https://blog.superhosting.bg/wordcamp-sofia-2013-answers.html

Натиснете ENTER, за да видите резултатите или ESC за изход.

WordCamp София 2013 – въпроси и отговори за защита на WordPress сайтове

2016-06-21
Новини и събития
wordpress, wordcamp, wordpress конференция, WordCamp София 2013, защита на WordPress, сигурност на WordPress, защита и сигурност, система за управление на съдържанието, CMS, Марио Пешев, Станко Методиев, Христо Чакъров

Преди две седмици взехме участие в едно от “Най-готините БГ уеб събития“, като направихме и вас част от него. Събитието е WordCamp София 2013 и за четвърта поредна година събра потребители и почитатели на WordPress.

В тази публикация ще дадем отговорите на вашите въпроси по темата за защита на WordPress сайтовете, които поискахме от вас да ни задавате в статията Спечелете безплатен пропуск за WordCamp София 2013. Организаторите на събитието бяха така любезни да ги предоставят специално за читателите на нашия блог. Споделяме ги с вас и вярваме, че така ще помогнем сайтове ви да бъдат още по-сигурни и още по-защитени.

Ето вашите въпроси и отговорите им:
ВъпросБих искала да науча повече по въпроса какви са подобренията в 3.6 и предстоящите версии от гледна точка на сигурността и защитата от атаки. – ЦветелинаОтговорМарио Пешев:
В последните 2 версии влязоха редица малки неща, които подобряват сигурността. Практически повечето атаки успяват заради външни теми/приложения, стари WordPress версии или тривиални потребителски имена и пароли.В тази насока WordPress премахна автоматичното попълване на “admin” потребителското име при регистрация и добави нов детектор за полетата за задаване и смяна на парола – с повишена сигурност. Автоматичните обновления за минорни версии ще инсталират автоматично ъпдейтите за сигурност на дадена версия.

Между другото, аз използвам и предшественика на новите ъпдейти в 3.7 – Advanced Automatic Updates – който обновява и глобалните версии, както и теми и плъгини. Съществува опасност от проблем със сайта, ако някой плъгин има конфликт с новата версия или обновление на плъгина създава проблем с друго, но при подбор на достатъчно надеждни и поддържани плъгини, това е сигурен вариант за множество сайтове.

ВъпросДоколкото това също касае темата за защитата, кои са най-добрите практики за backup на базата данни? Включително и от гледна точка на периодичността (на колко време). – Пламен ПетровОтговорСтанко Методиев:
Относно backup на базата данни аз лично използвам два подхода:BackupBuddy  платен plugin, който има опция за автоматични backup-и на базата данни, както и на файловете. Също така използвам и ръчен backup през cPanel-а на СуперХостинг.БГ – от секция Backups или ръчно през phpMyAdmin-а.

В доста статии предлагат и този безплатен плъгин, който явно върши добра работа, но не съм го тествал лично и не мога да кажа: Plugin WP-DBManager.

Относно периодичността – аз лично си правя седмичен backup, но аз лично не блогвам достатъчно често. А и тук вече зависи от личните предпочитанията на всеки 🙂

ВъпросНа мен ми е любопитно кои файлове влизат под шапката на “ядрото” и ще има ли някакъв вариант за бекъп, преди да се извършва автоматичния ъпдейт. – Йордан МанчевОтговорМарио Пешев:
Ядрото включва кода, който потребителите получават при инсталация на нова версия (основата на WordPress и стандартните теми). Автоматичните ъпдейти от WordPress 3.7 засега са само за минорните версии, например: 3.7.1, 3.7.2, но не 3.8. Малките версии имат за цел единствено решаване на малки критични проблеми, пропуснати при разработката, или дупки в сигурността, така че глобална нова функционалност, която да причини проблеми, на практика не може да има.
ВъпросБих искал да попитам какъв е цикълът на разработка на уърдпрес – на колко дни излиза нова версия при нормални обстоятелства и на колко дни излиза нова версия с кръпка затваряща дупка в сигурността (когато бъде открита такава). Втория ми въпрос е очаква ли се да има автоматизиран ъпдейт (той също ще подпомогне сигурността) на ядрото скоро? – Едуард ДимитровОтговорМарио Пешев:
Никола е отговорил за историята до момента, макар че в 3.8 има драстични промени в процеса на работа. Очакваната дата за версия 3.8 е 12-ти декември, като философията вече работи на принципа “интеграция на плъгини в ядрото”. Новите функционалности първо се разработват като разширения, след което се интегрират в дадена версия. Това дава възможност за допълнително странично тестване, добавяне на нови “hooks” в ядрото, и прави възможно изключването на даден плъгин за дадена версия, ако процесът се забави.На този етап плановете са за нови версии на всеки 2 месеца (грубо), а доколко това е точно, ще стане ясна след следващите 2-3 версии.

