Zvolené téma obsahuje celkem 7 odpovědí. Do diskuze (6 účastníků) se naposledy zapojil uživatel 
-
Příspěvky
-
Dobrý den, procházím několik článků a diskuzí o zabezpečení wp a dozvídám se info o tom jak zabezpečit wp. Ty články a vlákna se podobají v tom, že popíšou základní postupy jako je chmod, změna názvu profilu a pár řádků v htacess. ale jen s dodatkem, že to je jen náznak toho co lze. Tak pátrám jakožto jazykově nedovybaven spíše na českém netu a nejsem si jistý kde bych mohl najít ucelený článek o tom, co vše udělat s wp aby byl zabezpečený.
Třeba i výpis pluginů, které se zabezpečením zabývají, protože z názvů pluginů není vždy patrné co vlastně dělá.
Také by bylo fajn vědět jakým způsobem kontrolovat soubory pluginů a šablon pro zjištění, že nejsou “infikovány” ještě před tím, než jej nainstaluju.
Dá se třeba ještě doplnit návod v následujícím odkazu? http://forum.cwordpress.cz/post6670.html#p6670
Děkuji Jirka
Napsal jsem nedávno článek – ještě ho ale trochu pravím http://wordpress.bigdrobek.com/bezpecnost/
Osobně se mi asi nejvíce líbí článek od Lukenziho: http://www.wp-blog.cz/147-je-vas-wordpress-opravdu-bezpecny/ ale ani aktuální od BigDrobka není k zahození.
Na Neteyes.cz po vánocích asi taky něco takového napíši :-)
Ještě jsem našel toto zabezpečení WP, konkrétně adresáře /wp-admin/: do souboru .htaccess zapíšeme následující a nahrajeme ho do adresáře wp-admin:
AuthUserFile /dev/nullAuthGroupFile /dev/null
AuthName "WordPress Admin Access Control"
AuthType Basic
<LIMIT GET>
order deny,allow
deny from all
# Whitelist Your IP address
allow from xx.xx.xx.xxx
# Whitelist Your Office's IP address
allow from xx.xx.xx.xxx
# Whitelist Your IP address While Your Traveling (Delete When You Come Back Home)
allow from xx.xx.xx.xxx
</LIMIT>
a místo xx.xx.xx.xxx vepíšeme naši/naše IP adresy odkud se přihlašujeme. Jenže, pokud jsem to pochopil správně, tímto se na web nepřihlásí nikdo z registrovaných uživatelů, jelikož mají jinou IP adresu. Potom je to nejspíš zabezpečení jen pro stránky, kde žádní registrovaní uživatelé nejsou?
A co znamenají ty čtyři první řádky?
Lukas: Ano, přesně tak. Pokud specifikujete IP adresy, ze kterých bude umožněn přístup, atk se tam nikdo z jiné IP adresy nedostane. Ujistěte se také, zda máte vlastní veřejnou IP adresu, někteří poskytovatelé internetového připojení ji nabízejí za příplatek a defaultně nastavují sdílenou IP adresu, která se mění s každým novým připojením…
Osobně si myslím, že je výše uvedený kód trochu zbytečný, ale na druhou stranu nikdy není bezpečnosti dost. Podrobnosti o tomto kódu naleznete např. zde. Stručně řečeno jde o další ochranu, kdy první řádky specifikují umístění souboru .htpasswd, kde můžete definovat hesla, která budou vyžadována pro přístup do příslušné složky. Pokud teto soubor ale nepoužíváte, tak se místo cesty k souboru nastavuje hodnota /dev/null. Podle mě ale, pokud nepoužíváte první dva řádky, tak nejsou potřeba ani další dva, takže teoreticky nejsou potřeba vůbec první čtyři řádky. Použití LIMIT GET znamená, že se omezení bude týkat pouze GET požadavků a nikoli už POST požadavků či přímého přístupu k samotným souborům.
Podobný dotaz jsem nalezl přímo u hostingu Wedos. Chyba 500 se vám tam zobrazuje patrně proto, že hosting nějaký příkaz nepodporuje (či přímo zakazuje) nebo je tam nějaká chyba (či jiný problém). Podívejte se do příslušné nápovědy, v souvisejících komentářích se podobný problém také řešil.
Doplním ještě jednu zajímavou (a poměrně novou) knihu, která se detailně zabývá zabezpečením WordPressu: WordPress 3 Ultimate Security (odkaz směřuje na recenzi knihy).
Doporučuji Váš WordPress blog zabezpečit dle tohoto článku – http://www.jerk.cz/pocitace-a-internet/jak-zabezpecit-vas-wordpress-blog/ . Dřív jsem měl problémy s tím, že mi hacknuli několik mých blogů a naprosto zlikvidovali diakritiku. Od té doby, co jsem své blogy zabezpečil dle tohoto návodu tak jsem neměl jediný problém.
Pokud chcete odpovědět na toto téma, musíte se nejdříve přihlásit.