Securitatea în WordPress Blogtrip #2 Suceava 21 nov 2009
Probleme, probleme… <ul><li>Versiuni “stravechi” ale WordPress si/sau ale pluginurilor instalate </li></ul><ul><li>Backup-...
Actualizarile nu sunt optionale! <ul><li>“ Wordpress nu este cea mai buna platforma de blogging, doar cea mai utilizata si...
Backup, backup, backup! <ul><li>Orice operatiune de upgrade WordPress sau pluginuri  si/sau modificare db precedata de un ...
Tu de unde ti-ai descarcat tema si pluginurile pe care le folosesti? <ul><li>1052 de teme și peste 7000 de pluginuri in di...
Parola ta o gasesc in dictionar? <ul><li>1% din utilizatori au parola chiar cuvantul “parola” </li></ul><ul><li>Pseudonime...
Tu stii cine scrie pe blogul tau? <ul><li>Inregistrarile inchise pe un blog personal </li></ul><ul><li>Pe un blog colectiv...
Ce gasesc prin folderele tale? <ul><li>Browsing-ul in foldere interzis fie prin setarile corecte ale serverului pe care es...
Permisiunile folderelor/fisierelor <ul><li>Permisiuni foldere – 755  </li></ul><ul><li>Permisiuni fisiere – 644 </li></ul>...
Multumesc ! <ul><li>@unmicdrac </li></ul><ul><li>paun.eugen </li></ul><ul><li>[email_address] </li></ul>
Upcoming SlideShare
Loading in …5
×

Securitatea In WordPress

812 views

Published on

0 Comments
1 Like
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total views
812
On SlideShare
0
From Embeds
0
Number of Embeds
87
Actions
Shares
0
Downloads
6
Comments
0
Likes
1
Embeds 0
No embeds

No notes for slide
  • he
  • Securitatea In WordPress

    1. 1. Securitatea în WordPress Blogtrip #2 Suceava 21 nov 2009
    2. 2. Probleme, probleme… <ul><li>Versiuni “stravechi” ale WordPress si/sau ale pluginurilor instalate </li></ul><ul><li>Backup-uri inexistente sau inutilizabile </li></ul><ul><li>Teme WordPress sau pluginuri din surse indoielnice </li></ul><ul><li>Parole de dictionar /pastrarea userului default admin </li></ul><ul><li>Inregistrarile permise pe un blog personal </li></ul><ul><li>Restrangerea accesului la panoul de administrare </li></ul><ul><li>Browsing in foldere permis </li></ul><ul><li>Permisiuni necorespunzatoare ale folderelor/fisierelor </li></ul>
    3. 3. Actualizarile nu sunt optionale! <ul><li>“ Wordpress nu este cea mai buna platforma de blogging, doar cea mai utilizata si user friendly” </li></ul><ul><li>Actualizare imediat sau la scurt timp dupa lansarea unei versiuni noi indiferent ca este sau nu security release </li></ul><ul><li>Actualizare manuala sau automata incepand cu WordPress 2.7 </li></ul><ul><li>Actualizarea pluginurilor din versiune 2.3, iar temelor de la 2.7 + </li></ul><ul><li>Valabila doar pentru pluginurile/temele disponibile pe Wordpress.org, de la versiunea 2.9 API pentru cele ce nu sunt incluse in aceste directoare </li></ul>
    4. 4. Backup, backup, backup! <ul><li>Orice operatiune de upgrade WordPress sau pluginuri si/sau modificare db precedata de un backup </li></ul><ul><li>Backup-uri regulate si UTILIZABILE </li></ul><ul><li>Backup folosind phpMyAdmin </li></ul><ul><li>Backup prin intermediul unor pluginuri dedicate – de exemplu DBC Backup sau WP-DB-Backup </li></ul><ul><li>Abonare la propriul feed prin intermediul Google Reader </li></ul>
    5. 5. Tu de unde ti-ai descarcat tema si pluginurile pe care le folosesti? <ul><li>1052 de teme și peste 7000 de pluginuri in directoarele oficiale </li></ul><ul><li>Directoare de teme premium/cu plata – Elegantthemes.com, WooThemes, Obox Themes, Press 75, Theme Hybrid </li></ul><ul><li>Directoare de teme gratuite safe WParchive.com și Web2Feel. </li></ul><ul><li>Nu folosi teme/pluginuri obtinute din surse indoielnice, warez sau directoare anonime </li></ul><ul><li>Daca iti place o tema comerciala atunci cumpar-o! </li></ul>
    6. 6. Parola ta o gasesc in dictionar? <ul><li>1% din utilizatori au parola chiar cuvantul “parola” </li></ul><ul><li>Pseudonimele, denumiri de animale, orice cuvant pe care il gasesc in dictionar – A big no-no! </li></ul><ul><li>Parole diferite pentru panoul de control al WordPress, contul de FTP al domeniului si contul de gazduire </li></ul><ul><li>Complexitate marita a parolelor – combinatii de majuscule si minuscule, litere si cifre </li></ul><ul><li>Generatoare online de parole google it “password generator” </li></ul>
    7. 7. Tu stii cine scrie pe blogul tau? <ul><li>Inregistrarile inchise pe un blog personal </li></ul><ul><li>Pe un blog colectiv crearea manuala de noi autori </li></ul><ul><li>Limitarea accesului la folderul wp-admin prin restrictionarea adreselor IP statice </li></ul><ul><li>Limitarea tentativelor de brute force prin intermediul pluginului Login Lockdown – numar de autentificari nereusite per adresa IP per intervalul de timp ( default 3 login failed in 5 minute ) </li></ul><ul><li>Ascunderea erorilor intampinate la tentative nereusite de login </li></ul>
    8. 8. Ce gasesc prin folderele tale? <ul><li>Browsing-ul in foldere interzis fie prin setarile corecte ale serverului pe care esti gazduit, fie manual de utilizator </li></ul><ul><li>In cel de-al doilea caz ar trebui sa te gandesti sa iti schimbi furnizorul de gazduire pentru blogul tau </li></ul><ul><li>Fiecare folder ar trebui sa contina un fisier index.php gol </li></ul><ul><li>Browsing interzis prin intermediul .htaccess </li></ul><ul><li>WordPress nu solicita prin protocol HTTP acces la fisierele PHP </li></ul><ul><li>Limitarea accesului browserelor doar la fisierele necesare </li></ul>
    9. 9. Permisiunile folderelor/fisierelor <ul><li>Permisiuni foldere – 755 </li></ul><ul><li>Permisiuni fisiere – 644 </li></ul><ul><li>Exceptii de la regula exista, dar trebuie tratate cu atentie </li></ul><ul><li>Fisierele temei pe care o customizam pot avea TEMPORAR permisiuni 666 </li></ul><ul><li>Folderul pluginurilor de cache – wp-content/cache de cele mai multe ori are permisiuni 777, dar este protejat cu un fisier .htaccess </li></ul><ul><li>Anumite teme vin cu TimThumb pentru redimensionare imagini </li></ul>
    10. 10. Multumesc ! <ul><li>@unmicdrac </li></ul><ul><li>paun.eugen </li></ul><ul><li>[email_address] </li></ul>

    ×