17 498
Tesztek Android Google Apple Microsoft Samsung Huawei Nokia Linux Biztonság Tudomány Facebook Videojáték Film
/ContentUploads/A720/wordpress.jpg
Kattints ide  ➜

Biztonságos WordPress ‑ 5. rész

Droppa Béla2015.03.22. 11.40
Mivel Magyarországon a magánszemélyek után egyre több cég kezd vállalati blogba, illetve a céges weboldalak is folyamatosan népszerűbbé válnak, szükségesnek éreztük bemutatni az egyik legnépszerűbb webes motorban, a WordPressben rejlő sérülékenységeket. Cikksorozatunk nyolc héten át nyolc epizódból fog állni, majd egy összegző cikkben summázni fogjuk a felismeréseket, így megkönnyítve a biztonság előremozdítását.

Sorozatunk eddig megjelent részei:
Biztonságos WordPress – 1. rész
Biztonságos WordPress – 2. rész
Biztonságos WordPress – 3. rész
Biztonságos WordPress – 4. rész
Biztonságos WordPress – 5. rész
Biztonságos WordPress – 6. rész
Biztonságos WordPress – 7. rész


A wp-admin könyvtárhoz való hozzáférés szigorítása



A jelszóval védett WordPress adminisztrációs felületének egy extra HTTP hitelesítő réteggel való ellátása hatékony intézkedés a behatolókkal szemben, hiszen így még nehezebb kitalálni egy felhasználó jelszavát. Amennyiben ez mégis sikerülne, teljes irányítást nem tudnak egykönnyen szerezni, hiszen ahhoz még a HTTP hitelesítési réteget is át kellene törni, így férnek csak hozzá a bejelentkező űrlaphoz.

Az Apache HTTP szerverek esetében egy .htpasswd fájl, valamint néhány konfigurációs direktíva hozzáadásával érhetjük el mindezt, amelyeket alább részletesen leírunk. A .htpasswd fájlok a felhasználók azonosításához nélkülözhetetlen felhasználói név—jelszókivonat állományokat tartalmazzák. A .htpasswd fájlokat a htpasswd paranccsal, vagy egy online jelszófájl-generátorral hozhatunk létre.

Számos Linux disztribúció alapból a htpasswd segédprogrammal érkezik, de a legtöbb Debian és Ubuntu felhasználónak szüksége lesz az apache2-utils csomag telepítésére, aminek folyamata alább látszódik.

apt-get update
apt-get upgrade
apt-get install apache2-utils


Miután a htpasswd felinstallálódott, az alábbi parancsot futtassuk le, hogy létrehozzunk egy .htpasswd fájlt. A parancs által életre hívott .htpasswd állományt a /srv/auth/.htpasswd alatt fogjuk megtalálni, egy myuser.htpasswd felhasználói névvel. Ezután az általunk választott jelszó beírása és megerősítése fog következni. Azt azért fontos megemlíteni, hogy a biztonság kedvéért a .htpasswd fájlokat jobb egy olyan könyvtárban tárolni, amit a webről nem lehet elérni.

htpasswd -c /srv/auth/.htpasswd myuser


Az egyszerű HTML azonosítás bekapcsolásához a wp-admin könyvtáron aktiválni kell a lent részletezett direktívát, hivatkozva a korábban létrehozott .htpasswd fájlra. Az alábbi sorokat kell beilleszteni a szerverünk Apache konfigurációs fájljának megfelelő szekciójába, vagy a wp-admin könyvtár .htaccess fájljába.

AuthType Basic
AuthUserFile /srv/auth/.htpasswd AuthName "WordPress Authenticated area."
Require valid-user


A fenti sorokban az AuthType az azonosítás típusát határozza meg, az AuthUserFile a .htpasswd fájlhoz való elérési utat adja meg, az AuthName pedig a bejelentkezéskor megjelenített szöveget, az üzenetet tartalmazza. Itt is megemlítendő, hogy ezt a fájlt érdemes a webtől elzárt területen tárolni. Egyébként a legtöbb konfigurációban a .ht-val kezdődő fájlok nem elérhetőek a webről, de léteznek kivételek, így emiatt egy megerősítést megér a történet.

Forrás: Acunetix
Kattints ide  ➜

Az Androbit technológiai és tudományos magazinnál hiszünk abban, hogy az információ mindenkit megillet. Hosszú évek munkájával megszerzett hírnevünknek köszönhetően megadatott számunkra az a lehetőség, hogy műszaki témájú médiumként is elérhessünk minden internetező korosztályt. Tesszük ezt olyan hírekkel és cikkekkel, amik között egyaránt szerepel nagyobb tömegeket és kisebb szakmai csoportokat érintő tartalom is.

A témák gondos összeválogatásának és a cikkek minőségi kidolgozottságának hála mára Magyarország egyik legnépszerűbb technológiai és tudományos információforrásává váltunk – fejlesztéseinkkel és kutatásainkkal pedig igyekszünk mindig egy lépéssel a versenytársak előtt járni.

A weboldalunkon található, szerkesztőségünk által készített tartalmakra vonatkozó összes felhasználási jogot az Androbit technológiai és tudományos magazin birtokolja. A tartalmak egyes részleteinek felhasználását kizárólag látványos (vagy jól hallható) forrásmegjelöléssel engedélyezzük. A feltételek megszegésének jogi következményei lehetnek. A feltételektől eltérő tartalomfelhasználás kizárólag megegyezés útján lehetséges.
Copyright © 2007-2017 – Makay József (makay@androbit.net)
Csomókötés atomi szinten
A Microsoft levédette a széthajtható okostelefon koncepcióját
A Galaxy S8 szerepelhet a Samsung legújabb videójában
10 év börtönre ítélhetik a 21 éves programozót
Vernee Apollo Lite okostelefon ‑ 10 magos rendszerchippel és 4 GB RAM‑mal
Cellebrite: Meghackelték a hackereket
Felkapott témák
A Facebook és a Messenger app újraindítása csökkentheti az akksimerülést
Túl gyorsan nőtt nagyra a Xiaomi
Saját céget indított az Android társalapítója
A Samsung már nem titkolja a Galaxy S8 külsejét
Folyadékhűtéssel érkezett a Samsung Galaxy C7 Pro
10 év börtönre ítélhetik a 21 éves programozót
Állásajánlatok
German speaking Reporting Specialist Sales Data Management - VOC0001U0
Project Manager Budapest
Gyártástámogató mérnök hegesztési területen
Scrum Master - Cloud & BigData
Security Architect
Beszerzést támogató mérnök Autóipari R&D területre
Linux rendszergazda