WP-Security Scan – plugin wordpress

Scris de Cristi Ursut in Blogging, Scripturi Web la 04 29th, 2009 | Un raspuns

Tags: hack, plugin, plugin wordpress, script, securitate online, vulnerabilitati, wordpress, WP-Security

Deoarece am patit urat o data cu unul din blogurile mele, acord o mare atentie securitatii blogului, macar pentru a ingreuna o tentativa de hackuire. WordPressul este pana la urma o platforma free si mai are cateva vulnerabilitati. WP-Security Scan mi se pare unul din cele mai utile pluginuri WordPress. El cauta cateva din aceste mici vulnerabilitati si unde le depisteaza te anunta si iti da si niste indicii cum sa le rezolvi. Faptul ca acest plugin e instalat nu inseamna ca te-a si ferit de toate “talhariile” online, insa asa cum ziceam mai sus, cel putin ingreuneaza o parte.

Unele din vulnerabilitati se datoreaza si faptului ca este cunoscuta structura wordpressului. Si aici ma refer la faptul ca este cunoscuta structura bazelor de date, prefixul standard este wp, iar userul de admin stardard este… admin. In momentul in care aceste standarde nu mai sunt…standarde nu mai e nimic asa usor. Atunci, WP-Security Scan verifica sa avem in primul rand ultima versiune WordPress (in mod normal e cea mai stabila), sa fie schimbat prefixul bazelor de date, sa nu existe userul “admin” ci unul spefic (daca userul este cunoscut, se poate incerca spargerea parolei prin metoda fortei brute – se incearca toate combinatiile de parole cu programe specifice). Verifica deasemenea permisiunile fisierelor astfel incat sa nu aiba mai multe decat le trebuie (daca in wp-config.php sunt permisiuni de scriere si citire pt oricine poate fi jale…). In plus, are un tool de generare a unei parole complicate destul de greu de memorat de catre om, insa mult mai sigura in ce priveste protectia. Un ultim tool, pentru cei care au fost convinsi sa schimbe prefixul la baza de date in cazul in care aveau cel standard (wp_). Acesta schimba prefixul la toate tabelele, insa e necesar ca wp-config.php sa aiba permisiuni de scriere pentru operatiunea asta.

Pe langa asta, mai adaug eu un sfat: Atat parola blogului cat si parola de la ftp e bine sa nu fie salvata in brower, respectiv in programul cu care accesati ftp-ul. Nu se stie niciodata ce spyware poate ajunge in calculator.

Dupa parerea mea, sunt 2 tipuri de “spargatori” de site-uri. Cei care o fac ca si amuzament, si cei care o fac serios. Filozofica imparteala, nu? Totusi, i-am impartit asa, pentru ca cei care o fac doar ca se distreze o fac in general la gramada, indiferent de renumele blogului, si probabil doar incearca sa exploateze una din vulnerabilitati prin vreo metoda clasica. De ex. vorbeam mai sus de forta bruta cand vine vorba de spargerea unei parole cand userul e admin. Daca userul nu e admin, si nu il stie, o sa mearga aproape sigur la blogul urmator pentru ca in mod normal scopul lui e sa sparga cat mai multe, nu sa isi stoarca creierii cu unul anume (poate nici nu stie decat metoda aia). Cei care o fac serios o fac cu un scop precis si in mod normal se leaga doar de site-urile cu adevarat importante.

Downdload Wp-Security Scan

Posturi asemanatoare:

• AdminBar-ul de la WordPress – mutat jos
• WordPress 2.8 – primele impresii
• WordPress 3.0
• A aparut WordPress 3.3
• Plugin WordPress: WP RoSocial