WordCamp София 2013 – въпроси и отговори за защита на WordPress сайтове

Преди две седмици взехме участие в едно събитие, като направихме и вас част от него. Събитието е WordCamp София 2013 и за четвърта поредна година събра потребители и почитатели на WordPress.

В тази публикация ще дадем отговорите на вашите въпроси по темата за защита на WordPress сайтовете, които поискахме от вас да ни задавате в статията Спечелете безплатен пропуск за WordCamp София 2013. Организаторите на събитието бяха така любезни да ги предоставят специално за читателите на нашия блог. Споделяме ги с вас и вярваме, че така ще помогнем сайтове ви да бъдат още по-сигурни и още по-защитени.

Ето вашите въпроси и отговорите им:

Бих искала да науча повече по въпроса какви са подобренията в 3.6 и предстоящите версии от гледна точка на сигурността и защитата от атаки. – Цветелина

Марио Пешев:
В последните 2 версии влязоха редица малки неща, които подобряват сигурността. Практически повечето атаки успяват заради външни теми/приложения, стари WordPress версии или тривиални потребителски имена и пароли.В тази насока WordPress премахна автоматичното попълване на „admin“ потребителското име при регистрация и добави нов детектор за полетата за задаване и смяна на парола – с повишена сигурност. Автоматичните обновления за минорни версии ще инсталират автоматично ъпдейтите за сигурност на дадена версия.

Между другото, аз използвам и предшественика на новите ъпдейти в 3.7 – Advanced Automatic Updates – който обновява и глобалните версии, както и теми и плъгини. Съществува опасност от проблем със сайта, ако някой плъгин има конфликт с новата версия или обновление на плъгина създава проблем с друго, но при подбор на достатъчно надеждни и поддържани плъгини, това е сигурен вариант за множество сайтове.

Доколкото това също касае темата за защитата, кои са най-добрите практики за backup на базата данни? Включително и от гледна точка на периодичността (на колко време). – Пламен Петров

Станко Методиев:
Относно backup на базата данни аз лично използвам два подхода:BackupBuddy  платен plugin, който има опция за автоматични backup-и на базата данни, както и на файловете. Също така използвам и ръчен backup през cPanel-а на СуперХостинг.БГ – от секция Backups или ръчно през phpMyAdmin-а.

В доста статии предлагат и този безплатен плъгин, който явно върши добра работа, но не съм го тествал лично и не мога да кажа: Plugin WP-DBManager.

Относно периодичността – аз лично си правя седмичен backup, но аз лично не блогвам достатъчно често. А и тук вече зависи от личните предпочитанията на всеки 🙂

На мен ми е любопитно кои файлове влизат под шапката на „ядрото“ и ще има ли някакъв вариант за бекъп, преди да се извършва автоматичния ъпдейт. – Йордан Манчев

Марио Пешев:
Ядрото включва кода, който потребителите получават при инсталация на нова версия (основата на WordPress и стандартните теми). Автоматичните ъпдейти от WordPress 3.7 засега са само за минорните версии, например: 3.7.1, 3.7.2, но не 3.8. Малките версии имат за цел единствено решаване на малки критични проблеми, пропуснати при разработката, или дупки в сигурността, така че глобална нова функционалност, която да причини проблеми, на практика не може да има.

Бих искал да попитам какъв е цикълът на разработка на уърдпрес – на колко дни излиза нова версия при нормални обстоятелства и на колко дни излиза нова версия с кръпка затваряща дупка в сигурността (когато бъде открита такава). Втория ми въпрос е очаква ли се да има автоматизиран ъпдейт (той също ще подпомогне сигурността) на ядрото скоро? – Едуард Димитров

Марио Пешев:
Никола е отговорил за историята до момента, макар че в 3.8 има драстични промени в процеса на работа. Очакваната дата за версия 3.8 е 12-ти декември, като философията вече работи на принципа „интеграция на плъгини в ядрото“. Новите функционалности първо се разработват като разширения, след което се интегрират в дадена версия. Това дава възможност за допълнително странично тестване, добавяне на нови „hooks“ в ядрото, и прави възможно изключването на даден плъгин за дадена версия, ако процесът се забави.На този етап плановете са за нови версии на всеки 2 месеца (грубо), а доколко това е точно, ще стане ясна след следващите 2-3 версии.

Здравейте, кои са най-добрите плъгини за защита? – Цветан

Христо Чакъров:
Аз използвам:1. Limit Login Attempts – органичава броя на грешните опити за вход

2. SI Captcha Plugin – кепча 🙂

Всичко останало съм го правил на ръка (IP white-list, HTTP password protection)

Можете ли да стравните сигруността на WP с тази на Joomla? Коя е с по-висока степен? – Пламен Желязков

Марио Пешев:
Трудно е да се направи такава оценка. В уравнението влизат много променливи – версия на системата, надеждност на хостинг компанията, наличието на конкретни теми или разширения. Двете системи имат добро ниво на сигурност, но, както всички останали, имат нужда от допълнителна настройка и поддръжка за сериозни сайтове.

