Koliko god da je WordPress lagan za instalirati ipak zahtjeva rad na održavanju. Jedna od najvažnijih stvari je sigurnost. Kao najpopularniji software na svijetu, WordPress je meta napada svakog hakera. Srećom, baš ta popularnost joj daje i udruženu snagu hiljada najiskusnijih programera koji neumorno rade na novim načinima odbrane, pluginima, skriptama i slično.
Jedna od prvih stvari koju treba napraviti je zaštita fajli. To se radi: ispravnim zaštitnim kodovima “file permissions”, onemogućavanju pristupa direktoriju, zaključavanjem osjetljivih fajli i uvijek novim verzijama wordpressa.
Setovanja dozvola “File Permission”
Hosting kompanija obično ima setinge koji osiguravaju optimalnu zaštitu svake fajle na serveru. Ipak nije loše provijeriti! Razni sistemi različito vrše dozvole pristupa i o tim specifičnostima nećemo ovdje raspravljati. Generalno pak, postoje 3 vrste dozvola
read – citaj – 4
Ova dozvola omogućava čitanje. Ako je na fajlama, vidjet ćes ime fajle i ništa više.
write – piši- 1
Write daje dozvolu za modifikaciju fajli. Ukoliko je na direktorijumu, onda vam daje dozvolu da izmjenite fajle u direktorijumu uključujući kreaciju novih fajli, deleting fajli i mjenjanje imena fajli.
Execute – za aktiviranje programa- 2
Ova se dozvola stavlja na executable binari fajle (kao sto je C++ program) ili shell skripte (kao sto je Perl program) da bi ih operativni sistem mogao koristiti. Kad imate ovu dozvolu na direktoriju, onda se ima pristup subdirektorijima ali ne i fajlama unutar subdirektorija osim ako su setovane sa “Read”.
Na vašem serveru, fajle bi trebale da budu dostupne vama i vašem korisničkom imenu. U većini slučajeva, dozvole su u redu bez da ih vi morate dirati. Jedine iznimke su situacije kad instalirate plugin koji zahtjeva određenu dozvolu i pokaže to kroz error (grešku). Samo tada možete izmjeniti neku dozvolu.
Kako se read – write – execute koristi?
Dozvola se radi u najvecem broju slucajeva brojcano. Nekad su potrebna samo 3 polja nekad 4 s tim da je prvo polje uvijek “0″. Prvi broj (ili druki u 4 broja modelu) je za vlasnika, drugi za grupu i treci za cijeli svijet. Ako je dozvola samo za “read” stavi se 4, ako se dodaje “write” onda je to 4+1=5, ako je read i execute 4+2=6, ako je i read i write i execute onda je 4+1+2=7.
Evo nekoliko pravila za zapamtiti:
Jezgro wordpressa
Jezgro wordpressa treba da ima dozvolu “write” za vas i vaše korisničko ime. Sve wordpress fajle imaju dozvolu 0644. Svi direktoriji imaju dozvolu 0755. Ovaj seting osigurava da je jezgro “writable” samo sa strane korisnika i “readable” za server i svakoga ostaloga.
Root HTAccess file
.htaccess ima labavije dozvole da bi wordpress mogao da piše u njima. Tu se automatski ubacuje kreacija permalink pravila. Bolji način je da se stavi restrikcija i dodaju pravila manualno.
Theme files
Normalno bi tema trebala da ima iste dozvole kao jezgro wordpressa. Ukoliko želite da koristite editor unutra wordpressa onda možda budete morali da promijenite dozvolu na grupi fajli vezanih za temu da budu “writable” za wordpress. Prije nego išta promijenite probajte da li edit radi pa tek onda mijenjajte.
Plugini
Većina plugina radi sa dozvolama koje idu uz wordpress. Neki pak zahtjevaju “writable” pristup raznim fajlama. To se obično odnosi na “wp-content” folder. Probajte sa 755 i ako ne radi stavite 777 ili jos bolje: zaboravite taj plugin. Dozvola 777 je previše opasna za sigurnost bloga.
Directories
Nekoliko direktorija wordpressa zahtjevaju “writable” sa strane wordpressa (da wordpress sam može da piše i ubacuje kod u njih). Prvi takav direktorij je wp-content/cache directory, koji treba da bude “writable” da bi ispravno odrađivao cache. Drugi je wp-content/uploads directory, koji mora biti “writable” da bi korisnici mogli vršiti “upload” sadržaja.
Zapamtite, kod 777 koji daje sva prava svima nije neophodan u većini slucajeva. Više detalja o dozvolama ćete naći na WordPress.org i ovdje .
{ 5 comments… read them below or add one }
Pozdrav mozes li pojasniti ovaj hotlinking gdje se ubaci ovaj kod tacno nasao sam dosta mojih slika kopiranih pa mi je ovo jako bitno ali sam noob pa neznam gdje tacno ovaj kod da ubacim
Kod se stavlja u .htaccess fajlu. Da bi radilo potrebno je da je mod_rewrite enabled ili dozvoljen na severu. Ovaj metod sprijecava da neko “hotlink” slike sa tvoje web stanice sto znaci da je slika na tudjem sajtu prikazana dok je jos na tvom serveru.
Ovaj metod ne sprijecava nikoga da skine {downloadira) sliku i stavi je na svoj server i tako koristi. Neki ljudi stave zig na slike sto sliku cini neupotrebljivom za tudje stanice mada ima i drugih metoda.
Jos nesto, da bi provjerili da li slike mogu biti hotlinkovane mozes ubaciti url slike na ovu stanicu i isprobati:
http://altlab.com/hotlinkchecker.php
Lol opet se nesnalazim moze li neki mali tutor kako se to radi
Ako budem imala vremena, bit ce tutor. Jedna stvar za razmisliti prije pokusaja da se slike blokiaju. Velike web stranice kao sto su Washington Post, Huffington Post, CNN i slicne ne blokiaju svoje slike mada su bas njihove slike najcesce kopirane i hot linkovane. Ako to oni ne rade, da li je igranje sa .htaccess fajlom preporucljivo? Ja mislim da nije, i da pretjerana opreznost zna da vise steti nego pomaze.
{ 1 trackback }