4 pluginy pre bezpečnejší WordPress
24. 10. 2012 | Honza
Dnes si ukážeme 4 pluginy, ktoré urobia váš web na WordPresse nepriestreľným. Príspevok pripravil náš spolupracovník Jan Horna.
Pochopiteľne je dobré dodržiavať hlavné zásady, ktoré výrazne zvýšia bezpečnosť webu postaveného na redakčnom systéme WordPress.
Bezpečnosť webu môžete ešte zvýšiť, ak použijete niektorý z nižšie uvedených pluginov.
Plugin BulletProof Security ochráni váš web pred mnohými typmi útokov: XSS, RFI, CRLF, CSRF, Base64, ďalej pred záškodníckym vložením kódu do vašich stránok (Code Injection) a taktiež pred SQL Injection. Plugin automaticky nastaví súbory .htaccess, čo obmedzí prístup do jednotlivých adresárov na vašom serveri. Naviac sú ochránené všetky dôležité konfiguračné súbory systému WordPress, predovšetkým tie, ktoré obsahujú prístupové údaje, heslá a ďalšie citlivé informácie (napr. wp-config.php, bb-config.php, php.ini, install.php). K dispozícii je taktiež tzv. maintenance mode (HTTP 503), ktorý si majiteľ webu môže aktivovať jedným kliknutím v prípade, že chce na webe robiť úpravy, ktoré vyžadujú dočasné zníženie bezpečnosti.
Po inštalácii pluginu je vhodné v administrácii – nastavení pluginu zvoliť všetky dostupné bezpečnostné režimy na záložke „Security Modes“. Vždy ide len o jediné kliknutie. Na záložke „Security Status“ si potom môžete skontrolovať tieto nastavenia:
Podobným pluginom, ktorý automaticky predchádza najčastejším bezpečnostným hrozbám systému WordPress, je Secure WordPress. K jeho funkciám patria:
Všetky uvedené funkcie si môže užívateľ zvoliť na stránke s nastavením pluginu.
Tento plugin prehľadáva databázu systému WordPress a všetky súbory s cieľom identifikovať príznaky zneužitia webu. Plugin nezabráni útokom na váš WordPress, skôr vám napovie, či niektorý zo súborov nebol neoprávnene zmenený, prípadne či na webe neexistujú súbory, ktoré mohol útočník na váš web nahrať.
Môže ísť o najrôznejšie skripty a súbory, ktoré obsahujú odkazy na spam napríklad. Rovnako tak môžu byť tieto škodlivé informácie obsiahnuté v databáze WordPressu, kde nemusia byť na prvý pohľad identifikovateľné. Pre šírenie kódu útočníka bol a stále je často využívaný systém pluginov WordPressu. A práve WP Exploit Scanner vám pomôže tieto podozrivé kúsky kódu nájsť.
4. TimThumb Vulnerability Scanner
TimThumb je malý kúsok kódu (a súčasť WordPressu), ktorý v minulosti spôsoboval majiteľom webov na WordPresse nemalé problémy. Skript má za úlohu zmenšovať a orezávať obrázky, ktoré užívateľ WordPressu nahraje na svoj web. Bohužiaľ TimThumb bol z pohľadu bezpečnosti veľkou hrozbou a obľúbeným terčom útočníkov.
Preto bol vytvorený TimThumb Vulnerability Scanner, ktorý testuje, či je skript TimThumb na vašom webe aktuálny a či nepredstavuje bezpečnostné riziko. V prípade, že nemáte na webe aktuálnu verziu, tak vám plugin ponúkne aktualizáciu na bezpečnú verziu.
Toľko teda kvarteto užitočných pluginov, ak to s bezpečnosťou svojho webu na WordPressu myslíte vážne. A to by ste rozhodne mali.
Na záver tohto príspevku by sme radi pripomenuli, že na našom hostingu môžete WordPress nainštalovať na jedno kliknutie.