Talk:WordPress turvamine
From ICO wiki
Jump to navigationJump to search
Hinnang 1
Hindajad
Olle Tuur A32
Heigo Võsujalg A31
Toomas Rohumets A31
Tarmo Trumm A31
| KRITEERIUM | KAAL | HINNANG | KOMMENTAAR |
|---|---|---|---|
| Wordpressi paigaldus | 3 | 3 | Toimis |
| mod_evasive paigaldus ja konfigureerimine | 2 | 2 | Toimis |
| Varnish Cache paigaldamine ja konfigureerimine | 3 | 3 | Toimis |
| Super Cache | 3 | 3 | Toimis |
| Iptables | 2 | 2 | Toimis |
| Teised turvameetodid | 2 | 1 | Vajas täpsustamist |
| Vormistus | 2 | 1,5 | Ei ole terviklik, liiga killustatud, puudub loogiline ülesehitus, esines grammatika ja ortograafia vigu. |
| Nõuded | 1 | 1 | Eeldused on mainitud |
| Teenuste testimine | 2 | 1,5 | Lisatud on testimise võimalused. |
| Kokku | 20 | 18 |
Artiklist puuduvad:
- eeldused ( kasutaja kogemus, võrgu seadistus ) - parandatud
- Paki lahti wordpressi failid /var/www kausta:
sudo tar zxvf latest.tar.gz --directory=/var/www/
Kas sudo on endiselt vajalik? - parandatud
- nano /etc/apache2/sites-avalible/wp kahjuks on tühi :'( - parandatud
- Nüüd jääb üle lisada vastavad read oma virtuaalsesse hosti (N:~/apache2/sites-enabled/wordpress lõppu)
Kõige lõppu? Või <VirtualHosti> taggide vahele? - parandatud
- Esimene, mis me teeme on default pordi muutmine. Tuleb muuta faili /etc/default/varnish:
nano /etc/default/varnish
Kust mida täpsemalt muuta tuleb? - parandatud
- Apache konfi muutmine (varnish): pole mainitud, kumba kasutada tuleks kas 80 lõpuga või 8000 lõpuga faili.
Järgnev käsk:
nano apt-get install libapache2-mod-rpaf
ei taha kohe mitte töötada.
/etc/init.d/varnish restart/ käsuga tuli HTTP accelerator varnished tulemus FAIL
Varnishi osa on parandatud
Pooleli jäime super cachi juures
Super Cache
define ('WP_CACHE', true);
peab olema enne viimast require rida. Ei ole öeldud, kus asub .htaccess fail ja lisaks selle faili tekitab wordpress ise (pole vaja näppida). - parandatud
WP näitas, et WP Super Cache is disabled. Please go to the plugin admin page to enable caching. - Ei ole öeldud, et caching tuleb sisse lülitada. - parandatud
cd /var/www/wp-content/plugins/
sellist kausta pole olemas. Peaks olema cd /var/www/wordpress/wp-content/plugins/ - parandatud
unzip growmap-anti-spambot-plugin.1.1.zip
Ei ole öeldud, et peaksime installima unzipi. - parandatud
IP kontroll:
on öeldud, et /var/www/wordpress-i tuleb luua fail .htaccess. Ei ole öeldud, kuhu peab reeglid kirjutama. - parandatud
Hinnang 2
Hindaja: Reinu (AK31)
Kuupäev: 18.12.2011
Hindaja deklaratsioon
Alati on teiste töö kallal norida lihtsam ja hindaja pole kaugeltki kindel, kas pika artikli korral ta ise puhtalt pääseks.
Hinnangud
Kasutati 2010. õppeaastal õppejõud Ernitsa poolt ette antud kriteeriume.
| KRITEERIUM | KAAL | HINNANG | SELGITUS |
|---|---|---|---|
| Versioonide ajalugu | 1 | 0.5 | Peaaegu olemas, kui lugeda timestamp versiooninumbriks :) Versioonide kokkuvõtvat ajalugu kuvatud pole, kuid wikis aitab alati "history" sakk. |
| Autor(id) | 1 | 1 | Olemas. Kui norida, siis see võiks asuda töö alguses, mitte lõpus. |
| Viimase muutmise aeg | 1 | 1 | Olemas. Nutikas, et on kasutatud revision muutujaid. |
| Skoop | 1 | 0 | Puudub skoobi peatükk, mis kirjeldab töö vaatluse all olevad teemad. See aitab aru saada, mida täpselt on tahetud käsitleda ja mis on taotuslikult välja jäetud, mitte unustatud. |
| Sissejuhatus | 1 | 1 | Olemas, aga vale peatüki (Eeldused) all. Lisaks võiks see olla veidi mahukam ning rohkem tutvustada WordPressi. Lisaks on kenasti olemas osade tehniliste alampeatükkide juures on eraldi pisikene sissejuhatus. |
| Nõuded | 1 | 1 | Olemas Eeldused peatükina. Artikli esimese Ubuntu serverile viitava rea võiks tõsta samuti siia alla. |
| Installeerimise ja konfigureerimise osa | 3 | 3 | Olemas. |
| Tehniliselt korrektne | 3 | 2.5 | Peaaegu korrektne. Ma ei söenda 100% väita, et mod_evasive tõrge on juhendi viga, kuid täpselt samm-sammult artiklit järgides ma seda tööle igatahes ei saanud. Kasutasin värselt installitud serverit ja muid muudatusi iseseisvalt ei teinud. |
| Korraldused on tekstist eristatavad | 1 | 1 | Olemas. |
