Talk:WordPress turvamine: Difference between revisions

From ICO wiki
Jump to navigationJump to search
Rsiitan (talk | contribs)
No edit summary
Rreinu (talk | contribs)
 
(30 intermediate revisions by 6 users not shown)
Line 1: Line 1:
==Hinnang 1==
Hindajad
----
Olle Tuur A32
Heigo Võsujalg A31
Toomas Rohumets A31
Tarmo Trumm A31
----
{|border="2"
!KRITEERIUM
!KAAL
!HINNANG
!KOMMENTAAR
|-
|Wordpressi paigaldus
|3
|3
|Toimis
|-
|mod_evasive paigaldus ja konfigureerimine
|2
|2
|Toimis
|-
|Varnish Cache paigaldamine ja konfigureerimine
|3
|3
|Toimis
|-
|Super Cache
|3
|3
|Toimis
|-
|Iptables
|2
|2
|Toimis
|-
|Teised turvameetodid
|2
|1
|Vajas täpsustamist
|-
|Vormistus
|2
|1,5
|Ei ole terviklik, liiga killustatud, puudub loogiline ülesehitus, esines grammatika ja ortograafia vigu.
|-
|Nõuded
|1
|1
|Eeldused on mainitud
|-
|Teenuste testimine
|2
|1,5
|Lisatud on testimise võimalused.
|-
|'''Kokku'''
|'''20'''
|'''18'''
|
|}
----
Artiklist puuduvad:
Artiklist puuduvad:
*eeldused ( kasutaja kogemus, võrgu seadistus )
*eeldused ( kasutaja kogemus, võrgu seadistus ) - '''parandatud'''
*Paki lahti wordpressi failid /var/www kausta:
*Paki lahti wordpressi failid /var/www kausta:


Line 11: Line 79:
*Esimene, mis me teeme on default pordi muutmine. Tuleb muuta faili /etc/default/varnish:
*Esimene, mis me teeme on default pordi muutmine. Tuleb muuta faili /etc/default/varnish:
  nano /etc/default/varnish
  nano /etc/default/varnish
Kust mida täpsemalt muuta tuleb?  
Kust mida täpsemalt muuta tuleb? - '''parandatud'''
*Apache konfi muutmine (varnish): pole mainitud, kumba kasutada tuleks kas 80 lõpuga või 8000 lõpuga faili.
*Apache konfi muutmine (varnish): pole mainitud, kumba kasutada tuleks kas 80 lõpuga või 8000 lõpuga faili.
Järgnev käsk:
Järgnev käsk:
Line 18: Line 86:


/etc/init.d/varnish restart/ käsuga tuli HTTP accelerator varnished tulemus FAIL
/etc/init.d/varnish restart/ käsuga tuli HTTP accelerator varnished tulemus FAIL
Varnishi osa on '''parandatud'''


Pooleli jäime super cachi juures
Pooleli jäime super cachi juures
Line 39: Line 109:


on öeldud, et /var/www/wordpress-i tuleb luua fail .htaccess. Ei ole öeldud, kuhu peab reeglid kirjutama. - '''parandatud'''
on öeldud, et /var/www/wordpress-i tuleb luua fail .htaccess. Ei ole öeldud, kuhu peab reeglid kirjutama. - '''parandatud'''
==Hinnang 2==
Hindaja: Reinu (AK31)
Kuupäev: 18.12.2011
====Hindaja deklaratsioon====
Alati on teiste töö kallal norida lihtsam ja hindaja pole kaugeltki kindel, kas pika artikli korral ta ise puhtalt pääseks.
====Hinnangud====
Kasutati 2010. õppeaastal õppejõud Ernitsa poolt ette antud kriteeriume.
{| class="wikitable" border="1"
|-
! KRITEERIUM
! KAAL
! HINNANG
! SELGITUS
|-
| Versioonide ajalugu
| 1
| 0.5
| Peaaegu olemas, kui lugeda timestamp versiooninumbriks :) Versioonide kokkuvõtvat ajalugu kuvatud pole, kuid wikis aitab alati "history" sakk.
|-
| Autor(id)
|  1
|  1
|  Olemas. Kui norida, siis see võiks asuda töö alguses, mitte lõpus.
|-
| Viimase muutmise aeg
|  1
|  1
|  Olemas. Nutikas, et on kasutatud ''revision'' muutujaid.
|-
| Skoop
|  1
|  0
|  Puudub skoobi peatükk, mis kirjeldab töö vaatluse all olevad teemad. See aitab aru saada, mida täpselt on tahetud käsitleda ja mis on taotuslikult välja jäetud, mitte unustatud.
|-
| Sissejuhatus
|  1
|  1
|  Olemas, aga vale peatüki (Eeldused) all. Lisaks võiks see olla veidi mahukam ning rohkem tutvustada WordPressi. Lisaks on kenasti olemas osade tehniliste alampeatükkide juures on eraldi pisikene sissejuhatus.
|-
| Nõuded
|  1
|  1
|  Olemas Eeldused peatükina. Artikli esimese Ubuntu serverile viitava rea võiks tõsta samuti siia alla.
|-
| Installeerimise ja konfigureerimise osa
|  3
|  3
|  Olemas.
|-
| Tehniliselt korrektne
|  3
|  2.5
|  Peaaegu korrektne. Ma ei söenda 100% väita, et mod_evasive tõrge on juhendi viga, kuid täpselt samm-sammult artiklit järgides ma seda tööle igatahes ei saanud. Kasutasin värselt installitud serverit ja muid muudatusi iseseisvalt ei teinud.
|-
| Korraldused on tekstist eristatavad
|  1
|  1
|  Olemas.
|-
| Käskude väljundid on tekstist eristatavad
|  1
|  1
|  Esines vähe, aga oli kenasti eristatav.
|-
| Muutuvad osad on eristatavad
|  1
|  0.5
|  Tavateksti sees, mitte ''preformatted'' alal, võiksid olla süsteemsed väärtused (failiteed, programminimed, muutujad jms) kogu artikli ulatuses paremini esiletõstetud, nt ''kaldkirjas''. Praegu on osaliselt paksus kirjas (nt failiteed), osalt üldse vormindamata.
|-
| Tekst on loetav
|  1
|  0.5
|  Üldine struktuur on olemas. Kasutatud kirjanduse viited ja skoop on puudu.
|-
| Tekst on arusaadav
|  2
|  1
|  Tekst oli arusaadav. Pole kasutatud läbivalt ühesugust kirjutusviisi. Nt "Tee pakettidele upgrade:", "Paigaldamise käsk:", "Nüüd teeme Varnishile restardi...". Esines palju õigekirjavigu. Kohati on teksti sees põhjendamatult kasutatud ingliskeelseid termineid.
|-
| Teenuse varundamine
|  1
|  0
|  Üks tavapärane turvameede on oluliste andmete (failid, andmebaas) varundamine. Seda artiklis kajastatud ei olnud.
|-
| Teenuse taastamine
|  1
|  0
|  Kuna pole varundamist kajastatud, siis pole ka midagi taastada.
|-
| Kokku
| 20
| 14
| Pika ja keeruka artikli kohta oli tulemus korralik "koolipoisi" hinne :)
|}
====Kommentaarid sisu kohta====
;aptitude install apache2 mysql-server ssh php5 php5-mysql apache2-utils
: SSH võiks välja jätta, sest sellest tarkvarast rohkem siin artiklis ei räägita ning see teema puutub üldisesse serveri administreerimisse, mitte WordPressi turvamisse.
;GRANT ALL PRIVILEGES ON student_wordpress.* TO student@localhost IDENTIFIED BY 'student';
: Turbeteemalises artiklis võiks kasutajal olla kavalam parool kui kasutajanimi. Või siis selge märkus parool sobivaga asendada. Loodame, et wiki kasutajad pimesi käsklusi ei kopeeri.
;"Muuda wordpress konfiguratsiooni faili..."
: Hea praktika on kõigepealt näidisfail ümber kopeerida ja siis uut faili redigeerida, mitte vastupidi. Nii saab valehäälestuse korral muutmata näitefaili uuesti kasutada.
;"Muuda DB_NAME, DB_USER, DB_PASSWORD vastavalt näitele"
: Turvalisuse tõstmiseks on mõistlik ära muuta ka vaikimisi WordPressi SQL tabelite prefix ''wp_'' mõne mittestandardse eesliidese vastu. See muudab keerukamaks otsesed ründed andmebaasi vastu.
;"Vali saidi nimi, kasutajanimi, salasõna ning meili aadress."
: Võiks olla märkus, et ka vaikimisi kasutajanimi "admin" ära vahetataks mõne keerukama kasutajanime vastu. Siis on paroolikräkkeritel vaja ära arvata ka kasutajanimi.
;"Nüüd jääb üle lisada vastavad read oma virtuaalsesse hosti (N.~/apache2/sites-enabled/wordpress lõppu..."
: Peaks vist olema ''/etc/apache2/sites-enabled/wp''
;mod_evasive
: Millegipärast ei saanud selle juhendi järgi ''mod_evasive'' lahendust tööle... Toimisin täpselt juhendi järgi. Testisin ka skriptiga teisest arvutist - sajakordsel pöördumisel ei toimunud blokeeringut.
;mod_evasive ja Varnish Cache
: Kas artikkel on veebiserveri turvamisest või WordPressist endast? Arusaadavalt sõltub WordPressi turvalisus ka veebiserveri häälestusest, kuid kas siis võiks juba piiri tõmmata üldse operatsioonisüsteemi tasemele? Aitaks skoobi täpsustamine :)
; Varnish Cache
: See väärib omaette artiklit või tasuks viidata mõnele olamasolevale artiklile (nt https://wiki.itcollege.ee/index.php/Squid_transparent_proxy). Ning kas töökiiruse optimeerimine peaks olema ilmtingimata selle artikli osa?
;Super Cache
: Jällegi pigem üks töökiiruse optimeerimise vahend. DOS-i korral veidi leevendab, aga selle ründeliigi vastu häälestati juba ''mod_evasive''. Siia artiklisse sobiks see siis, kui selgitada ja rõhutada staatilise ja dünaamiliste sisuga lehtede vahet.
;Spämmifilter, anti-bot lahendus, IP kontroll
: Vajalikud ja hea, et välja toodi.
;Kajastamata olulised teemad
: Kajastamata on WordPressi uuendamise temaatika turvaaukude leidmisel ja turvapaikade väljastamisel. Samuti oluliste andmete varundamine ja taastamine. Lisaks oleks võinud olla veel räägitud failiõigustest ja veebisisu administreerimisest üle SSL-i.
;Kokkuvõte
: Veidi raske oli hinnata ilma skoopi teadmata. Samuti võiks määratud olla ligilähedane andmete olulise tase, sest lihtsa pühapäeva-blogija leht ei vaja kaugeltki nii palju kaitset, kui mõne ettevõtte tulutootev veeb.