Каква е възможността да се предпазват потребителите от плъгини в които има интегриран зловреден код? Някакъв вид проверка или поне съобщение което да е по стряскащо от това че даденият плъгин не е тестван на текущата версия на WordPress? – Свилен Стоянов

Марио Пешев:
Практически гаранция няма. В WordPress.org новите плъгини минават през ревюта, в които се прави одит на сигурността. Това обаче не засяга последователните обновления на всеки плъгин, по време на които може да се вкара зловреден код. На WordPress.org работят и автоматични скенери, които засичат част от познатите проблеми.Най-добрият начин да се намали рискът от неприятни изненади е да се използват плъгини от надеждни източници (а не произволни сайтове в Google) и познати автори в общността.

Колкото по-незнаен е сайтът или непознат разработчикът, толкова пo-вероятно е да се появят проблеми в последствие.

Какви са добрите практики срещу брут форс освен POST Cookie Protection и Block HTTP/1.0 POSTs? – Михаил Харизанов

Христо Чакъров:
За мен най-добрата практика си остава IP white-list за достъп до wp-login.php. Разбира се, това не работи за всеки, ако се налага да влиза всеки път от различно IP. Ако обаче вкъщи и/или в офиса имате статично IP – white list ще ви свърши работа.Password protection през HTTP също си е вариант (с различен юзър и парола разбира се) – тогава имаме още една стена, през която трябва да минат ботовете.

Плъгини като Limit Login Attempts пък ограничават броя на грешните опити за вход от определено IP.

Искам да попитам – WP имали вградени защити против XSS, Sql Injection, RFI/LFI? – Петко Ангелов

Марио Пешев:
Стандартната функционалност на WordPress е защитена от атаки от неоторизирани потребители. Що се отнася до теми и разширения, има редица API-та и колекции от функции за сигурност: Data Validation колекцията, wpdb класа за работа с базата от данни (включващ автоматична защита за повечето заявки и функции за prepare statement), Settings API за създаване на Theme Options страници и др. При разширенията, които са с отворен код, няма как да се гарантира сигурността, тъй като те не се контролират от конкретна компания или програмист.

Има ли начин как да разберем дали в някой plugin или template има инжектиран код или слабост в кода, който в по-късен етап да срути сайта ни? И има ли плъгин писан от dev-a на WP, който ще свърши тази работа автоматично (проверката)? – Николай Еленков

Станко Методиев:
На самият WordCamp имаше лекция/дискусия на тема „Choosing a WordPress Theme“, където Марио Пешев даде примери за услуги, които може да ни помогнат в избора на подходяща тема. На кратко: преди публикуването на тема или плъгин в WordPress.org, екип от доброволци и админи минават през code review, в което се правят проверки точно за такъв тип зловреден код, спазване на WordPress стандартите и др.Ето и няколко предложения за такъв тип автоматична проверка: Theme-Check, Sucuri Security, WP-Compatibility .

Има ли начин за валидиране на екстеншъните на wordpress и скриптовете заложени под тях от гледна точка експлойти през тях? – Мартин Стоянов

Марио Пешев:
100% автоматизиран тест няма как да съществува, но има няколко разширения, които могат да помогнат. Изброил съм някои от тях в презентацията ми от WordCamp-а – http://talks.devwp.eu/choosing-a-wordpress-theme/

Има ли смисъл да променяме името и локацията на админския панел (/wp-admin)? – Петър Русев

Марио Пешев:
Възможно е да блокира малка част от атаките, но при надеждни потребителско име и парола, използването на плъгини за лимитиране на опитите като Limit Login Attempts и интеграция с Cloudflare могат да лимитират спамърите и ботовете и да намалят драстично вероятността от пробив.

А какво препоръчваме ние, от СуперХостинг.БГ, и най-често използваните методи за защита, може да прочетете за на нашата помощна страница: Повишаване на сигурността на WordPress.

Повече информация за събитието може да намерите на официалния уеб сайт на
WordCamp Sofia. Можете да проследите и как протече денят в Twitter с хаштаг #WCSof и да разгледате снимки във Facebook страницата на WordCamp Bulgaria.

Вярваме, че събитието бе полезно за тези, които присъстваха. Надяваме се с тази публикация да сме били полезни и на онези, които не успяха да бъдат с нас. Насреща сме ако имате още въпроси! Питайте! 🙂

СуперХостинг.БГ
СуперХостинг.БГ
СуперХостинг.БГ е СуперЕкипът! Ежедневно всеки дава най-доброто от себе си, за да можете вие, клиентите на СуперХостинг.БГ, да сте номер едно. СуперСилата на СуперЕкипа е, че винаги е готов да ви даде точната информация, тази от която се нуждаете и за която питате.
0 0 votes
.
Абониране
Уведоми ме при
guest

1 Коментар
Inline Feedbacks
View all comments
Какви са ползите от SSL сертификата за сайта и неговите потребители?

Какви са ползите от SSL сертификата за сайта и неговите потребители?

0
Използването на SSL сертификат и сигурна HTTPS връзка за сайта е категоричен показател, че държите на доверието и сигурността на посетителите му.
3 стъпки за органично бизнес онлайн присъствие

3 стъпки за органично бизнес онлайн присъствие [Аудио]

2
Под „органично присъствие“ имаме предвид всички начини, чрез които потребителите могат да разберат за Вашия бизнес, без да плащате за позициониране (реклама).
6 причини за съобщение Internal Server Error 500

6 причини за съобщение Internal Server Error 500 [Аудио]

11
Причините за генерирането на това съобщение може да са най-различни - некоректно изпълняващ се скрипт в сайта, некоректни права на файлове и директории и други