WP&Theme Biztonság

Archívum 2006-2018.11.09 biztonsag
#1

Üdvözletem mindenkinek!











Jó pár hét, harc után :smiley: úgy néz ki sikerül a “nagy közönség” színe elé bocsátanom egy blogom.





Arra lennék kíváncsi hogy mik azok az alapvető biztonsági kiegészítők amiket feltétlenül fel kell telepítenem ahhoz, hogy a igen csak szép számú jó akaróim, ne tegyék tönkre a Blogom 1, 2 nap alatt :D?!











A következő sablont használom font-folio (google az 1 helyen dobja ki).











Bővítményem nem sok van a sablonban foglaltakon kívül.: Theme My Login, Cfroms II, Custom fields











Sajnos egyelőre biztonsági bővítményem még semmi, azokat most szeretném telepíteni amennyiben segítetek benne, hogy melyiket kell feltenni.

















Előre is kösz, a segítséget!

#2

Az alábbiak fontosak:





    [*]Megfelelő jogosultságok (CHMOD)

    [*]Ftp jelszót ne mentsd el sehova

    [*]Admin felhasználónevét változtasd meg

    [*]Csak a hivatalos oldalról tölts le plugint

    [/list]



    Bővítmények közül ő segít: http://wordpress.org/extend/plugins/wp-security-scan/ (pl. fájlok jogosultságában)





    Egy angol cikk adhat tippeket: http://www.noupe.com/how-tos/wordpress-security-tips-and-hacks.html


    Ha komolyabban érdekel, akkor ezt ajánlom (szintén angol) átolvasásra, bár ez szerintem már túlzásokat is tartalmaz: http://www.problogdesign.com/wordpress/11-best-ways-to-improve-wordpress-security/
#3

Kösz a segítséget!











Megnéztem a linkeket hát ez nekem még sajnos elég kínai, de igyekszem tanulgatni a dolgokat!











A 4 általad említett pontot meg tudom oldani, remélem egyenlőre ez is megteszi a hatását és nem nyomják fel az oldalam :smiley: !











Jah és lenne még egy kérdésem ha ennek ellenére még is sikerül valakinek bejutni esetleg 100% kizárni engem a rendszerből, akkor hogy tudom a megváltoztatott oldalt eltávolítani? Írni kell a szolgáltatónak ?

#4
  • Az esetek 90%-ban, nem törik fel a rendszert, hanem a jelszót lopják el vírus segítségével, keylogger-el. Ezután letöltenek egy fájlt, módosítják és visszatöltik. Az adatbázishoz nem férnek hozzá többségében.




  • Ha kizárnak a saját oldaladból, akkor telepítesz valahova egy új WP-t, ott megadod a kívánt jelszót. Majd a felhasználónál a jelszó titkosított változatát kimásolod a phpmyadmin-ból, belépsz a tárhelyed (éles oldalad) phpmyadminjában és ott a felhasználódnál kicseréled.
#5

Üdv!











Egyik honlapon találtam egy leírást erről (Stealth Login) a biztonsági bővítményről.





Magáról a bővítményről azt írták, hogy a segítségével egyedi be jelentkező urlt tudok létrehozni, beállítani.











A gond csak az, hogy sehol nem találom, honnan lehetne letölteni. A bővítmény kereső nem dobja ki sajnos :S !











Olyan oldal érdekelne ahonnan BIZTONSÁGOSAN le lehet tölteni a bővítményt!











Előre is kösz a segítséget!

#6

Csak és kizárólag a wordpress.org/extend -ből szabad letölteni pluginokat. Ami ott nincs fent, azzal nagy eséllyel valami zűr van …

#7

Kösz!











Még egy olyan kérdésem lenne, hogy a következő bővítmények használatával biztonságosabbá tettem e az oldalam, vagy esetleg épp az ellenkezője, mivel olvastam már itt a fórumon is, hogy a kevesebb bővítmény csökkenti biztonsági kockázatokat. :











-Semisecure Login Reimagined





-Secure WordPress





-Hide Login





- Wordpress Remove Version

















Köszönettel: zoli-wp

#8

Elvileg igen, de annyit hozzátennék: Szerintem mindig az alap rendszer önnamágban a legbiztonságosabb.

#9

ja ja de nem árt a a wpvel kapcsolatos sebezhetőségekről tájékozódni a biztonsági közleményeket,figyelmeztetőket és az abban lévő jó tanácsokat nem árt megszívlelni és nem árt az ismertebb sebezhetőség gyüjteményeket is rendszeresen megnézni pl a legismertebb ilyen az exploit-db(http://exploit-db.com ) ami ott nincsen fent az nem létezik . backtrackben( http://backtrack-linux.org/ ) vannak nagyon fasza cms letapogató cuccok drupalra,joomlara meg wordpresre meg ami úgy általánosságban képes letapogatni a dolgokat. a legjobban úgy tudod megvédeni magad ha megpróbálod feltörni az oldalat.





Nem árt elolvasgatni Mitnick megjelent 2könyvét is mivel a támadási módszerek nem mindig igényel számítógépet.











A biztonság nem egy egyszer beállítandó valami hanem egy folytonos folyamat.

#10

Alapvető szabály, hogy minden sablont, amiben TimTumb van kerülni kell.





Ez a legnépszerűbb és leggyakoribb sebezhetőség.

#11

Továbbá sablont csak a wordpress.org -ról töltsünk le vagy lehetőleg olyan premium theme-t válasszunk, ami nagyon népszerű, sokak által használt és gyakran frissül.

#12

window esetén érdemes elolvasni ezt: http://www.windowsecurity.com/articles/windows-7-security-primer-part1.html











és felrakni ezt: http://support.microsoft.com/kb/2458544 (Enanched Mitigation Experience Toolkit).





Ha Total Commendert használjuk akkor mindig használjuk a legfrissebb verziót amelyben már az sftp is támogatott ,az összes biztonsági és egyébb frissítést tegyük fel az egyéb nem windowsos programokhoz meg használjuk a secunia psit. ha lehet mondent teszteljünk le az oldalon is a változtatásokat amire jó egy wamp/lamp környezet is.