27
11
10
Jak zabezpieczyć bloga przed włamaniem?
Dziś kolejna odpowiedź na pytanie czytelnika. Czy raczej na sugestię, odnośnie pomysłu na artykuł, bo dostałem e-maila takiej treści:
chodzi o to ze jezeli to jest mozliwe, zebys napisal co nieco o tym jak zabespieczac swojego bloga przed atakami hakerow, przez niecale 9 miesiecy zostalem zaatakowany 2 razy wiec wydaje mi sie ze wielu wiecej ma z tym problem.
Zabezpieczyć bloga przed włamaniami w 100% się nie da. Zawsze może znaleźć się jakiś haker, który znajdzie nową dziurę w skrypcie WordPress i wykorzysta ją, by się włamać na naszego bloga. Mimo to jest wiele sposobów, które ułatwiają włamywaczom życie. Opiszę więc dziś przede wszystkim te miejsca, którym warto poświęcić szczególną uwagę.
Loginy i hasła
To właśnie loginy i hasła są pierwszym zabezpieczeniem przed grzebaniem w naszym blogu. Ale tych par loginu i hasła jest więcej, niż tylko jedna, do panelu administracyjnego bloga.
Tak naprawdę bloga zabezpieczają hasła i loginy:
- do panelu administracyjnego bloga,
- do bazy danych SQL,
- do serwera FTP,
- do panelu administracyjnego naszego konta hostingowego,
- do systemów reklamowych i statystyk, oraz wszystkich innych zewnętrznych usług, z których korzystamy (AdSense, Feedburner, Analytics, etc.).
Jest tego sporo, prawda? Dlatego większość z nas aby ułatwić sobie życie ustawia gdzie tylko może ten sam login i hasło. I to jest błąd.
Zbyt proste hasło, bez żadnych udziwnień, to też błąd. Dobre hasło powinno być długie, trudne (nie data urodzenia czy imię psa), wykorzystujące wielkie i małe litery, cyfry i znaki specjalne. Najlepiej, by wygenerował je jakiś automat. Hasła wypadałoby też od czasu do czasu zmieniać, ale wiem, że nikomu się tego robić nie chce. 😉
Haseł nie należy zapamiętywać w komputerze. Tym bardziej dlatego, że mogą zostać stamtąd wyciągnięte przez wirusa. Znam przypadki ludzi, którzy zapamiętywali hasła do serwera FTP w Total Commanderze i w ten sposób dostawali na serwer wirusy…
Aktualizacja bloga i wtyczek
Aktualizacja plików wchodzących w skład bloga oraz wtyczek służy nie tylko poprawieniu funkcjonalności i usunięciu błędów. Często służy też poprawie bezpieczeństwa, a konkretnie załataniu znalezionych luk lub potencjalnie niebezpiecznych mechanizmów.
Blogi WordPress mają od iluśtam wersji wstecz wbudowaną funkcję automatycznej aktualizacji, zarówno samego skryptu, jak i wtyczek. I warto z niej korzystać.
Warto też w szablonie wyłączyć wyświetlanie wersji skryptu w kodzie bloga. Jeśli masz bloga zaktualizowanego do wersji o kilka edycji wcześniejszej, może on przez to być bardziej narażony na atak. W końcu skąd inaczej jakiś leniwy włamywacz ma wiedzieć, jaką wersję skryptu masz u siebie, jeśli zablokujesz wyświetlanie tej informacji?
Kopie zapasowe plików i bazy
Wprawdzie wykonanie kopii zapasowej w żaden sposób nie chroni przed włamaniem, ale za to ułatwia przywrócenie bloga do porządku w razie czego.
Ustawienie właściwych praw dostępu do plików i ich widoczności
Niektóre z plików skryptu WordPress mają większe znaczenie, niż inne. Istotny jest zwłaszcza plik wpconfig.php, który przechowuje dane dostępowe do bazy danych i parę innych ważnych informacji.
Warto zadbać o ukrycie zawartości katalogów z wtyczkami (wp-content/plugins). Nie ma się co chwalić posiadanymi wtyczkami, zwłaszcza jeśli są na rynku od dość dawna i od dawna nie były aktualizowane. Niektórzy polecają ukrycie również zawartości katalogu z szablonami (wp-content/themes). Najprościej jest zablokować wyświetlanie zawartości katalogów wrzucając do nich pusty plik o nazwie index.php.
Wyłączenie rejestracji użytkowników
Wprawdzie nie wiem, po co, ale podobno warto wyłączyć możliwość rejestrowania się na blogu nowych użytkowników. W sumie to nie wiem po co jest ta funkcja, skoro wszystko można świetnie zrobić bez niej.
Zabezpieczenie domowego komputera
Nawet przy najlepiej zabezpieczonym blogu, słabą stroną zawsze jest komputer jego właściciela. Nawet jeśli nie zapisujesz haseł w Total Commanderze czy przeglądarce internetowej, jakiś złośliwy wirus czy trojan może Ci je wykraść i przesłać swojemu autorowi.
Aby tego uniknąć:
- instaluj najnowsze poprawki do systemu operacyjnego
- i do przeglądarki,
- zainstaluj program antywirusowy i aktualizuj bazę danych sygnatur wirusów,
- zainstaluj firewalla,
- unikaj instalowania programów pochodzących z nieznanego źródła, w szczególności tych na licencji adware.
To chyba na tyle, jeśli potrzebujesz bardziej dokładnego poradnika, omawiającego zagadnienie z większą liczbą szczegółów, zajrzyj do tutoriala na stronie Codeksu WordPressa.
Wpisy powiązane tematycznie:22 komentarze do artykułu “Jak zabezpieczyć bloga przed włamaniem?”
