Zaštita login forme
Najbolji način zaštite je jaka lozinka koju mijenjate s vremena na vrijeme. Ukoliko ste vi jedini korisnik onda mozete ubaciti zaštitu u htaccess u wp-admin direktoriju, ali još bolji način po mom mišljenju je SECONDARY password protection.
Dodavnje “secondary password protection” koristi HTTP identifikaciju. To se radi ovako:
Kreiraj text fajlu sa željenim korisniškim imenom i lozinkom, na primjer ovako:
korisnicko ime: enkriptiran pasword
Zahtjevaj to korisnicko ime i lozinku putem lokalne htaccess fajle.
Da bi enkriptovali lozinku probajte ove onlajn alatke:
• 4WebHelp’s encryption tool – http://www.4webhelp.net/us/password.php
• Alterlinks password generator – http://shop.alterlinks.com/htpasswd/htpasswd.php
• htmlite’s encryption page – http://www.htmlite.com/HTA006a.php
Save (spasi) tekst fajlu i nazovi je .htpasswd i stavi je na sigurno mjestu u server, negdje iznad public_html ili root web direktory.
Kad ste najzad kompletirali kreaciju fajle s lozinkom i smjestili je na server, zapamtite ili zapišite lokaciju.
Sad napravi ako nemas .htaccess koji treba smjestiti u wp-admin direktorij. U taj htaccess stavi sledeći kod:
# SECURE LOGIN PAGE
<IfModule mod_auth.c>
AuthUserFile /full/path/.htpasswd
AuthType Basic
AuthName “Password Required!”
<Files wp-login.php>
Require valid-user
</Files>
</IfModule>
Promijeni full server path kako odgovara lokaciji fajle i to bi trebalo biti to. Ova metoda će tražiti od svakoga da kad se nađe u loginu ubace tajno korisničko ime i lozinku. Ukoliko želite da zaštitite kompletnu wp-admin direktorij na ovaj način samo umjesto “secure login page” stavi “SECURE ADMIN DIRECTORY”. Više na ovu temu cete naci na http://httpd.apache.org/docs/2.0/programs/htpasswd.html
Pored navedenih direktorija i fajli, neke od onih koje trebate zaštititi su:
• .htaccess
• .htpasswd
• php.ini
• PHP scripts
• Flash source files (.fla format)
• Photoshop files (.psd format)
• Log files
Ukloni broj wordpress verzije koju koristiš
Još jedan način koji može zaštititi sajt je skrivanje broja verzije wordpressa. Većina tema sadrži u sebi u “head” nešto kao:”leave this for stats please.” Statistika je važna ali ni blizu tako važna kao sigurnost. Kod koji mnoge teme koriste za pokazivanje verzije wordpressa je:
<meta name=”generator” content=”WordPress <?php bloginfo(‘version’); ?>” />
Da bi spriječili ovu informaciju da se pokaže, deletiraj tu liniju koda. To je za starije teme. Novije teme koriste kodove koji su u wp_generator funkciji koja je ukopana u jezgru wordpressa. Ova vrsta kodiranja se neutrališe unosenjem koda u functions.php korištene teme:
<?php remove_action(‘wp_head’, ‘wp_generator’); ?>
Osiguraj databazu
Kao sto već znate, wordpress koristi wp prefiks za sve svoje fajle. Pošto većina nikad ne mijenja prefiks, milioni sajtova ga imaju i napadi koji koriste SQL-injection automatski traže te prefikse. Promjena prefiksa vas štiti od tih napada. plugini koji to rade za vas su:
• WP Prefix Table Changer – http://blogsecurity.net/wordpress/tool-130707
• WordPress Table Prefix Rename – http://www.seoegghead.com/software/wordpress-table-rename.seo
• WP Security Scan – http://wordpress.org/extend/plugins/wp-security-scan/
Ili, ručno na ova dva načina koja se koriste u zavisnosti od toga da li je nova instalacija bloga ili mijenjate postojeći blog.
Promijeni prefix prije nove instalacije.
Sve što treba uraditi da bi se izmijenio prefix prije instalacije je izmjena table_prefix vrijednosti u wp-config.php.
