Biztos, ami biztos

Tárhelyszolgáltatónk, a Silihost – teljesen jogosan – felvetette, hogy írjak a WordPress biztonsági kérdéseiről. Egy-két dolgot már írtam erről (admin felhasználó lecserélése, fájlok attribútumának 644-en tartása és hasonlók), de most szeretném itt, a WP-Suliban megjeleníteni azt az eljárást, amelyet az  ő blogjukban olvastam a belépő oldal védelméről. Fontos tudni!

Az alábbiakban egy hasznos, egyszerű védelmi beállítási lehetőséget mutatok be, melynek segítségével a tartalomkezelő rendszerek “főbejáratai”, az adminisztrációs belépési oldalak – és azok könyvtárai – védhetőek az illetéktelen belépési próbálkozásoktól.

A CMS-eket (Content Management System, azaz tartalomkezelő rendszer) legfőképpen – de nem minden esetben – az adminisztrációs belépő oldalakon keresztül próbálják megtámadni. Az Apache webszerver azonban egyszerűen utasítható, hogy a saját Internet-szolgáltatónk által kiosztott IP-címünkön kívül más látogatónak ne engedje megnyitni a CMS belépőoldalát.

Első lépésként keressük meg a CMS-rendszerünk admin-könyvtárát, amely a WordPress esetében a wp-admin könyvtár.

Ezt követően meg kell tudjuk saját IP-címünket: keressük fel a http://www.geoiptool.com/ oldalt. Az IP Address mezőben találjuk az aktuális, szolgáltatónk által számunkra kiosztott IP-t. Mivel a lakossági Internet-hozzáférések döntő többségében dinamikus IP-t alkalmaznak a szolgáltatók, ezért saját tartományunkat fogjuk engedélyezni az alábbi példa alapján.

A 94.27.158.32 IP-t osztotta ki számomra a T-Mobile, így a következő .htaccess elnevezésű fájlt másoltam fel a silihost.net/wp-admin könyvtárába:

<Files *>
order deny,allow
deny from all
allow from 94.27.0.0/16
</Files>

Esetemben tehát, amíg a T-Mobile a 94.27.x.x tartományból ad számomra IP-t, addig a .htaccess-utasítás szerint engedélyezve van számomra a wp-admin könyvtáron keresztüli belépés. Mit teszek, ha megváltozik az IP-tartomány? Az allow from 94.27.0.0/16 alá egy újabb sort illesztek be az aktuális IP-tartománnyal, pl. ha az új IP-m a 93.72.168.21, akkor az allow from 93.72.0.0/16 utasítást alkalmazom.

A fenti trükk természetesen nem helyettesíti a CMS rendszeres frissítéséből eredő biztonságot, eképpen csak kiegészítésként alkalmazandó. Amennyiben a CMS-rendszerünk a regisztrált látogatónkat ugyanezen admin-könyvtár által engedi belépni, akkor természetesen nem ajánlott alkalmazni a tiltást. Minden egyéb esetben – akár egyedi honlap-kódnál is – fokozza a biztonságot a .htaccess-alapú IP-korlátozás.

Antal Béla

(Az eredeti cikk itt olvasható: http://silihost.net/?p=159)

 

Oszd meg Te is:

Share on facebook
Facebook
Share on google
Google+
Share on twitter
Twitter
Share on linkedin
LinkedIn

Ezek is érdekesek lehetnek számodra: 

Iratkozz fel hírlevelünkre!

Javasolt eszközök:

Banner250x250.png
Elementor Pro
Generatepress Logo White Asset
GeneratePress
Divi 4.0
Divihello
Prémium támogatás és ajándék Divi licence
Adatvedelem.png
ADATVÉDELEM minta
Aszf.png
Webshop ÁSZF minta

“Biztos, ami biztos” bejegyzéshez 12 hozzászólás

  1. További biztonsági beállítások/lehetőségek a teljesség igénye nélkül:
    – egyszer használatos jelszavak használata
    – sikertelen belépések loggolása
    – sikertelen próbálkozások számának limitálása
    – erős jelszó
    – nem admin user név
    – frissítések
    – meta infó eltüntetése
    stb…

    🙂

  2. Erre írt a Móni feljebb megoldást 🙂 Feltételezve, hogy mindig egy tartományból oszt a szolgáltató IP-t. Mert ha nem, akkor nagyon szélesíteni kell az engedélyezett kört, és értelmét veszti az egész.

  3. Erre a sorra gondoltam, ezt kell törölni az oldal forrásából:

    meta name=”generator” content=”WordPress 2.9.2″

    És ezt nem elég a témából törölni, hanem a wordpress által generáltat is törölni kell.

    Magyarul vannak olyan kinézetek, ahol kétszer is szerepel ez a forrásban, és mind a kettőt törölni kell.

  4. Üdv!

    Érdemés még tiltani a /wp-includes mappát:

    order deny,allow
    deny from all

    Ha viszont a látogatók használják a user.php-t, vagy más fájlt, akkor ezt engedni kell nekik. A jobbfajta CMS-ekben az alábbi módon van felsorolva, hogy mely fájlok érhetőek el a rendszerkönyvtárból, míg az összes többi állomány meghívását tiltják.

    Allow from all

    Deny from all

  5. Eleddig egyetlen, fizetős webshopban találkoztam olyannal, hogy a rendszerkönyvtárakban egy-egy fájl engedélyezve van. Fizetős rendszertől ez elvárható, ugyanakkor a WP jóval biztonságosabb, mint a Joomla…

Szólj hozzá!

Ez a weboldal az Akismet szolgáltatását használja a spam kiszűrésére. Tudjunk meg többet arról, hogyan dolgozzák fel a hozzászólásunk adatait..