V článku Three tips to protect your WordPress installation nájdete 3 odporúčania ako zabespečiť CMS WodrPress a tak zvýšiť svoje šance pred nenechavými šikulmi. Ak sa vám nechce lúskať anglický text, tu sú tie tri body v slovenčine:
- Vyhoďte metatag informujúci o verzii vašej inštalácie zo šablóny. Šikulovia môžu cielene vyhľadávať len nezáplatované inštalácie.
- Vyprázdnite súbor wp-content/plugins/index.html Bývajú tam informácie o tom, aké pluginy používate. Šikulovia môžu využiť chybu v kóde tretej strany.
- Zamedzte prístup do admin sekcie pomocou súboru .htaccess pre všetky IP adresy okrem vašej. Čo šikula nevidí, to ho nebude lákať.
Všimnite si všeobecnú platnosť týchto troch odporúčaní pre akékoľvek hromadne vyrábané CMS. Je až zarážajúce, aké sú tie rady jednoduché, dokonca by som povedal triviálne. Skoro ako nastavenie zákazu vylistovania adresára v admine hostingu. Dokonca aj ja ako jednoduchý farmaceut som ich aplikáciu zvládol.
Teda okrem toho .htaccess. Nieže by bol problém nakopírovať tam tie správne IP adresy, ale výzvou je, že by som potreboval definovať niekoľko rozsahov IP adries (niekoľko mojich stabilných lokalít, odkiaľ pristupujem) a aj tak by ma toto opatrenie veľmi obmedzovalo. Kúzlo webových aplikácii je práve v ich dosahu odvšadiaľ. Takto by som sa často odpílil. Naopak, Matt v článku píše, že toto opatrenie ho skutočne už ochránilo od hacknutia jeho inštalácie WordPressu. Tak neviem, má to cenu? Pýtam sa odborníkov.
Tento článok má aj ďalší rozmer. Vrámci konzultácii a objednávania dodávok a inštalácii webových aplikácii treba položiť doplňujúcu otázku: Ako zabezpečujete priamy prístup do admin adresárovej štruktúry? Bolo by fajn, dostať na ňu aspoň nejakú zmysluplnú odpoveď čo dokáže posúdiť aj poučený užívateľ.
Ako správneho audítora ma samozrejme napadla jedna zaujímavá úloha: Zistite, koľko eShopov má priamo prístupný xml súbor v ktorom informujú rôzne tovarové katalógy o svojom sortimente. Nie je nad to dať k dispozícii svoj každotýždenne aktualizovaný cenník v štrukturovanej podobe do rúk konkurencie. Že neviete čo s ním? Trendy, nie absolútne čísla sú zaujímavé.
Tie dve sú reálne a nestoja ťa nič… ale ten zákaz v htaccess si jednoducho nemôžem dovoliť z presne tých istých dôvodov, ktoré si spomenul.
Pripájam sa totiž z množstva IP adries, niekedy aj náhodných a nechce sa mi update-ovať htaccess podľa toho, kde práve som. Viem, je to blbé, som lenivý a radšej podstúpim to riziko.
namiesto IP adries do htacces tam davam dalsiu ochranu heslom: .htpasswd . paranoia rulez.
Tu tematiku xml + eshopy by si mohol rozvinut. zaujima ma to 🙂
Tie prve dva body sa daju vyriesit jednoducho, zakupenim proprietarneho uzavreteho systemu, do ktoreho zdrojovych kodov nema kazdy pritup 🙂 Okrem supportu a dalsej starostlivosti to ma aj takuto vyhodu.
Stvrty bod ohladom XML je zaujimavy. Chce to vypozorovat z akych IP adries sa pripajaju boti Zbozi.cz a obmedit XML export na tieto adresy.