Ai nevoie de mai multi vizitatori?
Inscrie un website in 1000 directoare romanesti si 4500 straine! Publica un anunt in 500 siteuri de anunturi. Si citeste mai departe.

Acum cateva zile am descoperit in Google Reader, in unul dintre feedurile la care eram inscris, cateva linkuri dubioase. Dupa o verificare a codului sursa am descoperit un posibil caz de link spam sau atac al unui hacker. Nu stiam cine e proprietarul blogului, insa pe Twitter l-am gasit rapid si am reusit sa il ajut sa scape de problema (printr-o instalare noua de WordPress si actualizarea templaturilor).

La momentul respectiv mi-am dat seama de potentiala catastrofa ce putea sa se alature atacului hackerului. In cel mai rau caz, se puteau intampla urmatoarele lucruri:

  • Linkurile introduse de hacker sa activeze un filtru antispam care sa depuncteze si, eventual, sa penalizeze domeniul
  • Atacul putea sa aiba repercursiuni si asupra celor din blogroll sau a celor care trimiteau linkuri catre blog. Fiind un blog personal insa, strans legat de un nume de brand, se putea ajunge si la un link juice nu tocmai dulceag.
  • Hackerul putea sa profite de situatie si sa incerce sa obtina detalii mai multe despre proprietarul blogului

De ce insa este vulnerabil un blog?

Orice produs open source are la un moment dat in ciclul de dezvoltare “security holes” mici gauri in securitate, raportate de obicei in bug tracking tools care sunt publice (ex: WordPress Trac). In momentul in care ai instalat o versiune de WordPress 2.0.7 esti automat expus unor exploits cu care nu te poti lupta. Aceste probleme sunt de obicei foarte rapid rezolvate, insa actualizarea blogului este de obicei un proces mai greoi. Problemele de securitate in WordPress (exploits) sunt inevitabile, la fel cum astfel de probleme sunt inevitabile in orice proiect comercial. Ca si dezvoltator poti doar sa le rezolvi si noi, ca useri, sa instalam ultimele versiuni care le rezolva (in ultimele versiuni WP 2.7 actualizarea se poate face automat).

Ce putem sa facem ca sa prevenim aceste atacuri asupra blogului?

  1. Pentru a ramane informat asupra ultimelor probleme aparute si rezolvate in WordPress, va puteti inscrie la RSS-ul de la WordPress development blog. Daca trebuie sa faceti o actualizare, va recomand cu caldura sa o faceti. Te costa cateva ore cand blogul va fi offline. Sau preferi sa ajungi un blog care spameaza sau, si mai rau, sa iti pierzi datele si controlul asupra lui?
  2. Nu este de ajuns doar sa actualizezi WordPressul; trebuie sa actualizezi si plugins-urile care sunt instalate. Vulnerabilitati de genull XSS sau SQL Injection au fost raportate in versiuni mai vechi a unor pluginsuri si sunt posibile mai ales in noile pluginsuri.
  3. Verifica drepturile asupra fisierelor si folderelor. Directoarele ar trebui sa aiba permisiunea 755 niciodata 777. Toate fisierele ar trebui sa aiba permisiunea 644. Daca planuiesti sa folosesti editorul de templates (sabloane), atunci fisierele din folderul www.domeniu.ro/wp-content/template ar trebui sa aiba permisiunea 666.
  4. Nu accepta instalarea de pluginuri care doresc sa scrie intr-un fisier pe server.
  5. Daca folosesti o tema personalizata atunci intreaba un consultant sa verifice tema de gauri de securitate inainte sa o folosesti sau te poti folosi de un scaner pentru teme Worpress (http://blogsecurity.net/wordpress/tools/wp-scanner/).
  6. Daca directory discovery este activat pe server, accesand www.domeniu.ro/wp-content/plugins poti vedea ce fel de pluginsuri sunt instalate. In acest caz este recomandata creare unui fisier gol in wp-content/plugins/index.htm care va preveni afisarea pluginurilor instalate.
  7. Elimina meta tagul generator in care este prezenta versiunea de WordPress. In mod normal aceasta informatie se gaseste in header.php template tag ( trebuie sa elimini tagul numit “generator”), insa pentru o mai buna protectie ar trebui eliminat si din wp-links-opml.php, wp-rss.php, wp-commentsrss2.php, wp-version, wp-rdf.php si wp-rss2.php.
  8. Fa backup regulat la blog astfel incat, in cazul in care se intampla ceva, sa poti oricand sa faci o actualizare din salvarea care ai facut-o. O actualizare completa cuprinde: backup la posturile din blog, backup la teme si pluginsuri, backup la fisierele si imaginile care nu tin de WordPress.
  9. Blocheaza accesul la /wp-admin/. Matt Cutts are un bun articol pe tema aceasta.
  10. Ultima sugestie este o noutate absoluta: de 4 zile un dezvoltator german a lansat primul Antivirus scanner pentru WordPress (este de fapt un scanner generic, care verifica anumite coduri potential malefice). Mai jos am atasat cateva imagini, link de descarcare si cateva instructiuni de instalare (pagina pluginsului este in germana, pluginul odata instalat este in limba engleza). Pentru a instala pluginul AntiVirus iata cateva instructiuni: 1. Dezarhiveaza arhiva, 2. Upload la folderul antivirus in ../wp-content/plugins/, 3. Inregistrat ca si admin in panelul de control, activeaza pluginul Antivirus, 4. Editeaza setarile daca e nevoie.

antivirus-cronantivirus-manual-scan

Alte articole pe aceasi tema:

5 comentarii to “Cum sa iti protejezi blogul WordPress de hackeri?”

  1. Personal eu as recomanda si folosirea pluginului AskApache Password Protect (http://www.askapache.com/wordpress/htaccess-password-protect.html).

    Bafta!

  2. Multam de articol!

  3. Foarte multe detalii, un articol bun. Eu sunt de parere ca cea mai buna securitate este backup-ul, dupa orice modificare pe site sau blog. Nu este mult timp pierdut si dormi linistit. Probleme de securitate pe platformele gratuite vor fi mereu, important este sa fii documentat tot timpul cu noile schimbari.

    Toata stima !

  4. Un articol deosebit,de ajutor pentru mine!

  5. Dupa ce se facem un update de pe wordpress conform punctului 1 ar trebui revizuite punctele 2,6,7 si eventual 10?

Scrie un comentariu