Latest revision as of 15:14, 14 November 2012

Hinnang 1

Hindajad


Olle Tuur A32

Heigo Võsujalg A31

Toomas Rohumets A31

Tarmo Trumm A31


KRITEERIUM KAAL HINNANG KOMMENTAAR
Wordpressi paigaldus 3 3 Toimis
mod_evasive paigaldus ja konfigureerimine 2 2 Toimis
Varnish Cache paigaldamine ja konfigureerimine 3 3 Toimis
Super Cache 3 3 Toimis
Iptables 2 2 Toimis
Teised turvameetodid 2 1 Vajas täpsustamist
Vormistus 2 1,5 Ei ole terviklik, liiga killustatud, puudub loogiline ülesehitus, esines grammatika ja ortograafia vigu.
Nõuded 1 1 Eeldused on mainitud
Teenuste testimine 2 1,5 Lisatud on testimise võimalused.
Kokku 20 18

Artiklist puuduvad:

  • eeldused ( kasutaja kogemus, võrgu seadistus ) - parandatud
  • Paki lahti wordpressi failid /var/www kausta:
sudo tar zxvf latest.tar.gz --directory=/var/www/

Kas sudo on endiselt vajalik? - parandatud

  • nano /etc/apache2/sites-avalible/wp kahjuks on tühi :'( - parandatud
  • Nüüd jääb üle lisada vastavad read oma virtuaalsesse hosti (N:~/apache2/sites-enabled/wordpress lõppu)

Kõige lõppu? Või <VirtualHosti> taggide vahele? - parandatud

  • Esimene, mis me teeme on default pordi muutmine. Tuleb muuta faili /etc/default/varnish:
nano /etc/default/varnish

Kust mida täpsemalt muuta tuleb? - parandatud

  • Apache konfi muutmine (varnish): pole mainitud, kumba kasutada tuleks kas 80 lõpuga või 8000 lõpuga faili.

