Voix 2

20 connexions et bouts de sécurité de Wordpress pour maintenir des intrus partis

Soumya

13 novembre 2008

Wordpress est le logiciel blogging principal pour des pro-bloggers aussi bien que les bloggers d'amateur autour du monde. Ainsi, que ce soit des dernières nouvelles (Wordpress 2.7) ou des coups secs, nous les couvrons. Le talon d'Achilles de WordPress est sa sécurité, qu'elles essayent d'adresser sans interruption par les corrections fréquentes après chaque dégagement principal semblable à Microsoft Windows. Si vous êtes un utilisateur de Wordpress, vous devez être très intéressé avec des problèmes de sécurité et pour de bonnes raisons. En ce monde des intrusions croissantes, entailler, fendre et donnée-vols, sécurité est concerné principal pour un démarreur aussi bien que pour un pro. Voici 20 connexions et bouts pour que vous vous aidiez à obtenir un bon sommeil la nuit vous assurant que votre blog est dans des mains sûres (connexions lues de sécurité de WordPress).

Connexions de sécurité

(Les nombres n'indiquent aucun ordre de préférence)

1. Le mot de passe d'AskApache se protègent

Le mot de passe d'AskApache se protègent est un embrochable simple qui ajoute une certaine protection par mot de passe à votre blog de WordPress utilisant le dossier de .htaccess. Il protège non seulement votre annuaire wp-admin, mais également votre wp-inclut, wp-contenu, connexions, etc.

Choisissez un username et le mot de passe et vous sont faits. Il écrit le dossier de .htaccess, sans le salir vers le haut. Il également chiffre votre mot de passe et crée le dossier de .htpasswd, aussi bien que placer les permissions sécurité-augmentées correctes de dossier sur tous les deux.

Vous pouvez changer les arrangements toutes les fois que vous voulez bien de votre panneau de WordPress Admin.

Limitations

Cependant beaucoup d'utilisateurs ont fait face à des problèmes tout en l'employant et sorti de leur propre blog ! Si pour une fois vous n'obtenez pas cette fenêtre d'authentification et ne recevez pas un message non trouvé de 404 dossiers, vous devrez ouvrir une session à votre centre serveur par l'intermédiaire du ftp et puis contrôler le dossier de public_html.
Également AskApache fonctionne seulement avec des serveurs d'Apache. Cela ne fonctionnera pas avec, par exemple, le web server d'IIS, le nginx ou le Lighttpd. Ceci peut être un problème parce que beaucoup de sites Web populaires commutent au nginx ou au Lighttpd pour l'empreinte de pas de meilleure exécution et de mémoire inférieure qu'Apache.
Demandez Apache limite votre dossier de wp-contenu aussi. Mais il peut y avoir d'autres connexions pour vous qui doivent accéder au dossier de wp-contenu pour leurs dispositifs au travail. Et avec demandez Apache fonctionnant, il poserait un problème.
Demandez apache modifie votre dossier de htaccess (ce qui est plutôt sensible aux erreurs) ce qui peut contenir vos arrangements et changements faits sur commande. Même s'il y a une petite erreur, votre soyez indisponible.

La garde de WordPress embrochable (expliqué ci-dessous) aborde certains des soucis ci-dessus et travaille à tous les web server.

2. Garde de WordPress d'Angsuman embrochable

Le garde de Wordpress d'Angsuman embrochable est une sécurité de Wordpress de devoir-avoir embrochable (compatible avec toutes les versions de Wordpress et examinées jusqu'à version 2.6.3) qui protège les zones vulnérables de votre blog contre l'accès extérieur avec une couche additionnelle de sécurité.

Dispositifs :

Double sécurité pour le panneau d'administrateur de Wordpress
Protection au-dessus de l'annuaire wp-admin
Protection contre de futures vulnérabilités

3. Authenticator embrochable

Le WordPress authentifié libre embrochable (compatible avec toutes les versions de Wordpress) rend votre contenu de blog (poteaux, pages, catégories etc.) accessible aux utilisateurs enregistrés seulement. Ceci te permet de montrer le payé-contenu à vos utilisateurs. Il permet également blogging privé c.-à-d. rend votre blog accessible aux personnes choisies seulement (comme le famille et/ou les amis et/ou les associés d'affaires).

