Zabezpečení WordPressu

Zvolené téma obsahuje celkem 7 odpovědí. Do diskuze (6 účastníků) se naposledy zapojil uživatel  axel a poslední změna je stará 6 let, 6 měsíců.

Aktuálně je na stránce zobrazeno 8 příspěvků - 1. až 8. (z celkem 8)
  • Autor
    Příspěvky
  • #1297

    Jirik
    Participant
    Web

    Dobrý den, procházím několik článků a diskuzí o zabezpečení wp a dozvídám se info o tom jak zabezpečit wp. Ty články a vlákna se podobají v tom, že popíšou základní postupy jako je chmod, změna názvu profilu a pár řádků v htacess. ale jen s dodatkem, že to je jen náznak toho co lze. Tak pátrám jakožto jazykově nedovybaven spíše na českém netu a nejsem si jistý kde bych mohl najít ucelený článek o tom, co vše udělat s wp aby byl zabezpečený.

    Třeba i výpis pluginů, které se zabezpečením zabývají, protože z názvů pluginů není vždy patrné co vlastně dělá.

    Také by bylo fajn vědět jakým způsobem kontrolovat soubory pluginů a šablon pro zjištění, že nejsou “infikovány” ještě před tím, než jej nainstaluju.

    Dá se třeba ještě doplnit návod v následujícím odkazu? http://forum.cwordpress.cz/post6670.html#p6670

    Děkuji Jirka

    #9971

    Bigdrobek
    Participant
    Web

    Napsal jsem nedávno článek – ještě ho ale trochu pravím http://wordpress.bigdrobek.com/bezpecnost/

    #9972

    neteyescz
    Participant

    Osobně se mi asi nejvíce líbí článek od Lukenziho: http://www.wp-blog.cz/147-je-vas-wordpress-opravdu-bezpecny/ ale ani aktuální od BigDrobka není k zahození.

    Na Neteyes.cz po vánocích asi taky něco takového napíši :-)

    #9973

    Jirik
    Participant
    Web

    Články jsem zodpovědně prošel Děkuji.

    #9974

    Lukas
    Participant

    Ještě jsem našel toto zabezpečení WP, konkrétně adresáře /wp-admin/: do souboru .htaccess zapíšeme následující a nahrajeme ho do adresáře wp-admin:

    AuthUserFile /dev/null

    AuthGroupFile /dev/null

    AuthName "WordPress Admin Access Control"

    AuthType Basic

    <LIMIT GET>

    order deny,allow

    deny from all

    # Whitelist Your IP address

    allow from xx.xx.xx.xxx

    # Whitelist Your Office's IP address

    allow from xx.xx.xx.xxx

    # Whitelist Your IP address While Your Traveling (Delete When You Come Back Home)

    allow from xx.xx.xx.xxx

    </LIMIT>

    a místo xx.xx.xx.xxx vepíšeme naši/naše IP adresy odkud se přihlašujeme. Jenže, pokud jsem to pochopil správně, tímto se na web nepřihlásí nikdo z registrovaných uživatelů, jelikož mají jinou IP adresu. Potom je to nejspíš zabezpečení jen pro stránky, kde žádní registrovaní uživatelé nejsou?

    A co znamenají ty čtyři první řádky?

    #9975

    admin
    Keymaster
    Web

    Lukas: Ano, přesně tak. Pokud specifikujete IP adresy, ze kterých bude umožněn přístup, atk se tam nikdo z jiné IP adresy nedostane. Ujistěte se také, zda máte vlastní veřejnou IP adresu, někteří poskytovatelé internetového připojení ji nabízejí za příplatek a defaultně nastavují sdílenou IP adresu, která se mění s každým novým připojením…

    Osobně si myslím, že je výše uvedený kód trochu zbytečný, ale na druhou stranu nikdy není bezpečnosti dost. Podrobnosti o tomto kódu naleznete např. zde. Stručně řečeno jde o další ochranu, kdy první řádky specifikují umístění souboru .htpasswd, kde můžete definovat hesla, která budou vyžadována pro přístup do příslušné složky. Pokud teto soubor ale nepoužíváte, tak se místo cesty k souboru nastavuje hodnota /dev/null. Podle mě ale, pokud nepoužíváte první dva řádky, tak nejsou potřeba ani další dva, takže teoreticky nejsou potřeba vůbec první čtyři řádky. Použití LIMIT GET znamená, že se omezení bude týkat pouze GET požadavků a nikoli už POST požadavků či přímého přístupu k samotným souborům.

    Podobný dotaz jsem nalezl přímo u hostingu Wedos. Chyba 500 se vám tam zobrazuje patrně proto, že hosting nějaký příkaz nepodporuje (či přímo zakazuje) nebo je tam nějaká chyba (či jiný problém). Podívejte se do příslušné nápovědy, v souvisejících komentářích se podobný problém také řešil.

    #9976

    admin
    Keymaster
    Web

    Doplním ještě jednu zajímavou (a poměrně novou) knihu, která se detailně zabývá zabezpečením WordPressu: WordPress 3 Ultimate Security (odkaz směřuje na recenzi knihy).

    #9977

    axel
    Participant
    Web

    Doporučuji Váš WordPress blog zabezpečit dle tohoto článku – http://www.jerk.cz/pocitace-a-internet/jak-zabezpecit-vas-wordpress-blog/ . Dřív jsem měl problémy s tím, že mi hacknuli několik mých blogů a naprosto zlikvidovali diakritiku. Od té doby, co jsem své blogy zabezpečil dle tohoto návodu tak jsem neměl jediný problém.

Aktuálně je na stránce zobrazeno 8 příspěvků - 1. až 8. (z celkem 8)

Pokud chcete odpovědět na toto téma, musíte se nejdříve přihlásit.