Архив на категория: Дали да не хакна нещо…

Как да защитим WordPress сайт от нежелани атаки?

Когато работим с платформата трябва да знаем как да защитим WordPress сайт от нежелани атаки. Това е процес, който отнема време, но колкото и да е то, е малко, в сравнение с щетите, които може да причини липсата му.

В статията Сигурност на основните директории в един WP сайт съм описал подробно, че едно от нещата, които трябва да направите е да промените разрешението на достъп (CHMOD) папките в основната директория на WordPress.

Следващата стъпка е да промените първоначалната си парола за достъп до административния панел и да премахнете „user 1“ от профила си (вашето потребителско име), което много често е admin. Какво трябва да направите е описано много добре в статията Атака към сайтове, използващи WordPress! Какви мерки да вземете.

Ето последващите две важни стъпки когато се опитваме как да защитим WordPress сайт от нежелани атаки.

Как да защитим WordPress сайт, чрез промяна на адреса за вход в страницата

Много често входа в административната част на страницата е /wp-admin.php или /wp-login.php. Ето защо е желателно да промените тази връзка. Можете да я направите както си искате през MySQL базата данни (в този случай се посъветвайте с хостинг доставчика ви) или да използвате специално приложение за това Better WP secuity. Който и случай да изберете, можете да промените връзката както си искате вие, например: www.myblog.com/jsdkghksd. Има още

Сигурност на WP сайт чрез сървър конфигурация

Сигурност на WP сайт чрез сървър конфигурация е продължение на предишната публикация – Сигурност на основните директории в един WP сайт.

Какво трябва да знаете или да направите за да затрудните хакерите от недобронамерено проникване в блога ви с цел да направят поредната поразия?

Ето ги и основните стъпки, които да следвате:

1. Сървър конфигурация на MySQL база данни

– желателно е тя да е във версия 5.5.32 или поне 5.5.25.

2. Сървър конфигурация на PHP

– желателно е PHP версията да е 5.4.16 или с една идея по-висока – 5.4.17. И в двете версии вашият блог или страница ще имат повече от добра защита.

3. Сървър конфигурация на PHP max_execution_time

– ако размера няма значение :D, то поне скоростта със сигурност има. 30s или 60s е добра максимална скорост на PHP execution time.

4. Сървър конфигурация на PHP Memory Limit

– PHP паметта е от значение също. Препоръчвам 256М

5. PHP allow_url_include

– PHP allow_url_include трябва да бъде изключено.

6. PHP allow_url_fopen

– също трябва да е изключен.

Ако по първите четири точки сте зависими от хост доставчика, то т.5 и т.6 можете сами да ги направите. Достатъчно е да намерите файл php.ini и да направите следните настройки:
allow_url_include = off
allow_url_fopen = off

7. Dangerous PHP Functions

– трябва да деактивирате най-опасните PHP функции, които по един или друг начин са врата за някои хакерски атаки.

Отново в php.ini трябва да намерите директивата disable_functions и да добавите следния ред:
disable_functions = system,exec,passthru,shell_exec,proc_open

Ето и най-опасните PHP функции за сигурността на блога/страницата ви:

disable_functions = apache_child_terminate, apache_setenv, define_syslog_variables, escapeshellarg, escapeshellcmd, eval, exec, fp, fput, ftp_connect, ftp_exec, ftp_get, ftp_login, ftp_nb_fput, ftp_put, ftp_raw, ftp_rawlist, highlight_file, ini_alter, ini_get_all, ini_restore, inject_code, mysql_pconnect, openlog, passthru, php_uname, phpAds_remoteInfo, phpAds_XmlRpc, phpAds_xmlrpcDecode, phpAds_xmlrpcEncode, popen, posix_getpwuid, posix_kill, posix_mkfifo, posix_setpgid, posix_setsid, posix_setuid, posix_setuid, posix_uname, proc_close, proc_get_status, proc_nice, proc_open, proc_terminate, shell_exec, syslog, system, xmlrpc_entity_decode

Реално погледнато, в първите четири точки сте зависими от хост доставчика. Вече разбирате, защо ако ще правите WP блог или сайт е важен избора на хостинг доставчик. Не е само цена на годишен план и домейн име, не е само ежедневна поддръжка и др. Трябва да се интересувате какви продукти използват, какви версии и ако не са очакваните да ги питате кога смятат да ги ъпдейтнат.

По последните три точки е чисто и просто ваша работа. Не се мотайте, ами почвайте. Успех!

*Забележка – Запомнете! Файлът php.ini не е WordPress файл!

Световен ден на блогърите! Давам ти право на „hate“

Днес е 14 юни – Световен ден на блогърите. Казвам го за тези които не знаят. Дълго мислих как да го отпразнувам и реших да е нещо нестандартно.

Ако изхождаме от факта, че блогърите са съвременните защитници на истината (някои от тях де, не всички), то това означава, че политиците или корпорациите, които са засегнати от „острия им език“ трябва да им го върнат тъпкано.

Аз политик, или търговска корпорация не съм оплюл, както трябва. Знам, че мога, но не искам. Така де, защо да си „късам нервите“. Но има една на която съм фен, една медийна група, която всеки ден ме кара да се чувствам жив – БТВ МЕДИА ГРУП 😀 😀 😀

Забележка: за тези които не знаят защо бТВ ми пишат лично на електронната поща с израза „Г-н Николов, Вие май не харесвате нашата телевизия“ да прочетат причината.

Ето защо реших да им дам шанс точно днес, на моят светъл празник, да изразят един протест срещу мен, срещу моето писане, срещу моята личност и гласно да напишат коментар – БОЙКО, ТИ СИ ЕДИН ДОЛЕН ИНТЕРНЕТ МАЗОХИСТ И ХУЛИГАН!