C'est un devoir-avoir embrochable pour des éditeurs de payé-contenu et des bloggers concernés par intimité. C'est une configuration zéro simple embrochable, l'installe et l'oublie. Comme l'auteur dit, « même votre grand-maman peut l'employer ».

Pro embrochable authentifié (non libre) est la prochaine génération d'embrochable authentifié du même auteur. Il a tous les dispositifs d'embrochable authentifié.

En plus il te permet de limiter/permet l'accès à votre alimentation de blog. Dans embrochable authentifié vos alimentations de blog sont toall inaccessible. Dans pro embrochable authentifié, vous pouvez ou rendez vos alimentations de blog accessibles à tous ou vous pouvez limiter l'accès de votre alimentation de blog à utilisateurs enregistrés/authentifiés seulement. Vous pouvez configurer l'une ou l'autre des trois options du clic simple d'un bouton du panneau d'options.

Pour un paiement de temps de 30$ vous obtenez 6 mois d'appui libre et vie des mises à jour libres.

4. Bloc de Bot

Les aides de bloc de Bot gardent des bots à partir de l'enregistrement sur votre site Web. Il note toutes les tentatives d'enregistrement et t'indique pourquoi il a rebondi tous les bots (ou humains, s'il faisait une erreur). Vous pouvez bloquer n'importe quel domaine (de source), utilisateur ou par IP address.

Il bloquera automatiquement n'importe qui dont l'IP apparaît plus d'une fois, qui est énuméré dans la liste noire de spamhaus, ou qui vous avez mis sur la liste noire. Je n'aime pas son idée de bloquer n'importe qui dont veut employer le même IP address pour enregistrer que celui de l'les utilisateurs précédents simplement parce que les utilisateurs des emplacements de corporation sont normalement derrière une procuration et tous les utilisateurs l'essai de s'enregistrer par derrière une procuration ou un passage semblera être du même IP address. Beaucoup d'ISPs conduisent également des utilisateurs par un petit ensemble d'IP address en utilisant un passage.

La partie intéressante est, n'importe qui qui feint pour être un navigateur mais dont la ligne d'accept de `est erronée obtiendra également rebondi.

5. Wp Blogsecurify

Wp Blogsecurify est une sécurité embrochable du groupe de sécurité - Gnucitizen, qui vise à fournir des perfectionnements de sécurité pour WordPress. Les dispositifs principaux sont :

Forcer des utilisateurs à ouvrir une session au-dessus d'un canal de communication protégée (SSL). C'est semblable dans la fonctionnalité pour forcer le SSL embrochable qui est discuté en détail ci-dessous. Comme avec le SSL de force, il exige de votre serveur d'avoir le SSL permis qu'également le moyen il a besoin d'un certificat de serveur de SSL qui ne vient pas bon marché et est des dépenses périodiques. Ceci comporte n'est pas les utilisateurs partagés tout au plus évidemment visés d'accueil de Web.
Marques de session protectrices des fuites de session et du hijacking de session.
Erreurs de dissimulation de base de données qui pourraient être provoquées par les connexions de défaut de fonctionnement. L'avertissement est que si vous êtes des erreurs de revêtement, alors vous devrez le désactiver pour découvrir ce qu'est la vraie erreur.

J'ai regardé le code source de l'embrochable et excepté la section de protection de session (que je n'ai pas eu le contrôle de temps entièrement), le reste de lui fonctionne comme écrit ci-dessus. Le code est propre et simple. Je le recommanderais.