Promjena prefiksa na postojećem blogu
1. Prije nego išta uradiš na postojećem blogu, napravi backup i to dva put radi sigurnosti.
2. Edituj wp-config i stavi novu prefix
3. Otiđi sad na server u phpMyAdmin i nadji databazu. Sad napravi komandu za sve jednu tablu pri čemu xxx treba da bude novi prefiks.
rename table wp_comments to xxx_comments;
rename table wp_links to xxx_links;
rename table wp_options to xxx_options;
rename table wp_postmeta to xxx_postmeta;
rename table wp_posts to xxx_posts;
rename table wp_terms to xxx_terms;
rename table wp_term_relationships to xxx_term_relationships;
rename table wp_term_taxonomy to xxx_term_taxonomy;
rename table wp_usermeta to xxx_usermeta;
rename table wp_users to xxx_users;
Provjeri da li ima još tabli pa i njih promijeni na isti način.
4. sad nađi “options” tablu i klikni na “Browse”. U “option_name” redu lociraj “wp_user_roles” i promijeni wp u novi prefiks.
5. Otvori “usermeta” tablu i klikni na “Browse the contents”. U “meta_key” kolumni, nađi sva polja sa prefiksom wp i zamjeni ih sa novim prefiksom.
Kad zavrsis, vrati se na websajt i vidi da li sve radi kako treba.
Alternativni način izmjene prefiksa.
Downloadiraj databazu kao SQL fajlu. Otvori u teks formatu. Koristeći “search / replace” funkciju i sve wp prefikse zamijeni u novi. Sad prateći pravila kako su opisana u clanku o backupu websajta, DROP sve table u staroj databazi i importiraj ovu što ste zamijenili prefikse. Na kraju edituj wp-config kako je iznad opisano. Jedna od dobrih stvari sa wordpressom je baš ova. Sve možeš uraditi na više načina i niste vezani za samo jedan.
Osiguraj visestruke instalacije
Ukoliko imate više instalacija wordpressa na jednom serveru, najbolja zaštita je korišćenje unikatnih administrativnih korisničkih imena i lozinki tako da ako neko provali jednu ne može automatski provaliti u sve instalacije.
Spriječi Hotlinking
Hotlinking je ono sto se dešava kad neko uzme vas sadržaj i stavi ga na svoj sajt. To se obično dešava sa slikama. Neki dufus samo kopira članak sa slikama, stavi ga na svoj website. Pošto je slika na vašem serveru hotlinking vak krade bandwidth i može da vam ugrozi sajt. O ovome sam pisala u članku o ispravnoj krađi sadržaja. Spriječavanje hotlinkovanja je važna stavka ako imate dosta slika, muzike, videa na blogu.
Najlaksa i najefikasnijia anti-hotlinking strategija je korišćenje htaccessa.
# HOTLINK PROTECTION
<IfModule mod_rewrite.c>
RewriteEngine on
RewriteCond %{HTTP_REFERER} !^$
RewriteCond %{REQUEST_FILENAME} -f
RewriteCond %{REQUEST_FILENAME} .(gif|jpe?g?|png)$ [NC]
RewriteCond %{HTTP_REFERER} !^https?://([^.]+.)?domain. [NC]
RewriteRule .(gif|jpe?g?|png)$ – [F,NC,L]
</ifModule>
Jedino što treba zamijeniti u navedenom kodu je riječ “domain” koji treba da bude vaš domen. Ja bih trebala da stavim “bosancionline”. PAŽNJA: Kod štiti sve jpg, jpeg, gif i png ekstenzije. Ukoliko želite da uključite druge ekstenzije kao sto je ico dodaj |odmah poslije |png sa vertikalnom linijom između u 6oj i 8oj liniji. Više o ovome možete pročitati na http://perishablepress.com/press/2007/11/21/creating-the-ultimate-htaccess-anti-hotlinking-strategy/
Dodatna pomoć za zaštitu sajta
Za zaštitu sajta postoje i plugini kao što su:
• Maximum Security plugin – https://wpsecurity.net/
Štiti i trakira evente, blokirašstetne sadržaje, i ima jak firewall.