| Käskude väljundid on tekstist eristatavad | 1 | 1 | Esines vähe, aga oli kenasti eristatav. |
| Muutuvad osad on eristatavad | 1 | 0.5 | Tavateksti sees, mitte preformatted alal, võiksid olla süsteemsed väärtused (failiteed, programminimed, muutujad jms) kogu artikli ulatuses paremini esiletõstetud, nt kaldkirjas. Praegu on osaliselt paksus kirjas (nt failiteed), osalt üldse vormindamata. |
| Tekst on loetav | 1 | 0.5 | Üldine struktuur on olemas. Kasutatud kirjanduse viited ja skoop on puudu. |
| Tekst on arusaadav | 2 | 1 | Tekst oli arusaadav. Pole kasutatud läbivalt ühesugust kirjutusviisi. Nt "Tee pakettidele upgrade:", "Paigaldamise käsk:", "Nüüd teeme Varnishile restardi...". Esines palju õigekirjavigu. Kohati on teksti sees põhjendamatult kasutatud ingliskeelseid termineid. |
| Teenuse varundamine | 1 | 0 | Üks tavapärane turvameede on oluliste andmete (failid, andmebaas) varundamine. Seda artiklis kajastatud ei olnud. |
| Teenuse taastamine | 1 | 0 | Kuna pole varundamist kajastatud, siis pole ka midagi taastada. |
| Kokku | 20 | 14 | Pika ja keeruka artikli kohta oli tulemus korralik "koolipoisi" hinne :) |
Kommentaarid sisu kohta
- aptitude install apache2 mysql-server ssh php5 php5-mysql apache2-utils
- SSH võiks välja jätta, sest sellest tarkvarast rohkem siin artiklis ei räägita ning see teema puutub üldisesse serveri administreerimisse, mitte WordPressi turvamisse.
- GRANT ALL PRIVILEGES ON student_wordpress.* TO student@localhost IDENTIFIED BY 'student';
- Turbeteemalises artiklis võiks kasutajal olla kavalam parool kui kasutajanimi. Või siis selge märkus parool sobivaga asendada. Loodame, et wiki kasutajad pimesi käsklusi ei kopeeri.
- "Muuda wordpress konfiguratsiooni faili..."
- Hea praktika on kõigepealt näidisfail ümber kopeerida ja siis uut faili redigeerida, mitte vastupidi. Nii saab valehäälestuse korral muutmata näitefaili uuesti kasutada.
- "Muuda DB_NAME, DB_USER, DB_PASSWORD vastavalt näitele"
- Turvalisuse tõstmiseks on mõistlik ära muuta ka vaikimisi WordPressi SQL tabelite prefix wp_ mõne mittestandardse eesliidese vastu. See muudab keerukamaks otsesed ründed andmebaasi vastu.
- "Vali saidi nimi, kasutajanimi, salasõna ning meili aadress."
- Võiks olla märkus, et ka vaikimisi kasutajanimi "admin" ära vahetataks mõne keerukama kasutajanime vastu. Siis on paroolikräkkeritel vaja ära arvata ka kasutajanimi.
- "Nüüd jääb üle lisada vastavad read oma virtuaalsesse hosti (N.~/apache2/sites-enabled/wordpress lõppu..."
- Peaks vist olema /etc/apache2/sites-enabled/wp
- mod_evasive
- Millegipärast ei saanud selle juhendi järgi mod_evasive lahendust tööle... Toimisin täpselt juhendi järgi. Testisin ka skriptiga teisest arvutist - sajakordsel pöördumisel ei toimunud blokeeringut.
- mod_evasive ja Varnish Cache
- Kas artikkel on veebiserveri turvamisest või WordPressist endast? Arusaadavalt sõltub WordPressi turvalisus ka veebiserveri häälestusest, kuid kas siis võiks juba piiri tõmmata üldse operatsioonisüsteemi tasemele? Aitaks skoobi täpsustamine :)
- Varnish Cache
- See väärib omaette artiklit või tasuks viidata mõnele olamasolevale artiklile (nt https://wiki.itcollege.ee/index.php/Squid_transparent_proxy). Ning kas töökiiruse optimeerimine peaks olema ilmtingimata selle artikli osa?
- Super Cache
- Jällegi pigem üks töökiiruse optimeerimise vahend. DOS-i korral veidi leevendab, aga selle ründeliigi vastu häälestati juba mod_evasive. Siia artiklisse sobiks see siis, kui selgitada ja rõhutada staatilise ja dünaamiliste sisuga lehtede vahet.
- Spämmifilter, anti-bot lahendus, IP kontroll
- Vajalikud ja hea, et välja toodi.
- Kajastamata olulised teemad
- Kajastamata on WordPressi uuendamise temaatika turvaaukude leidmisel ja turvapaikade väljastamisel. Samuti oluliste andmete varundamine ja taastamine. Lisaks oleks võinud olla veel räägitud failiõigustest ja veebisisu administreerimisest üle SSL-i.
- Kokkuvõte
- Veidi raske oli hinnata ilma skoopi teadmata. Samuti võiks määratud olla ligilähedane andmete olulise tase, sest lihtsa pühapäeva-blogija leht ei vaja kaugeltki nii palju kaitset, kui mõne ettevõtte tulutootev veeb.
