Wordpressi turvalisuse suurendamine: Difference between revisions

From ICO wiki
Jump to navigationJump to search
No edit summary
 
(19 intermediate revisions by the same user not shown)
Line 1: Line 1:
=Sissejuhatus=
=Sissejuhatus=
Alljärgnevate punktide täitmisega on võimalik Wordpressi turvalisust märgatavalt tõsta.
Alljärgnevate punktide täitmisega on võimalik Wordpressi turvalisust märgatavalt tõsta. Mis võib firma puhul oluliselt mõjutada äriedukust.




Line 54: Line 54:
[[File:wpconfig.jpg]]
[[File:wpconfig.jpg]]


Sedasi tomides on wp-config.php väljaspool avalikusele näha olevat kataloogi ja ei ole enam hackeritele ligipääsetav ja wp-config.php asukoha pärast pole vaja muretseda, kuna WordPress oskab otsida wp-config.php faili ühe sammu võrra kataloogi puust ülevaltpoolt.
Sedasi toimides on wp-config.php väljaspool avalikusele näha olevat kataloogi ja ei ole enam hackeritele ligipääsetav ja wp-config.php asukoha pärast pole vaja muretseda, kuna WordPress oskab otsida wp-config.php faili ühe sammu võrra kataloogi puust ülevaltpoolt.
 
==Logimis botide eest kaitseks==
 
*Ammendava parooli variantide läbiproovimise(ammendav otsing) vastu skriptide poolt on abiks tugev CAPTCHA, mida pakub plugin "RetinaPost".
*Veel on kasulik plugin "Login Lockdown", mis blokeerib IP`sid, kust tulevad korduvad ebaõnnestunud logimise katsed.
*Sisselogimise protsessi kaitseks on hea plugin "Chap Secure Login". See aitab vältida seda, et keegi kuulab sinu liiklust peal ja saab sinu kasutajanime ja parooli sealt kätte, see plugin kasutab SHA-256 algoritmi.
 
[[File:wkaitse.jpg]]
 
Ülaltoodud meetodid on vajalikud kuna, vähegi populaarsemaks saanud blogidel on tunnis sadu, kui mitte tuhandeid ebaõnnestunud logimis üritusi.
 
==Peitke tekst "Powered by WordPress"==
 
Kuna hackeritele on igale veebisaidi tüübile vastavalt erinevad ründe taktikad ei ole mõtete neil elu liiga lihtsaks teha, oma veebisaidi tüüpi ise reklaamides.
 
Vaikimisi asub antud informatsioon failis footer.php ja seda on võimalik muuta veebilehitsejast Appearance > Editor. Kuna erinevad stiilid vajavad antud teksti eemaldamiseks erinevat taktikat siis tuleb vastava stiilikohta lihtsalt uurida, kuidas seda eemaldada.
 
==Regulaarne backup==
 
Kõige eelistatuim plugin, mis on tasuta ja mis võimaldab backup`i teha väga erinevatesse kohtadess on "BackWPup Free"
 
Nimekiri backupi võimalustest tootja kodulehelt:
 
*Store backup to directory
*Store backup to FTP server (needs ftp)
*Store backup to Dropbox (needs curl)
*Store backup to S3 services (needs curl)
*Store backup to Microsoft Azure (Blob) (needs PHP 5.3.2, curl)
*Store backup to RackSpaceCloud (needs PHP 5.3.2, curl)
*Store backup to SugarSync (needs curl)
 
==Viiruste vastane kaitse==
 
Tasuta viirtustevastast kaitset pakub plugin "Wordfence". Sai ei pruugi teadagi, et keegi on sinu lehtede sisule, midagi omalt poolt lisanud, see programm käib läbi kõik failid ja näitab, mis on failides muutunud ja võimaldab faili algversiooni taastamist. NB: Ennem algversioonide taastega alustamist tasub teha backup, kui pole olemas piisavalt värsket backupi. Kõikide failide puhul võrreldakse WordPressi repositooriumis olevaid faile sinu veebisaidi omadega ja otsitakse kõrvalekaldeid.
 