• WordPress AntiVirus – http://wordpress.org/extend/plugins/antivirus/
Antivirus za wordpress koji omogućava ručno testiranje, automatska upozorenja i whitelist funkcije.
• Admin SSL – http://wordpress.org/extend/plugins/admin-ssl-secure-admin/
Admin SSL osigurava LogIn page, administraciju i sve sadržaje koje izaberete. Koristi privatne i shared SSL
• BlogSecurity’s WPIDS plugin – http://blogsecurity.net/wordpress/wpids-v012-officially-released
Otkriva napade i blokira ih. Svaki napad je jasno pokazan sto olakšava administraciju.
• AskApache Password Protect – http://wordpress.org/extend/plugins/askapache-password-protect/
Štiti od napada automatskih skripta, spama. Štiti wp-admin, wp-includes, wp-content, i plugine.
• WP Security Scan – http://wordpress.org/extend/plugins/wp-security-scan/
Skenira wordpress instalaciju tako što otkriva poznate rupe dajući vam prijedloge kako da ih začepite.
• WordPress Firewall – http://www.seoegghead.com/software/downloads/wordpress-firewall.seo
Blokira napade s listom potencijalno opasnih parametara.
• Login Lockdown – http://wordpress.org/extend/plugins/login-lockdown/
Blokira IP adrese onih korisnika koji imaju previše neuspjelih pokušaja logiranja.
• TAC (Theme Authenticity Checker) – http://builtbackwards.com/projects/tac/
Skenira wordpress fajle za skrivene zloćudne kodove i reportira vam ih.
• Stealth Login – http://wordpress.org/extend/plugins/stealth-login/
Omogućava kreaciju specijalnih URL za login i administraciju.
• Force SSL – http://almosteffortless.com/2005/11/03/force-ssl-plugin/
Uspostavlja sigurnu SSL konekciju tako što redirektira sa HTTP na HTTPS.
• Safer Cookies – http://wordpress.org/extend/plugins/safer-cookies/
Spriječava nedozvoljeni pristup tako što specifiše cookije po IP adresi
• Admin SSL – http://wordpress.org/extend/plugins/admin-ssl-secure-admin/
Osigurava osjetljiva područja putem SSL.
• Chap Secure Login – http://wordpress.org/extend/plugins/chap-secure-login/
Poboljšava zaštitu sa jakim enkriptovanim lozinkama.
• InspectorWordpress – http://wordpress.org/extend/plugins/inspector-wordpress/
Monitoruje i logira sve zahtjeve upućene vašem wordpressu.
{ 5 comments… read them below or add one }
Pozdrav mozes li pojasniti ovaj hotlinking gdje se ubaci ovaj kod tacno nasao sam dosta mojih slika kopiranih pa mi je ovo jako bitno ali sam noob pa neznam gdje tacno ovaj kod da ubacim
Kod se stavlja u .htaccess fajlu. Da bi radilo potrebno je da je mod_rewrite enabled ili dozvoljen na severu. Ovaj metod sprijecava da neko “hotlink” slike sa tvoje web stanice sto znaci da je slika na tudjem sajtu prikazana dok je jos na tvom serveru.
Ovaj metod ne sprijecava nikoga da skine {downloadira) sliku i stavi je na svoj server i tako koristi. Neki ljudi stave zig na slike sto sliku cini neupotrebljivom za tudje stanice mada ima i drugih metoda.
Jos nesto, da bi provjerili da li slike mogu biti hotlinkovane mozes ubaciti url slike na ovu stanicu i isprobati:
http://altlab.com/hotlinkchecker.php
Lol opet se nesnalazim moze li neki mali tutor kako se to radi
Ako budem imala vremena, bit ce tutor. Jedna stvar za razmisliti prije pokusaja da se slike blokiaju. Velike web stranice kao sto su Washington Post, Huffington Post, CNN i slicne ne blokiaju svoje slike mada su bas njihove slike najcesce kopirane i hot linkovane. Ako to oni ne rade, da li je igranje sa .htaccess fajlom preporucljivo? Ja mislim da nije, i da pretjerana opreznost zna da vise steti nego pomaze.
{ 1 trackback }