Järgnev käsk:

nano apt-get install libapache2-mod-rpaf

ei taha kohe mitte töötada.

/etc/init.d/varnish restart/ käsuga tuli HTTP accelerator varnished tulemus FAIL

Varnishi osa on parandatud

Pooleli jäime super cachi juures

Super Cache

define ('WP_CACHE', true); 

peab olema enne viimast require rida. Ei ole öeldud, kus asub .htaccess fail ja lisaks selle faili tekitab wordpress ise (pole vaja näppida). - parandatud

WP näitas, et WP Super Cache is disabled. Please go to the plugin admin page to enable caching. - Ei ole öeldud, et caching tuleb sisse lülitada. - parandatud

cd /var/www/wp-content/plugins/

sellist kausta pole olemas. Peaks olema cd /var/www/wordpress/wp-content/plugins/ - parandatud


unzip growmap-anti-spambot-plugin.1.1.zip

Ei ole öeldud, et peaksime installima unzipi. - parandatud

IP kontroll:

on öeldud, et /var/www/wordpress-i tuleb luua fail .htaccess. Ei ole öeldud, kuhu peab reeglid kirjutama. - parandatud


Hinnang 2

Hindaja: Reinu (AK31)

Kuupäev: 18.12.2011

Hindaja deklaratsioon

Alati on teiste töö kallal norida lihtsam ja hindaja pole kaugeltki kindel, kas pika artikli korral ta ise puhtalt pääseks.

Hinnangud

Kasutati 2010. õppeaastal õppejõud Ernitsa poolt ette antud kriteeriume.

KRITEERIUM KAAL HINNANG SELGITUS
Versioonide ajalugu 1 0.5 Peaaegu olemas, kui lugeda timestamp versiooninumbriks :) Versioonide kokkuvõtvat ajalugu kuvatud pole, kuid wikis aitab alati "history" sakk.
Autor(id) 1 1 Olemas. Kui norida, siis see võiks asuda töö alguses, mitte lõpus.
Viimase muutmise aeg 1 1 Olemas. Nutikas, et on kasutatud revision muutujaid.
Skoop 1 0 Puudub skoobi peatükk, mis kirjeldab töö vaatluse all olevad teemad. See aitab aru saada, mida täpselt on tahetud käsitleda ja mis on taotuslikult välja jäetud, mitte unustatud.
Sissejuhatus 1 1 Olemas, aga vale peatüki (Eeldused) all. Lisaks võiks see olla veidi mahukam ning rohkem tutvustada WordPressi. Lisaks on kenasti olemas osade tehniliste alampeatükkide juures on eraldi pisikene sissejuhatus.
Nõuded 1 1 Olemas Eeldused peatükina. Artikli esimese Ubuntu serverile viitava rea võiks tõsta samuti siia alla.
Installeerimise ja konfigureerimise osa 3 3 Olemas.
Tehniliselt korrektne 3 2.5 Peaaegu korrektne. Ma ei söenda 100% väita, et mod_evasive tõrge on juhendi viga, kuid täpselt samm-sammult artiklit järgides ma seda tööle igatahes ei saanud. Kasutasin värselt installitud serverit ja muid muudatusi iseseisvalt ei teinud.
Korraldused on tekstist eristatavad 1 1 Olemas.
Käskude väljundid on tekstist eristatavad 1 1 Esines vähe, aga oli kenasti eristatav.
Muutuvad osad on eristatavad 1 0.5 Tavateksti sees, mitte preformatted alal, võiksid olla süsteemsed väärtused (failiteed, programminimed, muutujad jms) kogu artikli ulatuses paremini esiletõstetud, nt kaldkirjas. Praegu on osaliselt paksus kirjas (nt failiteed), osalt üldse vormindamata.
Tekst on loetav 1 0.5 Üldine struktuur on olemas. Kasutatud kirjanduse viited ja skoop on puudu.
Tekst on arusaadav 2 1 Tekst oli arusaadav. Pole kasutatud läbivalt ühesugust kirjutusviisi. Nt "Tee pakettidele upgrade:", "Paigaldamise käsk:", "Nüüd teeme Varnishile restardi...". Esines palju õigekirjavigu. Kohati on teksti sees põhjendamatult kasutatud ingliskeelseid termineid.
Teenuse varundamine 1 0 Üks tavapärane turvameede on oluliste andmete (failid, andmebaas) varundamine. Seda artiklis kajastatud ei olnud.
Teenuse taastamine 1 0 Kuna pole varundamist kajastatud, siis pole ka midagi taastada.
Kokku 20 14 Pika ja keeruka artikli kohta oli tulemus korralik "koolipoisi" hinne :)


