16 834
Tesztek Android Google Apple Microsoft Samsung Huawei Linux Okostelefon Biztonság Tudomány Facebook Videojáték Film
16 834
/ContentUploads/A720/wordpress.jpg
Kattints ide  ➜

Biztonságos WordPress ‑ 5. rész

Droppa Béla2015.03.22. 11.40
Mivel Magyarországon a magánszemélyek után egyre több cég kezd vállalati blogba, illetve a céges weboldalak is folyamatosan népszerűbbé válnak, szükségesnek éreztük bemutatni az egyik legnépszerűbb webes motorban, a WordPressben rejlő sérülékenységeket. Cikksorozatunk nyolc héten át nyolc epizódból fog állni, majd egy összegző cikkben summázni fogjuk a felismeréseket, így megkönnyítve a biztonság előremozdítását.

Sorozatunk eddig megjelent részei:
Biztonságos WordPress – 1. rész
Biztonságos WordPress – 2. rész
Biztonságos WordPress – 3. rész
Biztonságos WordPress – 4. rész
Biztonságos WordPress – 5. rész
Biztonságos WordPress – 6. rész
Biztonságos WordPress – 7. rész


A wp-admin könyvtárhoz való hozzáférés szigorítása



A jelszóval védett WordPress adminisztrációs felületének egy extra HTTP hitelesítő réteggel való ellátása hatékony intézkedés a behatolókkal szemben, hiszen így még nehezebb kitalálni egy felhasználó jelszavát. Amennyiben ez mégis sikerülne, teljes irányítást nem tudnak egykönnyen szerezni, hiszen ahhoz még a HTTP hitelesítési réteget is át kellene törni, így férnek csak hozzá a bejelentkező űrlaphoz.

Az Apache HTTP szerverek esetében egy .htpasswd fájl, valamint néhány konfigurációs direktíva hozzáadásával érhetjük el mindezt, amelyeket alább részletesen leírunk. A .htpasswd fájlok a felhasználók azonosításához nélkülözhetetlen felhasználói név—jelszókivonat állományokat tartalmazzák. A .htpasswd fájlokat a htpasswd paranccsal, vagy egy online jelszófájl-generátorral hozhatunk létre.

Számos Linux disztribúció alapból a htpasswd segédprogrammal érkezik, de a legtöbb Debian és Ubuntu felhasználónak szüksége lesz az apache2-utils csomag telepítésére, aminek folyamata alább látszódik.

apt-get update
apt-get upgrade
apt-get install apache2-utils


Miután a htpasswd felinstallálódott, az alábbi parancsot futtassuk le, hogy létrehozzunk egy .htpasswd fájlt. A parancs által életre hívott .htpasswd állományt a /srv/auth/.htpasswd alatt fogjuk megtalálni, egy myuser.htpasswd felhasználói névvel. Ezután az általunk választott jelszó beírása és megerősítése fog következni. Azt azért fontos megemlíteni, hogy a biztonság kedvéért a .htpasswd fájlokat jobb egy olyan könyvtárban tárolni, amit a webről nem lehet elérni.

htpasswd -c /srv/auth/.htpasswd myuser


Az egyszerű HTML azonosítás bekapcsolásához a wp-admin könyvtáron aktiválni kell a lent részletezett direktívát, hivatkozva a korábban létrehozott .htpasswd fájlra. Az alábbi sorokat kell beilleszteni a szerverünk Apache konfigurációs fájljának megfelelő szekciójába, vagy a wp-admin könyvtár .htaccess fájljába.

AuthType Basic
AuthUserFile /srv/auth/.htpasswd AuthName "WordPress Authenticated area."
Require valid-user


A fenti sorokban az AuthType az azonosítás típusát határozza meg, az AuthUserFile a .htpasswd fájlhoz való elérési utat adja meg, az AuthName pedig a bejelentkezéskor megjelenített szöveget, az üzenetet tartalmazza. Itt is megemlítendő, hogy ezt a fájlt érdemes a webtől elzárt területen tárolni. Egyébként a legtöbb konfigurációban a .ht-val kezdődő fájlok nem elérhetőek a webről, de léteznek kivételek, így emiatt egy megerősítést megér a történet.

Forrás: Acunetix
Kattints ide  ➜

Az Androbit technológiai és tudományos magazinnál hiszünk abban, hogy az információ mindenkit megillet. Hosszú évek munkájával megszerzett hírnevünknek köszönhetően megadatott számunkra az a lehetőség, hogy műszaki témájú médiumként is elérhessünk minden internetező korosztályt. Tesszük ezt olyan hírekkel és cikkekkel, amik között egyaránt szerepel nagyobb tömegeket és kisebb szakmai csoportokat érintő tartalom is.

A témák gondos összeválogatásának és a cikkek minőségi kidolgozottságának hála mára Magyarország egyik legnépszerűbb technológiai és tudományos információforrásává váltunk – fejlesztéseinkkel és kutatásainkkal pedig igyekszünk mindig egy lépéssel a versenytársak előtt járni.

A weboldalunkon található, szerkesztőségünk által készített tartalmakra vonatkozó összes felhasználási jogot az Androbit technológiai és tudományos magazin birtokolja. A tartalmak egyes részleteinek felhasználását kizárólag látványos (vagy jól hallható) forrásmegjelöléssel engedélyezzük. A feltételek megszegésének jogi következményei lehetnek. A feltételektől eltérő tartalomfelhasználás kizárólag megegyezés útján lehetséges.
Copyright © 2007-2016 – Makay József (makay@androbit.net)
A Casio bemutatott egy 1,9 megapixeles kamerát
Amazon Go ‑ Csak kisétálsz a boltból, fizetés nélkül
Akksiproblémák mutatkoznak néhány MacBook Pro notebooknál
Mesterséges intelligencia fejleszti a Kaspersky felhőalapú adatbázisát
Gigantic ‑ Ingyenes nyílt bétával kezd az Overwatch új kihívója
Régóta várt funkciók debütálnak az új Instagramban
Felkapott témák
Az egyik legnépszerűbb antivírus egyben a legrosszabb is
Ezek a jelenleg kapható legerősebb okostelefonok
2016 legjobb okostelefonjai - Sebességteszt
Android 1.0 Apple Pie vs. Android 7.1 Nougat
Melyik lesz 2017 legjobb okostelefonja?
Ingyenes nCore regisztráció - Újabb csalók próbálkoznak
Állásajánlatok
Maintenance engineer
Linux rendszergazda / rendszermérnök
Software Architect Java EE
Telephelyvezető
Senior Experte Business Operations
Business Test Analyst
SAP Security Consultant