18 073
Tesztek Android Google Apple Microsoft Samsung Huawei Nokia Linux Biztonság Tudomány Facebook Videojáték Film
/ContentUploads/A732/wordpress.jpg
Kattints ide  ➜

Biztonságos WordPress ‑ 6. rész

Droppa Béla2015.03.29. 20.08
Mivel Magyarországon a magánszemélyek után egyre több cég kezd vállalati blogba, illetve a céges weboldalak is folyamatosan népszerűbbé válnak, szükségesnek éreztük bemutatni az egyik legnépszerűbb webes motorban, a WordPressben rejlő sérülékenységeket. Cikksorozatunk nyolc héten át nyolc epizódból fog állni, majd egy összegző cikkben summázni fogjuk a felismeréseket, így megkönnyítve a biztonság előremozdítását.

Sorozatunk eddig megjelent részei:
Biztonságos WordPress – 1. rész
Biztonságos WordPress – 2. rész
Biztonságos WordPress – 3. rész
Biztonságos WordPress – 4. rész
Biztonságos WordPress – 5. rész
Biztonságos WordPress – 6. rész
Biztonságos WordPress – 7. rész


Fájlszerkesztés kikapcsolása



A WordPress alapbeállításai az adminok számára engedélyezik, hogy a WordPress adminisztrációs felületén szerkesszék a témák és a pluginok PHP fájljait. A támadók a legnagyobb valószínűséggel ezt próbálnák meg kijátszani, ugyanis amint megszerezték az uralmat az adminisztratív fiók(ok) fölött, könnyűszerrel ki tudják végezni a szervert, kizárólag parancsok beírásával. Amennyiben a wp-config.php fájlba beírjuk a következő sort, kikapcsoljuk az adminisztrációs felületen belüli szerkesztést.

define('DISALLOW_FILE_EDIT', true);



Felhasználónév-számlálás tiltása



A legtöbb WordPress blog lehetőséget ad arra, hogy egy aktív, legalább egy posztot létrehozó szerző archív oldalán keresztül megszámláljuk a felhasználókat. Hogy ez miért is baj? A támadók furfangosak, és ezzel a metódussal könnyedén kitalálhatják az adott felhasználónevet, onnan pedig már csak egy lépés a jelszó megszerzése. A gyökérkönyvtárban található .htaccess fájlhoz a következő sorokat hozzáadva megtiltjuk a WordPressnek a felhasználók listázását.

RewriteCond %{QUERY_STRING} author=d
RewriteRule ^ /? [L,R=301]
Kattints ide  ➜

Az Androbit technológiai és tudományos magazinnál hiszünk abban, hogy az információ mindenkit megillet. Hosszú évek munkájával megszerzett hírnevünknek köszönhetően megadatott számunkra az a lehetőség, hogy műszaki témájú médiumként is elérhessünk minden internetező korosztályt. Tesszük ezt olyan hírekkel és cikkekkel, amik között egyaránt szerepel nagyobb tömegeket és kisebb szakmai csoportokat érintő tartalom is.

A témák gondos összeválogatásának és a cikkek minőségi kidolgozottságának hála mára Magyarország egyik legnépszerűbb technológiai és tudományos információforrásává váltunk – fejlesztéseinkkel és kutatásainkkal pedig igyekszünk mindig egy lépéssel a versenytársak előtt járni.

A weboldalunkon található, szerkesztőségünk által készített tartalmakra vonatkozó összes felhasználási jogot az Androbit technológiai és tudományos magazin birtokolja. A tartalmak egyes részleteinek felhasználását kizárólag látványos (vagy jól hallható) forrásmegjelöléssel engedélyezzük. A feltételek megszegésének jogi következményei lehetnek. A feltételektől eltérő tartalomfelhasználás kizárólag megegyezés útján lehetséges.
Copyright © 2007-2017 – Makay József (makay@androbit.net)