Kommentaarid sisu kohta

aptitude install apache2 mysql-server ssh php5 php5-mysql apache2-utils
SSH võiks välja jätta, sest sellest tarkvarast rohkem siin artiklis ei räägita ning see teema puutub üldisesse serveri administreerimisse, mitte WordPressi turvamisse.
GRANT ALL PRIVILEGES ON student_wordpress.* TO student@localhost IDENTIFIED BY 'student';
Turbeteemalises artiklis võiks kasutajal olla kavalam parool kui kasutajanimi. Või siis selge märkus parool sobivaga asendada. Loodame, et wiki kasutajad pimesi käsklusi ei kopeeri.
"Muuda wordpress konfiguratsiooni faili..."
Hea praktika on kõigepealt näidisfail ümber kopeerida ja siis uut faili redigeerida, mitte vastupidi. Nii saab valehäälestuse korral muutmata näitefaili uuesti kasutada.
"Muuda DB_NAME, DB_USER, DB_PASSWORD vastavalt näitele"
Turvalisuse tõstmiseks on mõistlik ära muuta ka vaikimisi WordPressi SQL tabelite prefix wp_ mõne mittestandardse eesliidese vastu. See muudab keerukamaks otsesed ründed andmebaasi vastu.
"Vali saidi nimi, kasutajanimi, salasõna ning meili aadress."
Võiks olla märkus, et ka vaikimisi kasutajanimi "admin" ära vahetataks mõne keerukama kasutajanime vastu. Siis on paroolikräkkeritel vaja ära arvata ka kasutajanimi.
"Nüüd jääb üle lisada vastavad read oma virtuaalsesse hosti (N.~/apache2/sites-enabled/wordpress lõppu..."
Peaks vist olema /etc/apache2/sites-enabled/wp
mod_evasive
Millegipärast ei saanud selle juhendi järgi mod_evasive lahendust tööle... Toimisin täpselt juhendi järgi. Testisin ka skriptiga teisest arvutist - sajakordsel pöördumisel ei toimunud blokeeringut.
mod_evasive ja Varnish Cache
Kas artikkel on veebiserveri turvamisest või WordPressist endast? Arusaadavalt sõltub WordPressi turvalisus ka veebiserveri häälestusest, kuid kas siis võiks juba piiri tõmmata üldse operatsioonisüsteemi tasemele? Aitaks skoobi täpsustamine :)
Varnish Cache
See väärib omaette artiklit või tasuks viidata mõnele olamasolevale artiklile (nt https://wiki.itcollege.ee/index.php/Squid_transparent_proxy). Ning kas töökiiruse optimeerimine peaks olema ilmtingimata selle artikli osa?
Super Cache
Jällegi pigem üks töökiiruse optimeerimise vahend. DOS-i korral veidi leevendab, aga selle ründeliigi vastu häälestati juba mod_evasive. Siia artiklisse sobiks see siis, kui selgitada ja rõhutada staatilise ja dünaamiliste sisuga lehtede vahet.
Spämmifilter, anti-bot lahendus, IP kontroll
Vajalikud ja hea, et välja toodi.
Kajastamata olulised teemad
Kajastamata on WordPressi uuendamise temaatika turvaaukude leidmisel ja turvapaikade väljastamisel. Samuti oluliste andmete varundamine ja taastamine. Lisaks oleks võinud olla veel räägitud failiõigustest ja veebisisu administreerimisest üle SSL-i.
Kokkuvõte
Veidi raske oli hinnata ilma skoopi teadmata. Samuti võiks määratud olla ligilähedane andmete olulise tase, sest lihtsa pühapäeva-blogija leht ei vaja kaugeltki nii palju kaitset, kui mõne ettevõtte tulutootev veeb.