18 530
Tesztek Android Google Apple Microsoft Samsung Huawei Nokia Linux Biztonság Tudomány Facebook Videojáték Film
/ContentUploads/A743/wordpress.jpg
Kattints ide  ➜

Biztonságos WordPress ‑ 7. rész

Droppa Béla2015.04.05. 19.56
Mivel Magyarországon a magánszemélyek után egyre több cég kezd vállalati blogba, illetve a céges weboldalak is folyamatosan népszerűbbé válnak, szükségesnek éreztük bemutatni az egyik legnépszerűbb webes motorban, a WordPressben rejlő sérülékenységeket. Cikksorozatunk nyolc héten át nyolc epizódból fog állni, majd egy összegző cikkben summázni fogjuk a felismeréseket, így megkönnyítve a biztonság előremozdítását.

Sorozatunk eddig megjelent részei:
Biztonságos WordPress – 1. rész
Biztonságos WordPress – 2. rész
Biztonságos WordPress – 3. rész
Biztonságos WordPress – 4. rész
Biztonságos WordPress – 5. rész
Biztonságos WordPress – 6. rész
Biztonságos WordPress – 7. rész


HTTPS engedélyezése a belépéskor és az adminfelületen



Ha szigorúan vesszük, akkor a HTTPS önmagában nem egy protokoll, inkább a normál HTTP a TLS/SSL titkosításba becsomagolva. A megoldás a weboldalak és a webalkalmazások számára biztosítja, hogy a befogadó azonosításával jusson el a titkosított adat az egyik pontból a másikba. Jelen pillanatban a HTTPS leginkább az internetes bankoláskor, valamint az online vásárláskor kerül előtérbe, de véleményem szerint mindig használni kellene, amikor szenzitív információt cserélünk.

A titkosítani kívánt oldal látogatószámával arányosan rendkívüli rendszerigénye van a TLS/SSL protokollnak, emiatt a legtöbb esetben nem az egész webszájt kerül titkosításra. Ez természetesen nem is szükséges, hiszen egy blogposztot nem kell titkosítva elküldeni és fogadni, viszont bejelentkezésnél fontos lenne a biztonságos kommunikációs csatorna biztosítása. Ennek értelmében a belépéshez szükséges-, valamint az adminfelületet kell titkosítva elérni.

A WordPress egyszerűen lehetővé teszi a wp-login és a wp-admin felületek TLS/SSL titkosítását. Ezt a wp-config.php fájlban végzett alábbi változtatással lehet könnyedén elérni. Azt mindenképpen hozzá kell fűznöm, hogy a beállítás csak akkor fog működni, ha a szerveren már konfiguráltuk a TLS/SSL profilt. Amennyiben ez megtörtént, a wp-config.php fájlba az alábbi sort szükséges beilleszteni, így a bejelentkezésünk adatai titkosítva jutnak el a szerverhez.

define('FORCE_SSL_LOGIN', true);


A WordPress adminfelületén végzett szenzitív változtatások titkosításához pedig az alábbi kód szükségeltetik, szintén a wp-config.php fájlban.

>define('FORCE_SSL_ADMIN', true);
Kattints ide  ➜

Trump egy Samsung Galaxy S3‑mal veszélyezteti az egész világ biztonságát
A Google nyilvánosságra hozta a Windows súlyos sebezhetőségét
G Data antivírus kuponakció mindenkinek!
LG G6 – hírek, pletykák, kiszivárgott részletek
Kiderült, hogy mi lesz az Android 8.0 neve
Feltörték Donald Trump weboldalát
Felkapott témák
Brutálisan magas áron érkezhet a Samsung Galaxy S8
Trump egy Samsung Galaxy S3-mal veszélyezteti az egész világ biztonságát
Kiderült, hogy mi lesz az Android 8.0 neve
PC-t varázsol a telefonunkból a Remix Singularity
Újabb fotók szivárogtak ki a Samsung Galaxy S8-ról
Jön a Snapchat-okostelefon
Állásajánlatok
Projektgazda 71908
CRM kampány menedzser
Junior Projektmenedzser
Létesítés támogató területi referens - Szekszárd/Dunaújváros 64822
Software Architecht
Project Engineer
Alkatrészfelelős mérnök - Villamos motor vezérlőegység