 
[[File:wordfence.png]]
 
 
[[File:wordfence_scan.png]]
 
==Jõudluse tõstmine==
 
Lihtsa seadistusega plugin selleks on "Quick Cache". See plugin hoiab kõik lehed ja postitused vahemälus, et iga lehe kuvamiseks mis pole muutunud ei tuleks teha päringuit andmebaasi poole pöördumiseks. See kiirendab tunduvalt sinu veebisaidi kiirust ja koos Varnish Cache`iga annavad töökinda veebisaidi.
 
 
[[File:quiccache.png]]
 
 
*Varnish Cache paigalduse ja konfigureerimise kohta saab lugeda siit https://wiki.itcollege.ee/index.php/WordPress_turvamine#Varnish_Cache-i_paigaldamine_ja_konfigureerimine
*WordPressi paigalduse ja konfigureerimise kohta saab lugeda siit https://wiki.itcollege.ee/index.php/WordPress_turvamine#Wordpressi_paigaldus_ja_konfigureerimine
 
=Kasutatud materjalid=
*https://wordpress.org/plugins/quick-cache/
*https://wordpress.org/plugins/wordfence/
*https://wordpress.org/plugins/backwpup/
*http://www.copyblogger.com/wordpress-website-security/
 
=Autor=
 
*Koostanud : Aare Uibomäe
*Grupp : AK31
*Kuupäev : 5.06.2014

Latest revision as of 10:44, 5 June 2014

Sissejuhatus

Alljärgnevate punktide täitmisega on võimalik Wordpressi turvalisust märgatavalt tõsta. Mis võib firma puhul oluliselt mõjutada äriedukust.


Vajalikud sammud Wordpressi turvalisemaks muutmiseks

Kustuta "admin" konto

Vaikimisi on Administraatori kasutajaks Wordpress`is "admin". See on, aga igale algajale hackerile teada seega on oluline, see ära vahetada. Wordpress`i paigalduse käigus oleks juba soovitav valida Administraatori kasutajale teine nimi.

Kui sa seda siiski tegid siis toimi järgmiselt, logi sisse kasutajaga "admin" ja mine Dashboard > Users > Add New User. Seal loo uus kasutaja Administraatori õigustes, antud näites on uueks loodud kasutajaks "David". Seejärel logi välja "admin" kasutajast ja logi sisse äsja loodud kasutajaga.


Seejärel mine Dashboard > Users ja kustuta "admin" kasutaja, pane tähele pildil tehtavat valikut, siis ei lähe kasutaja "admin" poolt loodu kaduma.

Uuenda WordPressi, pluginaid ja stiile

Uuenduste paigaldamine on kõige lihtsam viis hilisemate probleemide vältimiseks, muidugi tasub alati ennem uuenduste paigaldamist teha Backup, et kindlustada info säilimine paigaldamisel tekkiva vea korral.



Paigalda WP Security Scan ja Secure WordPress

Turvalisuse lisamiseks on vaja lisada pluginad, mis on mõeldud sellega tegelemiseks ja need on WP Security Scan and Secure WordPress.


WP Security Scan`iga tulevad kaasa mõned väga vajalikud tööriistad, mis aitavad sul WordPress`i muuta turvalisemaks:

  • Scanner kontrollib WordPressi failide õiguseid ja teeb punaseks read failide kohta, mille õigused võiksid olla väiksemaks. Failidel tasub alati hoida minimaalseid õiguseid, mis on vajalikud nende toimimiseks, see programm vaatabki üle, kas annab kuskilt õiguseid rohkem kinni keerata.


  • Password Tool, aga kontrollib, kas sinu parool on piisava tugevusega ja samuti pakub võimalust genereerida korralik parool.
  • Database Tool, võimaldab, aga teha Backupi WordPress`i andmebaasist ja lubab muuta ka andmebaasi eesliidet(prefix). See tee hacker`i jaoks märkimisväärselt raskemaks sinu andmebaasi tabelinimede äraarvamise, SQL Incecion rünnete korral.


