WordPress asennuksen    suojaaminen     Jukka Weissenfelt       (@JukkaWe)
• WordPress lienee tämän hetken tunnetuimpia ja käytetyimpiä  avoimen lähdekoodin web-sovelluksia.• Tällä on tietysti hyvi...
• WordPress itsessään, valmiit teemat ja varsinkin Timthumb:n  vanhat versiot ovat osoittautuneet tietoturvariskiksi, jolt...
WordPress asennuksen suojaaminen• Hyvä lähtökohta WordPressin suojaamiseen on noudattaa  WordPress:n omia ohjeita palvelun...
Asennuksen suojaaminen jatkuu• .htaccess-tiedostoon kannattaa lisätä seuraavat koodit,  jotka estävät käyttäjiä pääsemästä...
Estä kirjautumissivulle pääsy• Luo wp-admin –kansioon .htaccess-tiedosto.• Lisätään sinne salasanan kysely, mutta varmiste...
Tunnus ja tietokanta• WordPress luo oletuksena ‘admin’-nimisen  käyttäjän. Korvaa ‘admin’ vaikka yrityksesi  nimellä.• Kor...
Yleisiä neuvoja (lisäosat)• Lisäosat vaikuttavat aina sivustosi tietoturvaan.   – Sivustosi on yhtä turvallinen kuin heiko...
Lisäosat - jatkuu• Asenna lisäosa vain jos et voi tehdä sitä itse.   – Lisätoiminnallisuudet eivät ole rakettetiedettä.   ...
Päivitä TimThumb• TimThumbia käytetään kuvien muokkaamiseen ja käsittelyyn  hyvin usealla WordPress-sivustolla.• Helpoin t...
Asenna WordPress Firewall 2• WordPress Firewall 2 estää joitain  automaattisia ja manuaalisia hyökkäyksiä.• Valitettavasti...
Estä “väärä salasana” ilmoitus• Lisää functions.php-tiedostoon pieni koodinpätkä, joka  estää erittelemästä onko käyttäjää...
Lopuksi• Pidä WordPress-asennus aina ajantasalla!• Päivitä teemasi, lisäosasi, Timthumb ja tietysti  myös WordPress-asennus.
Anna palautetta  E-mail: jukka@ebrand.fi  Puhelin: +358 440 5544 08  LinkedIn: Jukka Weissenfelt  Facebook: jukkaw  Twitte...
Upcoming SlideShare
Loading in …5
×

WordPress asennuksen suojaaminen

1,606 views

Published on

WordPress lienee tämän hetken tunnetuimpia ja käytetyimpiä avoimen lähdekoodin web-sovelluksia.

Tällä on tietysti hyviä ja huonoja puolia.

Kalvoissa on keinoja parantaa WordPress-asennuksen tietoturvaa.

Published in: Career
0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total views
1,606
On SlideShare
0
From Embeds
0
Number of Embeds
499
Actions
Shares
0
Downloads
4
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

