Да развенчая малко митове свързани със сигурността на Wordpress

От: Да развенчая малко митове свързани със сигурността на Wordpress

Имам един такъв въпрос - ако примерно искам да направя сайт, който в последствие ще има много посещения достатъчно безопасно ли е да се използва premium wordpress тема ? Или е по-добре да е нещо custom ?
 
От: Да развенчая малко митове свързани със сигурността на Wordpress

Темите (повечето) не предоставят много слаби мяста откъм секюрити.
Зависи откъде си взел премиум темата. Ако е място от рода на ТемеФорест, значи е 94% вероятност да е боклук отвътре.

Гледаш да не прави разни нетипични за тема неща, там всякакви екзотични функционалности увеличават вероятността за осиране (на много нива).
Да няма интерфейс за юзър инпут отвън - всякакви събмитвания на постове, контактни форми, уиджети с форми и прочие. Ако има - просто не ги ползвай, да не ги виждат посетителите по никакъв начин. Ползвай доказани плъгини за тия работи (контактни форми примерно).

Ако ще правиш такъв сайт, вземи тема от сериозно място.

Ако е мултиюзър сайт, работата става много по-рискова и трябва да се внимава 20 пъти повече и дори не бих съветвал никой да ползва Уордпрес за такъв (сериозен) сайт, ако е начинаещ уебмастър. Иначе за бъзикни и тестове става.

Това е в общи линиии за темите.
 
От: Да развенчая малко митове свързани със сигурността на Wordpress

И при премиум теми има проблеми. Например конфронтация на темата с нова версия на WP след ъпдейт или заразяване на специфични за темата файлове.
По-големите фирми с премиум теми поддържат добра обратна връзка и форуми и реагират относително бързо на бъгчета, но при сериозен проблем или зараза общо взето не се ангажират. Къстъм дизайна пък дава предимство по отношение на уникалност, което си е фактор +.

Колегите са споменали всички важни неща. Сериозен хостинг, настройки, администриране...по-скоро това е решението, а не вида на темата.
 
От: Да развенчая малко митове свързани със сигурността на Wordpress

Супер тема! Благодаря.
 
От: Да развенчая малко митове свързани със сигурността на Wordpress

Тя и custom да е темата, за да ти я направят по-хубава и по-сигурна от тези, които виждаш като премиум, ще трябва да отделиш доста по-солидна сума (ако разбира се не говорим ти да си я пишеш). Пък и custom темите също могат да се счупят при някой ъпдейт на уърдпреса. Аз вероятно бих избрал някоя премиум тема и ако имам бюджет щях да заделя малко пари някой да я прегледа и оптимизира.
 
От: Да развенчая малко митове свързани със сигурността на Wordpress

Благодаря за темата!
Много ми беше полезна!

Преди седмица ми смениха юзъра :)

Въпросът ми е как да проверяваме , каква тема инсталираме, има ли метод за проверка или основни напътствия?
 
Не би трябвало да е проблем, ако разреша само моето IP в htaccess-а на wp-admin, нали?
 
От: Да развенчая малко митове свързани със сигурността на Wordpress

tizata, трябва да си имаш на идея как изглежда добрия код и как - лошия. Тук можем да задълбаем много, тъй като различните разработчици пишат по различен начин и си имат свои предпочитания. Трябва обаче да се спазват някои "правила", за да бъде оптимизирана и сигурна темата - предимно скриптове, които може и не може да се използват.

Attacker, няма проблем. Това се прави така или иначе, когато имаш нужда да работиш нещо по сайта не искаш да се отваря от посетителите, примерно за отстраняването на проблем и зловреден код.
 
От: Да развенчая малко митове свързани със сигурността на Wordpress

Не пускам нова тема. Реших да добавя една позната сигурно на много от вас дупка в сигурността от един плъгин за wp. Днес имах посещение от бот или човек, представяш се за googlebot, който се опита да стигне до път на плъгин с име spotlightyour и да качи шел, но аз такъв плъгин нямам и затова ме усъмни работата. Проверих и се оказа следната пролука. Затова, който го ползва това нещо, може да го маха, че не се знае как ще я фтаса.
 
От: Да развенчая малко митове свързани със сигурността на Wordpress

Нещо странно се случи с моя блог, днес влизам в контрол панела и виждам че фавиконката ми се е сменила на ин-ян http://store.picbg.net/pubpic/F0/52/17ede7f6307bf052.png Не виждам никакви промени по блога, през фтп то когато сваля файла на фавикона ми излиза старата фавиконка.

Някакви идеи ?
 
От: Re: Да развенчая малко митове свързани със сигурността на Wordpress

Не виждам нищо лошо да се ъпдейтва системата, това е все едно да кажеш "ами той моя windows си работи добре, защо да му позволявам ъпдейти?" и после да се оплакваш шо това и онова. И аз мисля че е нормално УП да е най-хакван, най-много се пише за него, най-голям интерес има и т.н....

Едит: Сори, едно мнение на първата страница ме провокира да пиша и чак после осъзнах, че е от 2009-та.......
 
От: Да развенчая малко митове свързани със сигурността на Wordpress

Малко бъмп но да споделя и аз идеи как да се подсигурим.
Най-сигурният начин за мен е като ползвам платени или често обновявани теми, логин юзера е различен от юзера, който се показва като постващ постовете - това спасява 100% от оцелване на юзер/пас (brute force) от . Като добавка може да се сложи плъгин, който банва по ИП след 1 или 2 неуспешни опита за логин.
Готино е също да смените пътя на админ панела и/или да добавите deny from all, allow from MY IP. Имам един мега подсигурен УП сайт но и към 10 не толкова подисгурени... до ден днешен да чукна на дърво не са ме хаквали никога (10 години).
Понякога правата над файловете и папките мисля, че могат да помогнат при проблеми с темите.
 
От: Да развенчая малко митове свързани със сигурността на Wordpress

Изключване на XML-RPC с плъгина "Disable XML-RPC" и слагане на капча при логин спасява от brute force.

Само капча не е ефективно - атаката става чрез XML-RPC, при което няма капча.

Като капча може да се ползва FUN Captcha.
 
Информативна тема, благодаря

За разлика от коментарите ти.
Давай продължавай така, изкарай още 200-300 теми от гроба и си натрупал достатъчно мнения.
Нещо смислено ще напишеш ли?
 

Горе