Většina z nás využívá pro tvorbu webu nějaký redakční systém. Ať je to již Joomla, WordPress, Drupal či jakýkoliv jiný. O různých kladech a záporech, jsem již psal v předchozím článku. Ovšem díky velkému použití takovýchto systémů zdarma, se na tyto systémy zaměřují i útočníci. Proto je dobré útočníkům dávat co nejmenší příležitost k napadení našeho webu. Jelikož tento blog běží na WordPressu, tak jsem se rozhodl vytvořit seriál, který projde ty nejdůležitější kroky na zabezpečení vašeho webu, který využívá tento redakční systém.
Zabezpečení wp-config.php
Prvním zásadním krokem, který by jste měli po instalaci udělat, je zamezit vnějšímu přístupu k nejdůležitějšímu souboru ve WordPressu vůbec a tím je wp-congig.php. V tomto soubore je obsaženo jak název databáze, tak i uživatele a hesla. Díky těmto 3 údajům lze poté dělat s databází cokoliv útočník potřebuje. A v databázi je uloženo vše (uživatelé,hesla atd.). Hesla jsou sice šifrována, ale i přesto není dobré, kdyby se údaje z databáze dostali do nepovolaných rukou. Proto do souboru .htaccess (ano i s tou tečkou), vložíme následující kód.
<files wp-config.php>order allow,denydeny from all</files>
Smazání nepotřebných souborů
Dalšími soubory, které jsou zbytečné a nepotřebné pro chod WordPressu jsou soubor license.txt a readme.html . Soubor license.txt obsahuje sice jen údaje o licenci, pod kterou je WordPress distribuován, ale i takovýto soubor, dokáže útočníkovi napovědět, že se jedná o web založený na WordPress a bude se snažit využít chyb tohoto redakčního systému. Další zmiňovaný soubor readme.html, obsahuje číslo verze vašeho WordPressu, díky tomu útočník zjistí, že máte starší verzi a využije její chyb. Tento soubor také obsahuje, odkazy na instalaci a upgrade WordPress. I když se přes tyto odkazy prokliknete, je potřeba přihlášení do administrace, ale k čemu tam mít tento soubor, když je jen informativní a v angličtině a ještě tím usnadňujete napadení útočníkovi.
Hlídání uživatelů
Pokud máte na svém webu povolenou registraci uživatelů dávejte si pozor na dvě zásadní věci. Jaká práva má uživatel, který se čerstvě zaregistruje. Druhou zásadní věcí je, také pravidelná kontrola uživatelů, vymazání neaktivních uživatelů a uživatelů, kteří vytvořili boti. Tyto účty se snaží najít díru i z vnitřku administrace. Proto pokud to není nutné nepovolujte registraci uživatelů.
Ahoj.
K tomu rozeznání, že se web založený na WP, se stačí podívat do kódu. Když nenapoví struktura, kterou ovlivní šablona, je to tam samé „wp-…“ a v případě této stránky i komentáře z pluginů.
Ano samozřejmě, že bot či útočník pozná, že stránka je založena na WordPressu, ale nezjistí na jaké verzi a proto nemůže využít chyby v této verzi. Poté už musí bot zkoušet buď prolomení hesla a nebo všemožné chyby, které byly v různých verzích. Nelze jen tak skrýt na čem je web postavený. Poznáš i web na Joomla, PHP-fusion, Drupal atd.
Díky, soubor .htaccess si hned upravím. Smazáním nepotřebných souborů určitě nikdo nic nezkazí, ale používanou verzi WP obsahuje velmi často také samotná šablona, proto lze snadno vyčíst ze zdrojového kódu. Takže když už budeme mazat zmíněné soubory, musíme také upravit šablonu (většinou header.php), tak aby tyto informace také neposkytovala.
Jsem rád, že ti tento návod pomohl.Ano i většina šablon má v sobě generátor verze, který ukáže, jaký wordpress je právě nainstalovaný. Tomuto tématu se budu věnovat v další části tohoto seriálu.