Muuda wp-config.php asukohta

Kuna wp-config.php sisaldab kõiki WordPress`i seadeid ja konfiguratsiooni informatsiooni. Sellest tingitult, ei tohi see fail sattuda hackerite valdusesse, muidu on neil võimalik nakatada sinu blogi pahavaraga või kustutada kogu sisu. Sellest tingitult, liigutame wp-config.php faili ühe kataloogi puu astme võrra ülespoole.

 See on tavaline wp-config.php faili asukoht.
~/home/user/public_html/wp-config.php
 Lõplik asukoht peaks olema antud näite puhul selline.
~/home/user/wp-config.php


Sedasi toimides on wp-config.php väljaspool avalikusele näha olevat kataloogi ja ei ole enam hackeritele ligipääsetav ja wp-config.php asukoha pärast pole vaja muretseda, kuna WordPress oskab otsida wp-config.php faili ühe sammu võrra kataloogi puust ülevaltpoolt.

Logimis botide eest kaitseks

  • Ammendava parooli variantide läbiproovimise(ammendav otsing) vastu skriptide poolt on abiks tugev CAPTCHA, mida pakub plugin "RetinaPost".
  • Veel on kasulik plugin "Login Lockdown", mis blokeerib IP`sid, kust tulevad korduvad ebaõnnestunud logimise katsed.
  • Sisselogimise protsessi kaitseks on hea plugin "Chap Secure Login". See aitab vältida seda, et keegi kuulab sinu liiklust peal ja saab sinu kasutajanime ja parooli sealt kätte, see plugin kasutab SHA-256 algoritmi.

Ülaltoodud meetodid on vajalikud kuna, vähegi populaarsemaks saanud blogidel on tunnis sadu, kui mitte tuhandeid ebaõnnestunud logimis üritusi.

Peitke tekst "Powered by WordPress"

Kuna hackeritele on igale veebisaidi tüübile vastavalt erinevad ründe taktikad ei ole mõtete neil elu liiga lihtsaks teha, oma veebisaidi tüüpi ise reklaamides.

Vaikimisi asub antud informatsioon failis footer.php ja seda on võimalik muuta veebilehitsejast Appearance > Editor. Kuna erinevad stiilid vajavad antud teksti eemaldamiseks erinevat taktikat siis tuleb vastava stiilikohta lihtsalt uurida, kuidas seda eemaldada.

Regulaarne backup

Kõige eelistatuim plugin, mis on tasuta ja mis võimaldab backup`i teha väga erinevatesse kohtadess on "BackWPup Free"

Nimekiri backupi võimalustest tootja kodulehelt:

  • Store backup to directory
  • Store backup to FTP server (needs ftp)
  • Store backup to Dropbox (needs curl)
  • Store backup to S3 services (needs curl)
  • Store backup to Microsoft Azure (Blob) (needs PHP 5.3.2, curl)
  • Store backup to RackSpaceCloud (needs PHP 5.3.2, curl)
  • Store backup to SugarSync (needs curl)

Viiruste vastane kaitse

Tasuta viirtustevastast kaitset pakub plugin "Wordfence". Sai ei pruugi teadagi, et keegi on sinu lehtede sisule, midagi omalt poolt lisanud, see programm käib läbi kõik failid ja näitab, mis on failides muutunud ja võimaldab faili algversiooni taastamist. NB: Ennem algversioonide taastega alustamist tasub teha backup, kui pole olemas piisavalt värsket backupi. Kõikide failide puhul võrreldakse WordPressi repositooriumis olevaid faile sinu veebisaidi omadega ja otsitakse kõrvalekaldeid.



Jõudluse tõstmine

Lihtsa seadistusega plugin selleks on "Quick Cache". See plugin hoiab kõik lehed ja postitused vahemälus, et iga lehe kuvamiseks mis pole muutunud ei tuleks teha päringuit andmebaasi poole pöördumiseks. See kiirendab tunduvalt sinu veebisaidi kiirust ja koos Varnish Cache`iga annavad töökinda veebisaidi.



Kasutatud materjalid

Autor

  • Koostanud : Aare Uibomäe
  • Grupp : AK31
  • Kuupäev : 5.06.2014