Tipy, jak si zabezpečit svou WordPress instalaci
Warning: Trying to access array offset on value of type null in /data/web/virtuals/1904/virtual/www/domains/blog.web-future.cz/wp-content/themes/sweet-dreams/functions.php on line 44
20. 2. 2008 v 7:18 pm
Můj WordPress, můj hrad! V rámci tohoto hesla si ukážeme, jak zajistit základní bezpečnostní úpravy instalace WordPressu.
Omezit přístup do administrace pro vybrané IP adresy
Pokud se připojujete pouze z několika míst (např. doma a v práci), určitě si povolte pouze své IP adresy.
V adresáři wp-admin vytvořte konfigurační soubor .htaccess s tímto obsahem:
AuthUserFile /dev/null
AuthGroupFile /dev/null
AuthName "Access Control"
AuthType Basic
order deny,allow
deny from all
# povolene IP - doma
allow from xxx.xxx.xxx.xxx
# povolene IP - prace
allow from xxx.xxx.xxx.xxx
Na každém řádku začínajícím na „allow from" je uvedena jedna povolená adresa. Místo xxx.xxx.xxx.xxx tedy vyplňte svou IP. Vaši momentální adresu zjistíte např. na MojeIP.cz.
Tento soubor zajistí, že při přihlášení z jiných než uvedených IP adres Apache opoví chybovou hlavičkou hlavičkou 403 Forbidden.
Kdybyste někdy v budoucnu přešli k jinému providerovi, stačí přes FTP upravit .htaccess a IP adresy změnit.
Sledujte aktualizace pro WordPress
Toto je velmi důležité, pokud používáte českou verzi, která není zrovna příliš aktuální. Na blogu se nejlépe přes RSS dozvíte o nových aktualizacích, které je potřeba co nejdříve nainstalovat.
Zamčít přístup do administrace při zadání špatného hesla
Nainstalujte plugin Login LockDown, který zablokuje IP adresu, ze které se opakovaně zadávají chybná hesla. Zamezíte tak útoku brutální silou, kdy by útočník mohl použít aplikaci/skript pro automatické zadávání hesel ze slovníku. Ve výchozím nastavení jsou povoleny maximálně tři chybná hesla z jedné IP adresy během pěti minut. Paranoici si samozřejmě můžou nastavit přísnější limit.
Security through obscurity aneb Nikomu nic neřeknu
Není důvod, proč do světa hlásat, jakou verzi WordPressu máte nainstalovanou. Zbytečně tak můžete potencionální útočníky upozornit na starší děravou verzi.
HTML hlavičku lze editovat dvěma způsoby:
- přes FTP editujte soubor
/wp-content/themes/nazev-tematu/header.php
- přes administraci: Vzhled – Editor motivů vzhledu – Záhlaví
Odstraňte řádek
<meta name=”generator” content=”WordPress <?php bloginfo(’version’); ?>” /> <!-– leave this for stats please -->
RSS:
Soubor /wp-admin/export.php:
<!-- generator="wordpress/<?php bloginfo_rss('version') ?>" created="<?php echo date('Y-m-d H:i'); ?>"-->
upravte na
<!-- generator="wordpress" created="<?php echo date('Y-m-d H:i'); ?>"-->
(v současnosti je to řádek 184).
Nezapomeňte při upgradech na novější verzi WordPressu znovu provést úpravy souborů.
Sitemap:
Máte-li aktivní plugin „Google XML Sitemaps", je v něm také uvedená verze WordPressu. Editujte soubor /wp-content/plugins/google-sitemap-generator/sitemap.php
Řádek $this->AddElement(new GoogleSitemapGeneratorDebugEntry("generator=\"wordpress/" . get_bloginfo('version') . "\""));
změňte na $this->AddElement(new GoogleSitemapGeneratorDebugEntry("generator=\"wordpress\""));
(v současnosti je to řádek 2037)
Použité zdroje: Three tips to protect your WordPress installation
Carl114:
Díky! Takové informace se hodí :)