Jako, że na forum padały pytania dotyczące ochrony Wordpressa przed atakami postanowiłem napisać mini poradnik jak to zrobić, część z jego punktów dotyczy nie tylko Wordpressa, ale i wielu innych CMS. Poradnik będzie składał się z kilku części pisanych w miarę możliwości czasowych. Część 1 1. Kasowanie tagu generator Prawie w każdej templatce znajdziemy wpis z tagiem generator mający treść: Code: <meta name="generator" content="WordPress <?php bloginfo('version'); ?>" /> Mimo, że autorzy proszą o zostawienie powyższego tagu, nie jest bezpieczne jego zachowanie. Podobna sprawa dotyczy np CMS Joomla i jego wpisu do tagu generator. Opis jak usunąć ten wpis znajdzie się w oddzielnym wpisie. 2. Zmiana nazwy (loginu) administratora Zmiana ma na celu między innymi ochronę przed atakami typu brutal force Aby to zrobić należy połączyć się z bazą danych używając phpMyAdmin wpisując w pasku adresu: http://sql.nazwaserwera.home.pl dane bazy danych wordpressa znajdziemy między innymi na serwerze FTP wchodząc do folderu wordpressa. Plikiem w jakim te dane się znajdują jest plik wp-config.php Nazwa użytkownika/bazy Code: define('DB_USER', '123456_00001'); Hasło do bazy: Code: define('DB_PASSWORD', '^%&FGF^%ghj56wt3uyt'); Po zalogowaniu klikamy na naszą bazę w menu po lewej stronie i z rozwiniętej listy wybieramy tabelę wp_users i zmieniamy wartość w polach user_login, user_nickname oraz display_name klikając na nazwę admin i zmieniając wpis, po zmianie klikamy ENTER Od tej chwili możemy logować się inną nazwą administratora.
Zmianę nazwy loginu, możemy także wykonać w panelu administratora WordPress. Bez instalacji dodatkowych wtyczek, w sekcji Użytkownicy dodajemy nowego użytkownika, np. jan.kowalski a następnie nadajemy mu hasło, pamiętając o podaniu prawidłowego adresu e-mail. Nadajemy mu uprawnienia administratora. Wylogowujemy się z panelu i logujemy ponownie nazwą nowego użytkownika, np. jan.kowalski Wracamy do sekcji Użytkownicy i kasujemy konto admin. Jeśli dodaliśmy adminem jakieś wpisy, pojawi się opcja przeniesienia podpisu na nowe konto. Zmiana nazwy loginu jest jedną z podstawowych form ochrony systemów CMS. Login admin jest najczęściej stosowanym loginem dostępu, co powoduje, że w przypadku potencjalnego ataku, roboty czy hakerzy skoncentrują swoje siły jedynie na złamaniu hasła. Unikalny login + silne hasło na pewno wpłyną pozytywnie na ochronę systemu.
Grzegorz faktycznie masz rację, nawet nie pomyślałem o tej czynności 3. Wordpress na home.pl jest zabezpieczony przed dostępem do jego wewnętrznych folderów przez co zabezpieczanie folderów (prócz wp-admin) można pominąć. Jak zabezpieczyć folder wp-admin dodatkowym hasłem: tworzymy plik .htaccess o treści: Code: AuthName "Podaj haslo" AuthType Basic AuthUserFile .htpasswd Require valid-user wgrywamy go do katalogu wp-admin wchodzimy na stronę: http://aspirine.org/htpasswd_en.html wybieramy po prawej stronie w oknie 2. Generated htpasswd file pole crypt(), w pole 1. Users and passwords wpisujemy swojego użytkownika i po spacji wpisujemy swoje hasło, po prawej stronie klikamy Generate htpasswd content i kopiujemy zawartość powyższego pola. tworzymy plik .htpasswd wklejamy do niego to co skopiowaliśmy z poprzedniego okna, zapisujemy plik i wgrywamy w to samo miejsce w które wgraliśmy plik .htaccess. Od tej pory wchodząc na admina wordpressa będziemy proszeni o dodatkowe hasło. To dodatkowe hasło da znacznie silniejsze zabezpieczenie panelu wordpressa i jest polecane wszystkich którym zależy na blogu. Więcej informacji o plikach .htaccess i .htpasswd: https://pomoc.home.pl/baza-wiedzy/jak-korzystac-z-pliku-htpasswd-na-serwerze-w-home-pl/
4. Wyłączanie rejestracji użytkowników (jeśli nie potrzebna) W ustawieniach ogólnych odznaczamy checkbox przy "każdy może się zarejestrować" Jest to dość poważna sprawa i jeśli nie chcemy aby użytkownicy się rejestrowali, powinniśmy wyłączyć dla bezpieczeństwa tą funkcję.
5. Zainstaluj certyfikat SSL Tak dla Wordpressa również warto zainstalować taki certyfikat, między innymi aby nigdzie nie wyciekły nasze dane logowania jak i dlatego aby blog pozycjonował się jeszcze lepiej.
6. Zainstaluj wtyczkę Login Lockdown - pozwala ona kontrolować logowania do panelu jak i blokować dostęp po kilku nieudanych logowaniach. https://wordpress.org/plugins/login-lockdown/
7. Jeśli to możliwe nie ustawiaj prefixu dla tabel wp_ lecz całkiem inny, częściowo zabezpieczy to naszego bloga przed SQL Injection
poprosze przyklad konfiguracji Login Lockdown moze byc podstawowa bo pewnie zaraz napiszesz @TheL ze ma pierdyliard opcji takze te podstawowe tylko poza tym jakis videotutorial by sie zdal.Caly czas bede was namawial na Ochrone premium Wordpress hosting skoro sucuri.net funkcjonuje przy swoich cenach ktore na nasze realia sa dosc wysokie znaczy ze sie da
@Jephrey - proszę, załóż osobny wątek, zamieść jakieś screeny, zapytaj z czym dokładnie masz problem. Podaj przykłady. Poszukamy odpowiedzi. Jak sam napisałeś, dodatek na pewno ma wiele możliwości konfiguracji i równie wiele wariantów, które mogą być konfiguracją podstawową. W chwili obecnej nie świadczymy wsparcia płatnego dla WP ani innych CMS, bezpłatnego także. Możesz kierować swoje pytania na naszym forum, jeśli będziemy w stanie, my lub inni użytkownicy pomóc Ci, zrobimy to. Jeśli nie, pozostaje forum Wordpressa. Poinformujemy o wprowadzeniu nowego typu supportu jak tylko taki powstanie