Pozostaw komentarz
Pamiętaj tylko proszę o polityce komentarzy! Komentarze służą do wyrażania opinii na temat opublikowanego tekstu, albo zadawania pytań jego dotyczących. Nie służą do reklamowania własnych stron ani zadawania pytań nie związanych z tematem wpisu. Jeśli masz pytanie, zadaj je na forum o zarabianiu na blogach albo napisz do mnie e-maila.
Bardzo bardzo bardzo skuteczną metodą jest dodanie reguł logowania po IP co pozwali nam skutecznie ograniczyć pulę do konkretnie naszych adresów i wtedy haker to musiałby włamać się nie to na naszego bloga a ogólnie konto hostingowego aby to ominąć 🙂
Dodawanie reguł logowania po IP jest fajne – gorzej jak będziesz na wyjeździe i trzeba będzie się zalogować 😉
Ja jakiś czas temu popełniłem wpis na temat wtyczek do zabezpieczeń: http://wordpress.praktycznie.net/3-wtyczki-dla-bezpieczenstwa-bloga
zapraszam do przeczytania – mam nadzieję że się przyda tym którzy na www się specjalnie nie znają 😉
Pozdrawiam
Na wyjeździe po ftp można dodać kolejne 🙂
Tak jak piszesz 100% zabezpieczenia przed włamaniem nie ma.
Dlatego właśnie kopia bezpieczeństwa wykonywana co jakiś czas to podstawa.
A czy wiesz może jak na blogspocie zrobić taką kopię?
Blokada w .htaccess po IP/zakresie szkodliwych adresów oraz po refererze. Raz przeżyłem atak w postaci setek wejść co o mało nie zabiło serwera.
Warto też pamiętać o takiej prostej czynności, jak unikanie nieznajomych stron internetowych szczególnie o treści pornograficznej.
Ciekawe ile osób tutaj zaglądających często zmienia hasła? Pewnie co trzecia osoba… Fajny wpis, na pewno się przyda.
@Luke
Narzędzia->Podstawowe->Eksportuj bloga
Fajnie, że ktoś napisał artykuł o tym w sposób na tyle nietechniczny, że zrozumiały dla normalnego zjadacza chleba. Ja bym za bardzo teoretyzował i tłumaczył zawiłości programistyczne. ;]
Zapomniałeś o najważniejszym: SSL. Nic po udziwnionych hasłach, jeśli lecą czystym tekstem po Twojej sieci lokalnej i Internecie.
Co do haseł: potwierdzam, najlepiej dla każdego serwisu mieć oddzielnie wygenerowane hasło. W spamiętaniu bardzo pomoże np. 1Password, świetny program do przechowywania haseł i ich generowaniu.
„Bardzo bardzo bardzo skuteczną metodą jest dodanie reguł logowania po IP co pozwali nam skutecznie ograniczyć pulę do konkretnie naszych adresów i wtedy haker to musiałby włamać się nie to na naszego bloga a ogólnie konto hostingowego aby to ominąć” Czy takie coś można zrobić na Bloggerze?
@Paweł o ile kojarzę raczej nie. Polecam za to http://lastpass.com/ i wieloznakowe hasła 🙂
Można też zmienić prefix w bazie danych z normalnych wp na coś innego 🙂 – to przy okazji włamań przez bazę – może trochę utrudnić sprawę 🙂
@Marcin Godlewski: prefix w bazie nic nie zmieni
Podstawowym i najlepszym zabezpieczeniem naszego panelu byłaby zmiana ścieżki /wp-admin/ na coś mniej oczywistego.
@iTomek – spacjalistą od takich spraw nie jestem 🙂
Zmiana ścieżki to też dobry pomysł.
@iTomek: taka metoda jest bardzo dobra dla dziurawych popularnych CMS-ów np. Joomla.
Główna ochorna: przeciwko botom, które testują wykryte wcześniej błędy.
Tak jak napisał Krzysztof, nie da się w 100% zabezpieczyć przed włamaniem. Dlatego to co można robić to po pierwsze zmniejszać ryzyko utraty danych z bloga, po drugie przygotować się na jego utratę.
Zmniejszanie ryzyka, to to o czym piszecie powyżej: odpowiednie hasło (ale przesyłane do serwera za pomocą połączenia szyforwanego – czyli do panelu administracyjnego po SSL, i SSH, nie FTP!), nie używanie wersji ze znanymi błędami itd.
Przygotowanie na utratę, to kopia bezpieczeństwa. To podstawa, od której nie wymyślono nic lepszego. Jeżeli chcesz zabezpieczyć swoje dane – rób kopię.
Zmiana ścieżki do panelu w WordPressie to nie jest dobry pomysł. Podobnie zablokowanie dostępu do panelu za pomocą .htaccess (choć tu da się ominąć problem).
Problem polega na tym, że w katalogu /wp-admin/ znajduje się plik admin-ajax.php, który odpowiada za obsługę technologii Ajax. Jeśli zmienisz ścieżkę lub zablokujesz dostęp, wszystko co używa Ajaxa padnie.
W 3.1 Ajax ma być wykorzystywany w jeszcze większym stopniu, zwłaszcza w panelu administracyjnym. Ciekawe, czy przy tej okazji deweloperzy postanową przenieść obsługę tej technologii poza katalog administracyjny. Bo wiedzą, że taki problem istnieje i coś planowali, ale nie wiadomo co dalej.
Jak się ma robione regularnie kopie to żadne włamanie na bloga nie jest straszne.
@Marcin: w piękne bajki wierzysz 😉 Gdyby to było takie proste…
Najważniejsze to kopia bezpieczeństwa. I wtedy żadne włamanie na serwer nie jest straszne 🙂
@Łukasz: jasne, szczególnie jak wykradną prywatne dane…