WordPress asennuksen suojaaminen

  1. 1. WordPress asennuksen suojaaminen Jukka Weissenfelt (@JukkaWe)
  2. 2. • WordPress lienee tämän hetken tunnetuimpia ja käytetyimpiä avoimen lähdekoodin web-sovelluksia.• Tällä on tietysti hyviä ja huonoja puolia.• Web-kehittäjät hyödyntävät valmiita tai puolivalmiita teemoja (themes), ilmaisia lisäosia (plugins) ja muita ilmaisia lisäominaisuuksia tuovia laajennuksia kuten prettyPhoto ja Timthumb.
  3. 3. • WordPress itsessään, valmiit teemat ja varsinkin Timthumb:n vanhat versiot ovat osoittautuneet tietoturvariskiksi, jolta voidaan suojautua.• Seuraavilla kalvoilla on tarkoituksena käydä lävitse keinoja, miten voit tehdä WordPress asennuksesta huomattavasti alkuperäistä turvallisemman.• Kalvot on suunnattu ensijaisesti web-kehittäjille, mutta käyttäjätkin voivat tehdä ainakin osan esitettävistä asioista.
  4. 4. WordPress asennuksen suojaaminen• Hyvä lähtökohta WordPressin suojaamiseen on noudattaa WordPress:n omia ohjeita palvelun suojaamiseksi: http://codex.wordpress.org/Hardening_WordPress• Erityisen tärkeä toimenpide on siirtää wp-config.php pois public_html kansiosta.
  5. 5. Asennuksen suojaaminen jatkuu• .htaccess-tiedostoon kannattaa lisätä seuraavat koodit, jotka estävät käyttäjiä pääsemästä suoraan käsiksi wp- includes-kansioon.# Block the include-only files.RewriteEngine OnRewriteBase /RewriteRule ^wp-admin/includes/ - [F,L]RewriteRule !^wp-includes/ - [S=3]RewriteRule ^wp-includes/[^/]+.php$ - [F,L]RewriteRule ^wp-includes/js/tinymce/langs/.+.php - [F,L]RewriteRule ^wp-includes/theme-compat/ - [F,L]# BEGIN WordPress
  6. 6. Estä kirjautumissivulle pääsy• Luo wp-admin –kansioon .htaccess-tiedosto.• Lisätään sinne salasanan kysely, mutta varmistetaan että admin- ajax.php:ta voidaan käyttää ilman salasanaa.• Admin-ajax.php huolehtii esimerkiksi liitetiedostojen lataamisesta palvelimelle.AuthType BasicAuthName "Kirjaudu"AuthUserFile /var/www/path/to/passwdRequire valid-user<Files admin-ajax.php> Order allow,deny Allow from all Satisfy any</Files>
  7. 7. Tunnus ja tietokanta• WordPress luo oletuksena ‘admin’-nimisen käyttäjän. Korvaa ‘admin’ vaikka yrityksesi nimellä.• Korvaa WordPressin automaattinen tietokantataulujen etuliite wp_ jollakin muulla.
  8. 8. Yleisiä neuvoja (lisäosat)• Lisäosat vaikuttavat aina sivustosi tietoturvaan. – Sivustosi on yhtä turvallinen kuin heikoin koodinpätkäsi. – Suosittelen erityisesti välttämään lisäosia jotka tarvitsevat tietokantaoikeudet.• Asenna vain ne lisäosat mitä todella tarvitset.• Asenna vain lisäosia joilla on hyvät arvostelut ja useita, mieluiten satoja tai tuhansia käyttäjiä.• Varmista, että lisäosa tukee sinun WordPress-asennuksesi versiota ja sitä päivitetään edelleen.
  9. 9. Lisäosat - jatkuu• Asenna lisäosa vain jos et voi tehdä sitä itse. – Lisätoiminnallisuudet eivät ole rakettetiedettä. – Useat toiminnallisuudet voidaan ottaa käyttöön muokkaamalla functions.php-tiedostoa. – Google on kehittäjän paras kaveri.• Muutamia esimerkkejä: http://www.wpbeginner.com/wp-tutorials/25-extremely- useful-tricks-for-the-wordpress-functions-file/ http://www.catswhocode.com/blog/10-super-useful- wordpress-shortcodes http://www.catswhocode.com/blog/8-new-and-amazing- wordpress-hacks
  10. 10. Päivitä TimThumb• TimThumbia käytetään kuvien muokkaamiseen ja käsittelyyn hyvin usealla WordPress-sivustolla.• Helpoin tapa pitää TimThumb päivitettynä on asentaa Timthumb Vulnerability Scanner –lisäosa.• Lisätietoa Timthumb-hyökkäyksistä.
  11. 11. Asenna WordPress Firewall 2• WordPress Firewall 2 estää joitain automaattisia ja manuaalisia hyökkäyksiä.• Valitettavasti lisäosaa ei ole hetkeen päivitetty.• http://wordpress.org/extend/plugins/wordpre ss-firewall-2/
  12. 12. Estä “väärä salasana” ilmoitus• Lisää functions.php-tiedostoon pieni koodinpätkä, joka estää erittelemästä onko käyttäjää olemassa vai ei.• Huom. Jos olet jo suojannut WordPressin .htaccess salasanalla voi tämä tämä olla jo tarpeetonta.// Remove default error message and replace with custom error message add_filter(login_errors, login_error_mess); function login_error_mess() { return <span class="error"><strong>ERROR: </strong>Invalid username or password.</span>; }
  13. 13. Lopuksi• Pidä WordPress-asennus aina ajantasalla!• Päivitä teemasi, lisäosasi, Timthumb ja tietysti myös WordPress-asennus.
  14. 14. Anna palautetta E-mail: jukka@ebrand.fi Puhelin: +358 440 5544 08 LinkedIn: Jukka Weissenfelt Facebook: jukkaw Twitter: @JukkaWe Google+: JukkaWehttp://www.whitefield.fihttp://www.ebrand.fi/blog

×