jde hlavně o to zamezit možnost zkoušet heslo prolomit hrubou silou. Zkusím ten plugin, díky za tip ;)
-
AutorPříspěvky
Pokud chcete odpovědět na toto téma, musíte se nejdříve přihlásit.