ВъпросЗдравейте, кои са най-добрите плъгини за защита? – ЦветанОтговорХристо Чакъров:
Аз използвам:1. Limit Login Attempts – органичава броя на грешните опити за вход

2. SI Captcha Plugin – кепча 🙂

Всичко останало съм го правил на ръка (IP white-list, HTTP password protection)

ВъпросМожете ли да стравните сигруността на WP с тази на Joomla? Коя е с по-висока степен? – Пламен ЖелязковОтговорМарио Пешев:
Трудно е да се направи такава оценка. В уравнението влизат много променливи – версия на системата, надеждност на хостинг компанията, наличието на конкретни теми или разширения. Двете системи имат добро ниво на сигурност, но, както всички останали, имат нужда от допълнителна настройка и поддръжка за сериозни сайтове.
ВъпросКаква е възможността да се предпазват потребителите от плъгини в които има интегриран зловреден код? Някакъв вид проверка или поне съобщение което да е по стряскащо от това че даденият плъгин не е тестван на текущата версия на WordPress? – Свилен СтояновОтговорМарио Пешев:
Практически гаранция няма. В WordPress.org новите плъгини минават през ревюта, в които се прави одит на сигурността. Това обаче не засяга последователните обновления на всеки плъгин, по време на които може да се вкара зловреден код. На WordPress.org работят и автоматични скенери, които засичат част от познатите проблеми.Най-добрият начин да се намали рискът от неприятни изненади е да се използват плъгини от надеждни източници (а не произволни сайтове в Google) и познати автори в общността.

Колкото по-незнаен е сайтът или непознат разработчикът, толкова пo-вероятно е да се появят проблеми в последствие.

ВъпросКакви са добрите практики срещу брут форс освен POST Cookie Protection и Block HTTP/1.0 POSTs? – Михаил ХаризановОтговорХристо Чакъров:
За мен най-добрата практика си остава IP white-list за достъп до wp-login.php. Разбира се, това не работи за всеки, ако се налага да влиза всеки път от различно IP. Ако обаче вкъщи и/или в офиса имате статично IP – white list ще ви свърши работа.Password protection през HTTP също си е вариант (с различен юзър и парола разбира се) – тогава имаме още една стена, през която трябва да минат ботовете.

Плъгини като Limit Login Attempts пък ограничават броя на грешните опити за вход от определено IP.

ВъпросИскам да попитам – WP имали вградени защити против XSS, Sql Injection, RFI/LFI? – Петко АнгеловОтговорМарио Пешев:
Стандартната функционалност на WordPress е защитена от атаки от неоторизирани потребители. Що се отнася до теми и разширения, има редица API-та и колекции от функции за сигурност: Data Validation колекцията, wpdb класа за работа с базата от данни (включващ автоматична защита за повечето заявки и функции за prepare statement), Settings API за създаване на Theme Options страници и др. При разширенията, които са с отворен код, няма как да се гарантира сигурността, тъй като те не се контролират от конкретна компания или програмист.
ВъпросИма ли начин как да разберем дали в някой plugin или template има инжектиран код или слабост в кода, който в по-късен етап да срути сайта ни? И има ли плъгин писан от dev-a на WP, който ще свърши тази работа автоматично (проверката)? – Николай ЕленковОтговорСтанко Методиев:
На самият WordCamp имаше лекция/дискусия на тема “Choosing a WordPress Theme”, където Марио Пешев даде примери за услуги, които може да ни помогнат в избора на подходяща тема. На кратко: преди публикуването на тема или плъгин в WordPress.org, екип от доброволци и админи минават през code review, в което се правят проверки точно за такъв тип зловреден код, спазване на WordPress стандартите и др.Ето и няколко предложения за такъв тип автоматична проверка: Theme-Check, Sucuri Security, WP-Compatibility .

ВъпросИма ли начин за валидиране на екстеншъните на wordpress и скриптовете заложени под тях от гледна точка експлойти през тях? – Мартин СтояновОтговорМарио Пешев:
100% автоматизиран тест няма как да съществува, но има няколко разширения, които могат да помогнат. Изброил съм някои от тях в презентацията ми от WordCamp-а – http://talks.devwp.eu/choosing-a-wordpress-theme/
ВъпросИма ли смисъл да променяме името и локацията на админския панел (/wp-admin)? – Петър РусевОтговорМарио Пешев:
Възможно е да блокира малка част от атаките, но при надеждни потребителско име и парола, използването на плъгини за лимитиране на опитите като Limit Login Attempts и интеграция с CloudFlare могат да лимитират спамърите и ботовете и да намалят драстично вероятността от пробив.

А какво препоръчваме ние, от СуперХостинг.БГ, и най-често използваните методи за защита, може да прочетете за на нашата помощна страница: Повишаване на сигурността на WordPress.

Повече информация за събитието може да намерите на официалния уеб сайт на
WordCamp Sofia. Можете да проследите и как протече денят в Twitter с хаштаг #WCSof и да разгледате снимки във Facebook страницата на WordCamp Bulgaria.

Вярваме, че събитието бе полезно за тези, които присъстваха. Надяваме се с тази публикация да сме били полезни и на онези, които не успяха да бъдат с нас. Насреща сме ако имате още въпроси! Питайте! 🙂

СуперХостинг.БГ

СуперХостинг.БГ е СуперЕкипът! Ежедневно всеки дава най-доброто от себе си, за да можете вие, клиентите на СуперХостинг.БГ, да сте номер едно. СуперСилата на СуперЕкипа е, че винаги е готов да ви даде точната информация, тази от която се нуждаете и за която питате.

500px270px
SuperHosting.BG

Препоръчани статии

Оставете коментар

1 Коментар към "WordCamp София 2013 – въпроси и отговори за защита на WordPress сайтове"

Уведоми ме при
avatar
wpDiscuz