Zavarujmo WordPress

Povprečnemu WordPress uporabniku se ob takšnem naslovu zagotovo poraja vprašanje: “Zakaj za vraga bi jaz moral še kaj dodatno zavarovati WordPress?”. Odgovor je v bistvu čisto preprost.

Osnovna namestitev WordPressa vam nikakor ne zagotavlja najvišje možne varnosti vaših podatkov, ampak samo osnovno. Seveda je ta vodič uporaben samo za tiste, ki imate svoj blog na svoji domeni oz. imate FTP dostop do WordPress datotek.

Že kar nekaj krat sem videl, da je kakšnega slovenskega blogerja pričakalo “prijazno” sporočilo kakšnega zdolgočasenega hekerja, da je šlo vse papa. Vsakič me tudi pri srcu “zaboli”, ko se kakšen bloger “pohvali”, da ima še staro različico WordPressa.

Prvo kot prvo WordPress je treba vedno nadgraditi, takoj ko pride ven nova različica. Zato, ker so ponavadi popravljeni kakšni hrošči, ki jih izkoriščajo hekerji. Zato, vas prosim, da nemudoma nadgradite svoj stari WordPress. Sploh ne bo bolelo. Če ga ne nadgrajujete zaradi nekaj vtičnikov, ki vam zdaj delajo in vam pol ne bi, vas naj razveselim, da so ti vtičniki že tako zastareli in imajo polno lukenj.

V datoteki header.php odstranite vrstico:
<meta name=”generator” content=”WordPress <?php bloginfo(’version’); ?>” /> <!-– leave this for stats please -->
S to vrstico bodo hekerji takoj ugotovili katero različico WordPressa uporabljate in bodo iskali pomankljivosti.

V mapo wp-content/plugins skopirajte prazno index.html datoteko. To bo hekerjem onemogočilo, da bi v primeru, če imate kakšen zastarel vtičnik, to lahko izrabili. Ustvarite jo tako, da odprete Beležnico in shranite prazen dokument kot index.html.

Če do vašega bloga ravno ne dostopate preko zavarovane povezave (SSL), vam priporočam, da si namestite vtičnik “Chap Secure Login”, ki vaše geslo enkriptira med samo prijavo v administratorsko sekcijo (dela na WP 2.3.2).

Zadnji namig je za bolj izkušene blogerje. Zavarujte svoj wp-admin/ direktorij, tako da ga zaklenete na točno določene IPje. To storimo tako, da ustvarimo .htaccess datoteko in jo damo v wp-admin/.htaccess . Preprosto odprite Beležnico prekopirajte spodnji tekst, zamenjajte IPje in shranite kot .htaccess.

AuthUserFile /dev/null
AuthGroupFile /dev/null
AuthName “Access Control”
AuthType Basic
order deny,allow
deny from all
# bel seznam domači IP naslov
allow from 89.233.169.99
# bel seznam IP naslov v službi
allow from 193.147.114.210
allow from 193.239.136.200
# IP naslov v Ljubljani; izbriši, ko se izseliš
allow from 91.163.2.27

Seveda sem IPje zamenjal za tole objavo. Skoraj kot najpomembnejše bi še enkrat izpostavil to, da redno posodabljate svojo WordPress različico.

Imate še kakšen nasvet? Napišite ga v komentarjih!

Some info via Matt Cutts

Posted in Bloganje Tagged with: ,
  • Čaki mal, zakaj bi pa ti blog odpru sam 4-im IP-jem, al si mislu rečt, da bi ta .htaccess moral it v mapo wp-admin/?

  • My bad, površno sem bral 🙂 sem opazil, da si omenil da gre ta .htaccess v wp-admin/

    Aja version info WP pušča še v drugih datotekah:
    wp-atom.php
    wp-links-opml.php
    wp-rdf.php
    wp-rss.php
    wp-rss2.php

  • Jan

    @sverde1: očitno bo treba še od tam pobrisat 🙂

  • Kaj pa naredimo z že obstoječim index.php v wp-contents?

  • Jan

    @Janez: prazno index.html skopiraš v mapo plugins ki je v mapi wp-content 🙂 vse piše 😛

  • @Jan: Ah … kdor nima v glavi … :lol

  • Lol, v Visti sploh ne moreš narediti datoteke z imenom .htaccess