Ами да, не само бТВ, всеки който има желанието да се разтовари от ежедневието и просто иска да наругае някой, заповядайте да коментирате под тази публикация, няма да изтрия нито един коментар. Наругайте ме, ако ще се почувствате по-добре… заповядайте!

По тази причина, заради цялото ви недоволство, на титулната страница (и на всички други) на този блог ще е един своеобразен протест срещу същността ми, скрита в един script code някъде из сайта. Пуснете си звука, за да има по-голям ефект 😀

Световен ден на блогърите

Онлайн решаване на спорове предвижда ЕС

На вниманието на онлайн търговците – Европейският съюз предвижда онлайн решаване на спорове за страните членки на общността.

 

Отделен регламент разглежда онлайн решаването на спорове (ОРС). Той предвижда онлайн платформа на всички езици на ЕС, която да бъде създадена и поддържана от Европейската комисия. Платформата, която ще бъде достъпна през портала „Your Europe“, ще предлага стандартни формуляри за подаване на жалби и ще предлага на купувачите най-подходящата схема за решаване на техния спор.

Обменът на информация ще бъде защитена от разпоредбите на ЕС в областта на неприкосновеността на личния живот и правилата за защита на личните данни. Платформата ще бъде на разположение за всеки спор за онлайн продажба, независимо от това, дали продавачът се намира в ЕС.

„Потребителите и търговците, особено по-малките, се чувстват несигурни по отношение на онлайн търговията зад граница, защото не знаят къде да се обърнат за помощ, ако се натъкнат на проблем. ОРС ще им даде увереност да купуват и продават в целия ЕС“, заяви докладчикът по въпроса. Източник – Regal.bg

Няма нищо лошо, ама си задавам един въпрос – толкова много оптимизиране, е-услуги и е-законодателство само подхранват глада на хакерите 😀 Да не се появи отнякъде „е-Красьо черния“ 😀

Това обаче с решаването на всеки спор за онлайн продажба, независимо от това, дали продавачът се намира в ЕС някак си не ми се вижда приложимо, особено ако онлайн магазина е от Китай?

Защо паролите никога не са били толкова слаби, колкото са сега

Ето една наистина интересна статия на Борислав Кирилов с едно вярно твърдение: помниш ли паролата си, значи не става.

Дори 13-т или 16 значна парола в наше време не може да се смята за безопасна. Само шест дена след след изтичането на 6,5 млн паролни хеша от LinkedIn над 90% от паролите бяха разкрити. Преди няколко години това бе трудно дори да се представи. На сайта на ArsTechnica е публикувана голяма обзорна статия , в която подробно се обясняват причините за трансформациите, които станаха в областта на разбиването на пароли през последните няколко години.
Основната мисъл е в това, че средната парола през 2012 година е слаба както никога до сега. Това се обяснява с няколко причини. Първо и най-очевидното: «числодробилките» GPU, с които става подбора на хешове, са станали значително по-мощни през последните години. Например, AMD Radeon HD7970 GPU е способен да изчисли 8,2 милиарда хеша в секунда. Но това не е главната причина.
Най-важното е, че техниката на разбиване на пароли през 2009-2012 кардинално се е усъвършенствала. По мнение на специалисти, не е възможно дори да се сравняват онези примитивни методи на атака чрез речник, които се използваха преди, и аналитиката базирана на десетки милиони изтекли пароли, които са достъпни на специалистите сега.
Източниците на сегашните проблеми са от 2009 година, когато стана най-масовото в историята изтичане на потребителски пароли. В резултат на SQL-инжекция на сайта RockYou хакерите успяха да изтеглят 32 милиона пароли в открит текст. От този момент започна нова епоха. Има още

Сменете си паролата за LinkedIn, сега, веднага!

Ако имате акаунт в Linkedin, отидете и си сменете паролата, сега, веднага.

Причината за това е, че около 6.5 млн. потребителски пароли са били откраднати от сървърите на LinkedIn и някой теоретично може да ги ползва, за да влезе и поеме контрол върху вашия личен акаунт. Има още

Какво е Phishing?

Всеки един администратор или уеб разработчик на сайтове се страхува от много неща, които биха затруднили работата му, или биха я заплашили по някакъв начин. Едно от тези неща е phishing. За phishing може да научиш по два начина – единият е непрекъснато да следиш развитието на сайта си, вторият е да получи докладно писмо от хост доставчика, или домейн доставчика. Аз разбрах по вторият начин. За един мой клиент бе докладвано, че в конкретна директория на сайта има phishing. А какво всъщност е phishing?

Това е начин потребителите на компютри да бъдат измамени така, че да разкрият своя лична или финансова информация в имейл съобщение или уеб сайт. Най-често онлайн фишингът започва с имейл, който изглежда като официално съобщение от надежден източник, например банка, фирма за кредитни карти или почтен онлайн търговец. В имейла получателите биват насочени към измамнически уеб сайт, където им се поисква да предоставят лични данни, например номер на сметка или парола. След това тази информация обикновено се използва за кражба на самоличност

В моят случай phishing беше измислен уеб сайт прикрепен към pfo-bg.com, който приканваше клиентите да предоставят лични данни свързани с номера на кредитната карта. Веднага възниква въпроса – Как де се предпазим от phishing? Има още

Азиатските хакери стават все по-дръзки

„Азиатските хакери стават все по-дръзки“ – наистина интересно, особено като говорим за 10-годишен шпионаж в американският телекомуникационен концерн Nortel Networs.