18 939
Tesztek Android Google Apple Microsoft Samsung Huawei Nokia Linux Biztonság Tudomány Facebook Videojáték Film
ga
/ContentUploads/A743/wordpress.jpg
Kattints ide  ➜

Biztonságos WordPress ‑ 7. rész

Droppa Béla2015.04.05. 19.56
Mivel Magyarországon a magánszemélyek után egyre több cég kezd vállalati blogba, illetve a céges weboldalak is folyamatosan népszerűbbé válnak, szükségesnek éreztük bemutatni az egyik legnépszerűbb webes motorban, a WordPressben rejlő sérülékenységeket. Cikksorozatunk nyolc héten át nyolc epizódból fog állni, majd egy összegző cikkben summázni fogjuk a felismeréseket, így megkönnyítve a biztonság előremozdítását.

Sorozatunk eddig megjelent részei:
Biztonságos WordPress – 1. rész
Biztonságos WordPress – 2. rész
Biztonságos WordPress – 3. rész
Biztonságos WordPress – 4. rész
Biztonságos WordPress – 5. rész
Biztonságos WordPress – 6. rész
Biztonságos WordPress – 7. rész


HTTPS engedélyezése a belépéskor és az adminfelületen



Ha szigorúan vesszük, akkor a HTTPS önmagában nem egy protokoll, inkább a normál HTTP a TLS/SSL titkosításba becsomagolva. A megoldás a weboldalak és a webalkalmazások számára biztosítja, hogy a befogadó azonosításával jusson el a titkosított adat az egyik pontból a másikba. Jelen pillanatban a HTTPS leginkább az internetes bankoláskor, valamint az online vásárláskor kerül előtérbe, de véleményem szerint mindig használni kellene, amikor szenzitív információt cserélünk.

A titkosítani kívánt oldal látogatószámával arányosan rendkívüli rendszerigénye van a TLS/SSL protokollnak, emiatt a legtöbb esetben nem az egész webszájt kerül titkosításra. Ez természetesen nem is szükséges, hiszen egy blogposztot nem kell titkosítva elküldeni és fogadni, viszont bejelentkezésnél fontos lenne a biztonságos kommunikációs csatorna biztosítása. Ennek értelmében a belépéshez szükséges-, valamint az adminfelületet kell titkosítva elérni.

A WordPress egyszerűen lehetővé teszi a wp-login és a wp-admin felületek TLS/SSL titkosítását. Ezt a wp-config.php fájlban végzett alábbi változtatással lehet könnyedén elérni. Azt mindenképpen hozzá kell fűznöm, hogy a beállítás csak akkor fog működni, ha a szerveren már konfiguráltuk a TLS/SSL profilt. Amennyiben ez megtörtént, a wp-config.php fájlba az alábbi sort szükséges beilleszteni, így a bejelentkezésünk adatai titkosítva jutnak el a szerverhez.

define('FORCE_SSL_LOGIN', true);


A WordPress adminfelületén végzett szenzitív változtatások titkosításához pedig az alábbi kód szükségeltetik, szintén a wp-config.php fájlban.

>define('FORCE_SSL_ADMIN', true);
Kattints ide  ➜

Vernee Apollo X okostelefon előrendelési akció
Az Apple bemutatta a piros iPhone‑t
A legnagyobb rivális gyárthatja a 2018‑as iPhone A12 processzorát
Miért nincs még hajlítható Samsung telefon?
Majdnem androidos lett a Nintendo Switch
A Vivaldi újragondolta a böngészési előzmények kezelését
Felkapott témák
Elképesztően drága az Apple iPhone 7+ Retro
Megérkezett és letölthető az Android 8.0
Így szivárgott ki Emma Watson meztelen videója és bikinipróbája
Mintha a Google kicsit túltolná a megfigyelést
Újabb Android 8.0 újdonságok szivárogtak ki
Snapdragon vs. Exynos – Kiderült, hogy melyik Galaxy S8 változat lesz az erősebb
Állásajánlatok
Jr. Java fejlesztő
Raktárlogisztikai rendszerüzemeltető IS Superuser
Technology Intern – Portfolio Management Analytics - Budapest
Consultant, Release Engineering CRM
Graphic designer wanted
EMC Méréstechnikai Mérnök
Értékesítési és termékmenedzser