6. Fixez les dossiers

Vous pouvez employer pro embrochable authentifié au mot de passe protégez les poteaux, les pages et les catégories etc. dans votre blog. Cependant il ne protège pas les dossiers externes (comme les images ou la vidéo) et les documents que vous avez pu avoir téléchargés. Les dossiers bloqués protège les dossiers et les documents téléchargés et limite leur accès aux utilisateurs authentifiés seulement. Les dossiers bloqués fonctionne à côté de te permettre de créer un annuaire qui est en dehors de de votre racine de document de Web et de télécharger/dossiers de téléchargement de elle directement de l'interface administrative de WordPress. Il peut être employé dans le bidon limitent des téléchargements de dossier aux utilisateurs qui sont ouverts une session, ou avoir un certain niveau de l'utilisateur.

7. Balayage de sécurité de wp

En laissant une application (dans ce cas-ci WordPress) ayez l'accès en écriture à vos dossiers est une chose dangereuse, en particulier dans un environnement public. Il est le meilleur, d'une perspective de sécurité, pour fermer à clef en bas de vos permissions de dossier autant que possible et pour détacher ces restrictions seulement pour des cas spécifiques que vous devez permettre l'accès en écriture, ou pour créer les dossiers spéciaux avec des restrictions plus relâchées afin de faire des choses comme des images de chargement. Un module de balayage de permission de dossier/annuaire fait un monde de bon de vérifier les vulnérabilités dans la permission de dossier/annuaire et vous informe des fautes potentielles de sécurité.

Le balayage de sécurité de wp est un module de balayage de sécurité. Ce les balayages embrochables permission vulnérable votre emplacement et dossier/annuaire de contrôles et recommande alors des modalités de reprise. Elle également enlève l'information de version de WordPress, étiquette de méta de générateur de wordpress de code et fournit une certaine sécurité de base de données.

Elle n'est actuellement pas compatible avec le générateur du sitemap de la conception de Dagon embrochable hors de la boîte. La difficulté exige éditer manuellement un du dossier mais cela enlève ses possibilités pour cacher la version de WordPress.

SSL 8.Force

Forcez les forces de SSL vos utilisateurs pour employer le raccordement bloqué (SSL) pour se relier à votre emplacement. Il exige que votre emplacement est le SSL permis dont en premier lieu également les moyens vous ont besoin pour avoir un certificat de serveur valide de Verisign, les certificats de SSL de Thwate etc. pour des web server ne sont pas libres et des coûts de 250$ à plus de $570 par an. Il protège vos lecteurs contre avoir leur communication avec votre blog de l'écoute clandestine ; en d'autres termes il empêche l'attaque homme-dans-le-moyenne. Cependant il seul ne protégera pas vous contre les vecteurs principaux de l'attache comme l'attaque croix-emplacement-scripting, XML posisoning, exécution malveillante de code d'AJAX, injection d'atome de RSS/, code de PHP/exécution externes etc. de commande.

9. SSL d'Admin

Le SSL d'Admin est encore une autre connexion utile de sécurité pour des administrateurs dans Wordpress.

Dispositifs

- Fixe l'ouverture de Wordpress et les pages d'Admin
- Appuis toutes les installations de SSL (privé et partagé)
- Chiffre le contenu de biscuit
- Compatible avec toutes les versions de PHP 4 et 5
- Facile à installer (1 dossier téléchargé)

Limitations

Dans le SSL partagé installé lui ne reflète pas l'utilisateur comme ouvert une session sur l'emplacement sans garantie.

10. LockDown d'ouverture

Le LockDown d'ouverture aide à empêcher les attaquants potentiellement nocifs de bot qui essayent d'ouvrir une session à votre emplacement. Il enregistre l'IP address et l'horodateur de chaque tentative échouée d'ouverture de WordPress admin. Après qu'un certain nombre de tentatives qui sont détectées au cours d'une courte période de la même gamme d'IP, la fonction d'ouverture soit handicapée pour toutes les demandes de cette gamme. Vous pouvez trouver dehors verrouillées dehors les gammes d'IP manuellement du panneau.

