Tesztek Android Google Apple Microsoft Samsung Huawei Nokia Linux Biztonság Tudomány Facebook Videojáték Film
ga
/ContentUploads/A720/wordpress.jpg

Biztonságos WordPress ‑ 5. rész

2015.03.22. 11.40
Mivel Magyarországon a magánszemélyek után egyre több cég kezd vállalati blogba, illetve a céges weboldalak is folyamatosan népszerűbbé válnak, szükségesnek éreztük bemutatni az egyik legnépszerűbb webes motorban, a WordPressben rejlő sérülékenységeket. Cikksorozatunk nyolc héten át nyolc epizódból fog állni, majd egy összegző cikkben summázni fogjuk a felismeréseket, így megkönnyítve a biztonság előremozdítását.

Sorozatunk eddig megjelent részei:
Biztonságos WordPress – 1. rész
Biztonságos WordPress – 2. rész
Biztonságos WordPress – 3. rész
Biztonságos WordPress – 4. rész
Biztonságos WordPress – 5. rész
Biztonságos WordPress – 6. rész
Biztonságos WordPress – 7. rész


A wp-admin könyvtárhoz való hozzáférés szigorítása



A jelszóval védett WordPress adminisztrációs felületének egy extra HTTP hitelesítő réteggel való ellátása hatékony intézkedés a behatolókkal szemben, hiszen így még nehezebb kitalálni egy felhasználó jelszavát. Amennyiben ez mégis sikerülne, teljes irányítást nem tudnak egykönnyen szerezni, hiszen ahhoz még a HTTP hitelesítési réteget is át kellene törni, így férnek csak hozzá a bejelentkező űrlaphoz.

Az Apache HTTP szerverek esetében egy .htpasswd fájl, valamint néhány konfigurációs direktíva hozzáadásával érhetjük el mindezt, amelyeket alább részletesen leírunk. A .htpasswd fájlok a felhasználók azonosításához nélkülözhetetlen felhasználói név—jelszókivonat állományokat tartalmazzák. A .htpasswd fájlokat a htpasswd paranccsal, vagy egy online jelszófájl-generátorral hozhatunk létre.

Számos Linux disztribúció alapból a htpasswd segédprogrammal érkezik, de a legtöbb Debian és Ubuntu felhasználónak szüksége lesz az apache2-utils csomag telepítésére, aminek folyamata alább látszódik.

apt-get update
apt-get upgrade
apt-get install apache2-utils


Miután a htpasswd felinstallálódott, az alábbi parancsot futtassuk le, hogy létrehozzunk egy .htpasswd fájlt. A parancs által életre hívott .htpasswd állományt a /srv/auth/.htpasswd alatt fogjuk megtalálni, egy myuser.htpasswd felhasználói névvel. Ezután az általunk választott jelszó beírása és megerősítése fog következni. Azt azért fontos megemlíteni, hogy a biztonság kedvéért a .htpasswd fájlokat jobb egy olyan könyvtárban tárolni, amit a webről nem lehet elérni.

htpasswd -c /srv/auth/.htpasswd myuser


Az egyszerű HTML azonosítás bekapcsolásához a wp-admin könyvtáron aktiválni kell a lent részletezett direktívát, hivatkozva a korábban létrehozott .htpasswd fájlra. Az alábbi sorokat kell beilleszteni a szerverünk Apache konfigurációs fájljának megfelelő szekciójába, vagy a wp-admin könyvtár .htaccess fájljába.

AuthType Basic
AuthUserFile /srv/auth/.htpasswd AuthName "WordPress Authenticated area."
Require valid-user


A fenti sorokban az AuthType az azonosítás típusát határozza meg, az AuthUserFile a .htpasswd fájlhoz való elérési utat adja meg, az AuthName pedig a bejelentkezéskor megjelenített szöveget, az üzenetet tartalmazza. Itt is megemlítendő, hogy ezt a fájlt érdemes a webtől elzárt területen tárolni. Egyébként a legtöbb konfigurációban a .ht-val kezdődő fájlok nem elérhetőek a webről, de léteznek kivételek, így emiatt egy megerősítést megér a történet.

Forrás: Acunetix

Megérkeztek az 5000 forintos Nokia telefonok
A Google Play új zsarolóvírusa minden privát tartalmadat elküldi az ismerőseidnek
Ulefone Gemini Pro okostelefon ajánló
Nem tűnik el a Microsoft Paint
Kiderült, hová kerül az új iPhone ujjlenyomat‑olvasója
A magfúzióra eresztette mesterséges intelligenciáját a Google
Felkapott témák
Megérkeztek az 5000 forintos Nokia telefonok
Kiszivárgott a Sharp iPhone-verő okostelefonja
Alcatel A5 LED okostelefon teszt – Bulikafon
Véget ért az Ubuntu 16.10 támogatása
Nem tűnik el a Microsoft Paint
OTP- és Telekom-adatok lopásában érintett egy egyetem, egy könyvesbolt és egy gázszerelő vállalkozás
Állásajánlatok
Digital Marketing Content Specialist - VOC0002M4
Minőségbiztosítási és termék mérnök
Load and Performance Tester Sinumerik Integrate for Production - CNC Management
Helpdesk munkatárs
Folyamat-, és berendezés mérnök Referenciaszám: PJ5818
Experienced RPA Folyamatfejlesztő Budapest
Spanish Speaking Service Desk Representative