Tesztek Android Google Apple Microsoft Samsung Huawei Nokia Linux Biztonság Tudomány Facebook Film
ga
/ContentUploads/A720/wordpress.jpg

Biztonságos WordPress ‑ 5. rész

2015.03.22. 11.40
Mivel Magyarországon a magánszemélyek után egyre több cég kezd vállalati blogba, illetve a céges weboldalak is folyamatosan népszerűbbé válnak, szükségesnek éreztük bemutatni az egyik legnépszerűbb webes motorban, a WordPressben rejlő sérülékenységeket. Cikksorozatunk nyolc héten át nyolc epizódból fog állni, majd egy összegző cikkben summázni fogjuk a felismeréseket, így megkönnyítve a biztonság előremozdítását.

Sorozatunk eddig megjelent részei:
Biztonságos WordPress – 1. rész
Biztonságos WordPress – 2. rész
Biztonságos WordPress – 3. rész
Biztonságos WordPress – 4. rész
Biztonságos WordPress – 5. rész
Biztonságos WordPress – 6. rész
Biztonságos WordPress – 7. rész


A wp-admin könyvtárhoz való hozzáférés szigorítása



A jelszóval védett WordPress adminisztrációs felületének egy extra HTTP hitelesítő réteggel való ellátása hatékony intézkedés a behatolókkal szemben, hiszen így még nehezebb kitalálni egy felhasználó jelszavát. Amennyiben ez mégis sikerülne, teljes irányítást nem tudnak egykönnyen szerezni, hiszen ahhoz még a HTTP hitelesítési réteget is át kellene törni, így férnek csak hozzá a bejelentkező űrlaphoz.

Az Apache HTTP szerverek esetében egy .htpasswd fájl, valamint néhány konfigurációs direktíva hozzáadásával érhetjük el mindezt, amelyeket alább részletesen leírunk. A .htpasswd fájlok a felhasználók azonosításához nélkülözhetetlen felhasználói név—jelszókivonat állományokat tartalmazzák. A .htpasswd fájlokat a htpasswd paranccsal, vagy egy online jelszófájl-generátorral hozhatunk létre.

Számos Linux disztribúció alapból a htpasswd segédprogrammal érkezik, de a legtöbb Debian és Ubuntu felhasználónak szüksége lesz az apache2-utils csomag telepítésére, aminek folyamata alább látszódik.

apt-get update
apt-get upgrade
apt-get install apache2-utils


Miután a htpasswd felinstallálódott, az alábbi parancsot futtassuk le, hogy létrehozzunk egy .htpasswd fájlt. A parancs által életre hívott .htpasswd állományt a /srv/auth/.htpasswd alatt fogjuk megtalálni, egy myuser.htpasswd felhasználói névvel. Ezután az általunk választott jelszó beírása és megerősítése fog következni. Azt azért fontos megemlíteni, hogy a biztonság kedvéért a .htpasswd fájlokat jobb egy olyan könyvtárban tárolni, amit a webről nem lehet elérni.

htpasswd -c /srv/auth/.htpasswd myuser


Az egyszerű HTML azonosítás bekapcsolásához a wp-admin könyvtáron aktiválni kell a lent részletezett direktívát, hivatkozva a korábban létrehozott .htpasswd fájlra. Az alábbi sorokat kell beilleszteni a szerverünk Apache konfigurációs fájljának megfelelő szekciójába, vagy a wp-admin könyvtár .htaccess fájljába.

AuthType Basic
AuthUserFile /srv/auth/.htpasswd AuthName "WordPress Authenticated area."
Require valid-user


A fenti sorokban az AuthType az azonosítás típusát határozza meg, az AuthUserFile a .htpasswd fájlhoz való elérési utat adja meg, az AuthName pedig a bejelentkezéskor megjelenített szöveget, az üzenetet tartalmazza. Itt is megemlítendő, hogy ezt a fájlt érdemes a webtől elzárt területen tárolni. Egyébként a legtöbb konfigurációban a .ht-val kezdődő fájlok nem elérhetőek a webről, de léteznek kivételek, így emiatt egy megerősítést megér a történet.

Forrás: Acunetix