Bien que pratiquement il puisse avoir quelques problèmes, mais cela soyez très rare pour un utilisateur véritable. Actuellement les défauts embrochables à une serrure de 1 heure hors d'un bloc d'IP après 3 ont échoué des tentatives d'ouverture dans un délai de 5 minutes. Ce sont configurables du panneau de l'administrateur de votre blog.

11. Ouverture de Semisecure

L'ouverture de Semisecure augmente la sécurité de votre ouverture de wp. Elle emploie le chiffrage du client-côté MD5 sur le mot de passe. Le Javascript est exigé pour permettre le chiffrage. Quand le Javascript n'est pas disponible, le mot de passe est transmis dans le plaintext (en tant que normale), mais l'authentification accomplit toujours dans ce cas-ci.

Il est le plus utile pour des situations où le SSL n'est pas disponible, mais l'administrateur souhaite avoir quelques mesures de sécurité additionnelles en place sans sacrifier la convenance.

Mais après avoir dit cela, je préférerai toujours le canal de SSL pour mon blog qu'allant pour une ouverture semi bloquée. Si anyday, ForceSSL et AdminSSL soyez embrochable beaucoup meilleur parce qu'ils sont équipés d'un canal bloqué comme le SSL déjà.

12. Spam les connexions de protection

La question évidente se pose, pourquoi nous n'avons pas parlé des connexions de protection de Spam de commentaire encore. Elle est l'un des la plupart des problèmes graves avec des bloggers à traiter des centaines de Spam journaliers.

En fait, nous n'avons pas pensé que des connexions de protection de Spam peuvent être incluses dans des connexions de sécurité de wp. Cependant, nous avons un autre article détaillé être soulevés demain au sujet des meilleures connexions de protection de Spam ici. Ainsi séjour accroché à ceci.

Bouts de sécurité

Si vous employez un ou plusieurs de ces connexions, vous recevrez la sécurité suffisante. Est-ce que mais qu'asse'est ? Car un admin/utilisateur vous a quelques rappels rapides mais importants aussi. Les voici,

1. Mise à niveau Wordpress

Uprade votre Wordpress aussitôt que possible. Puisqu'autre que des dispositifs, ils raccordent beaucoup d'échappatoires de sécurité avec presque le chaque les mises à jour (commandant ou mineur) qui sont essentielles pour votre protection continue.

2. Changez les mots de passe de défaut

C'est la première chose à faire, si vous employez toujours le mot de passe marqué avec des lettres d'admin du défaut 6 qui t'est envoyé par l'intermédiaire de l'email. Donnez un serré et le mot de passe bloqué avec des nombres et des lettres et des symboles a brouillé vers le haut de sorte que la technique bruteforcing de mamie ne te coûte pas votre blog. Ne sont pas trop préoccupés par desserrer votre mot de passe et choisir un mot de passe simple comme vous pouvez toujours changer votre mot de passe perdu de WordPress.

3. Employez SSH au lieu du telnet, SFTP au lieu de ftp

Pour que le ssh d'utilisation de vraie sécurité accède à votre emplacement au lieu du ftp qui est en soi peu sûr et ouvert de snooping de votre compte détaille pendant que les détails d'autorisation (ouverture et mot de passe) sont transmis dans l'espace libre au-dessus de l'Internet. Avec le ssh vous pouvez employer le protocole bloqué de ftp comme sftp pour faire quelque chose que vous pouvez faire avec le ftp. De même vous pouvez employer le ssh au lieu du telnet pour se relier solidement à votre Linux/serveur Unix.

4. Enlevez la corde de version de votre header.php

Les intrus sont très rusés et ils peuvent partir furtivement en votre compte reniflant n'importe quelle fichue trace. Ainsi pourquoi ne pas l'empêcher. La version particulière de blog que vous employez, peut être vue par n'importe qui et puis prévoir leurs attaques en conséquence. Continuez l'intrus deviner par ceci

L'étiquette dans votre header.php qui montre votre version en cours des wordpress.
Cachez votre version de wordpress en employant le solvant d'information d'en-tête de WordPress d'Angsuman embrochable, retitrez le dossier à wp-header-remover.php, téléchargez-le au dossier de wp-contenu/connexions de votre blog et activez-le de l'écran embrochable de gestion. Son si facile.

5. Dossiers du bloc wp des moteurs de recherche

Y a-t-il un besoin d'avoir de tous vos dossiers de Wordpress répertoriés par des moteurs de recherche comme Google ? Ces dossiers contiennent souvent des données sensibles et des informations sur votre blog comme des connexions que vous employez etc. Ainsi il est le meilleur de les bloquer utilisant votre dossier de robots.txt. Ajoutez la ligne suivante pour chaque bot à votre robots.txt :

Rejetez : /wp- *

6. Bloquez l'accès au wp-admin et wp-incluez les dossiers utilisant .htaccess

Ceci limitera l'accès à ce dossier par IP address et des tentatives à accéder à n'importe quel dossier dans ce dossier de l'IP address autre que votre liste permise d'IP address seront saluées avec un message d'erreur interdit

7. Indexation de débronchement dans tout annuaire dans Wordpress

Ne vous concerne-t-il pas que n'importe quel peut voir l'intérieur de dossiers répertoriés de vos annuaires de blog dans WordPress ? Ainsi que faites-vous pour empêcher cela ? Son simple.

Allez au répertoire racine dans votre WordPress et ouvrez le dossier de .htaccess et dans la première ligne, dactylographient des options - index. Sauf elle et vous sont faits.

8. Donnez la protection supplémentaire à votre .htaccess

Il y a de nombreuses méthodes aux secteurs protecteurs de mot de passe de votre emplacement avec un certain serveur basé sur un langage (comme l'asp, le PHP ou le Perl) et un côté de client basé, comme le Javascript. Le Javascript n'est pas aussi bloqué ou indéréglable qu'une option de serveur-côté. Un défi/réponse de côté de serveur est toujours plus bloqué qu'un défi/réponse dépendants de client. Htaccess est environ aussi bloqué que vous pouvez ou le besoin d'obtenir dans la vie quotidienne.

La première chose que vous devrez faire est de créer un dossier appelé le .htpasswd. Je sais, vous pourriez avoir des problèmes avec la convention de nomination, mais c'est la même idée derrière appeler le dossier de .htaccess lui-même, et vous devriez pouvoir faire cela par ce point. Dans le dossier de .htpasswd, vous placez l'username et le mot de passe (qui est chiffré) pour ceux que vous voulez pour avoir accès.

username : encryptedpass

Pour la sécurité, vous ne devriez pas télécharger le dossier de htpasswd à un annuaire qui est Web accessible (yoursite.com/.htpasswd), il devrait être placé au-dessus de votre répertoire racine de WWW. Vous spécifierez l'endroit à lui plus tard, ainsi soyez sûr que vous savez où vous le mettez. En outre, ce dossier, comme avec des htaccess, devrait être téléchargé comme ASCII et pas BINAIRE.

Créez de nouveaux htaccess classent et placent le code suivant dans lui :

AuthUserFile /usr/local/you/safedir/.htpasswd
AuthGroupFile /dev/null
AuthName EnterPassword
AuthType de base

exigez l'username d'utilisateur

En conclusion

Tellement ici nous sommes à la fin d'un autre long article. J'espère que vous avez une idée saine de ce qu'à utiliser-et ce qui à faire pour fixer vos wordpress situez. Pressez vos mots dur, pressez les intrus plus dur. Bye pour maintenant.

[Déni : Ma compagnie Taragana inc. développe et maintient les connexions suivantes de sécurité

1, garde de Wordpress d'Angsuman embrochable

2. Worpress authentifié embrochable (libre)]

Classé sous le degré de sécurité d'ordinateur, nouvelles de titre, pro Blogging, Taragana, note de technologie, Web, WordPress, WordPress embrochable | Commentaire sur cet article | RSS 2.0 | Trackback cet article Trackback cet article | Envoyez cet article

Solutions simples pour des problèmes complexes.