Ügyfélszolgálat: +36 70 623 8822

Jelszó resetelés, 4 különböző módon

Szerző: Szűcs Ádám Kategória: Vezérlőpult, WordPress biztonság

Ha elfelejtetted a jelszavadat, több lehetőséged is adódik, hogy újat kreálj.

1) Felhasználók => Összes felhasználó menüpont alatt
Válaszd ki azt a felhasználót, akinek meg szeretnéd változtatni a jelszavát, majd kattints a nevére. Görgess le, és az “Új jelszó” és az “Ismételjük meg az új jelszót” részekhez írd be az új jelszót, majd nyomd meg az “Adatlap módosítása” gombot.

jelszo1

2. “Elfelejtett jelszó?” funkcióval.
Menj a WordPress belépő oldalára, és kattints a “Elfelejtett jelszó?” linkre. Add meg a felhasználóneved vagy e-mail címedet, majd e-mailben kapsz egy hivatkozást, amelyre kattintva megadhatsz egy új jelszót a fiókodhoz:

jelszo2

3) PhpMyAdmin felületen keresztül.
Erről írtam már korábban, itt olvashatod el.

4) Ha előre gondoltál arra, hogy elfelejtheted a jelszavadat, akkor van egy hátsó kapu, amelyen be tudsz lépni az admin felületre FTP és PhpMyAdmin hozzáférés nélkül is!

5) Csak PROFI PLUSZ tagoknak.

    

Elemzés: 195 570 sikertelen betörési kísérlet, 86 nap alatt

Szerző: Szűcs Ádám Kategória: Bővítmények, Érdekesség, Hírek, Ingyenes videók, cikkek, WordPress biztonság

A wordpress.video.hu oldalon 195 570 sikertelen (sikeres betörések száma: 0 db) betörési kísérletet regisztráltam – a wp-login.php alatt – 86 nap (naponta 2 274 támadás!!) alatt ezzel a bővítménnyel, és egy kis adatfeldolgozás után az alábbi rangsort kaptam. Ahogy számtalanszor elmondtam, nem egy életbiztosítás “admin”-nak hívni egy adminisztrátori hozzáférésű felhasználót: a támadások 48,3%-ában ezzel a névvel próbálkoztak.

UPDATE, 2014/11/10
A WordPress biztonságos, csupán a statisztika miatt hagyom, hogy próbálkozzanak feltörni a weboldalt. Részletek: a támadási kísérletek számának nullára való redukálásához kattints ide!

WordPress 3.9.2 – biztonsági frissítés!

Szerző: Szűcs Ádám Kategória: Hírek, Ingyenes videók, cikkek, WordPress biztonság

Nir Goldshlager, a Salesforce.com biztonsági szakértője fedezett fel egy sérülékenységet a WordPress-ben, amely a 3.5-3.9 verziók mindegyikét érinti! Ebből kifolyólag különösen fontos a frissítés!

Az admin felületen már elérhető, a “Vezérlőpult” => “Frissítések” menüpont alatt! Előtte ne felejts el egy teljes biztonsági mentést készíteni!

Mi történhet, ha nem frissíted a korábbi verziókat?
Pl.: Megállíthatják az egész weboldalt egy célzott támadással. Erről egy videó (vigyázz! idegesítő, hangos zene van alatta!):

Nem mersz frissíteni?

Ha félsz, hogy valami elromlik a frissítés során, keress meg, és néhány munkanapon belül megoldjuk a weboldalad frissítését!

Részletek:

  • Javítottak az xml feldolgozáson, amelyről már írtam korábban. Ezt a Drupal biztonsági csapattal közösen tették.
  • További változtatások (angolul): http://codex.wordpress.org/Version_3.9.2

Módosított fájlok:

  • readme.html
  • wp-admin/about.php
  • wp-includes/ID3/getid3.lib.php
  • wp-includes/class-IXR.php
  • wp-includes/class-wp-customize-widgets.php
  • wp-includes/compat.php
  • wp-includes/pluggable.php
  • wp-includes/version.php
  • wp-login.php

ui.: Tesztelted már a WordPress 4.0 verziót?

A videó forrása:
http://mashable.com/2014/08/06/wordpress-xml-blowup-dos/

xmlrpc.php és MailPoet Newsletters sérülékenység

Szerző: Szűcs Ádám Kategória: Ingyenes videók, cikkek, WordPress biztonság

A hónapban két WordPress-es sérülékenység is felszínre került, érdemes ezeknek a kivédésére odafigyelni.

Ha biztosra akarsz menni, használd a 2 órás WordPress biztonság oktatóvideómat a weboldalad védelmének tökéletesítésére! 6 000 Ft-ot megér a weboldalad védelme?

1) Ha használod a MailPoet Newsletters bővítményt, minimum 2.6.7-es verziót használj! De a legjobb, ha a legfrissebb verzióra váltasz! Ha nem így teszel, egyes felhasználók külön jogkör nélkül tudnak hírleveleket küldeni. Sőt: “A bugon keresztül a támadók távolról tetszőleges fájlokat tölthetnek fel és futtathatnak az adott szerveren, így pedig akár spammelésre és malware-ek terjesztésére is felhasználhatják az adott oldalt.” Forrás, további részletek: hwsw.hu

2) A WordPress főkönyvtárában található xmlrpc.php fájl működteti a trackback/pingback funkciót, amely egy – rég nem kezelt – biztonsági rést tartalmaz. Ha nem szeretnéd, hogy ezen keresztül feltörjék a weboldaladat, töröld le a xmlrpc.php fájlt FTP-n, a weboldal főmappájából! Ha később frissíted a WordPress-t (érdemes, számtalanszor írtam már róla), ez a fájl ismét felkerül a szerverre. Ilyenkor meg kell ismételni a törlést. Forrás: WordPress Suli e-mailes hírlevél

WordPress klónozás/költöztetés egyszerűen (titkos favoritom)

Szerző: Szűcs Ádám Kategória: Bővítmények, Kulisszatitkok, Videó, WordPress biztonság

A WordPress költöztetésének folyamata, buktatói cikkben utaltam arra, hogy van egy titkos favoritom a témában. A bővítményt egyébként már több mint 160 000 alkalommal töltötték le a wordpress.org-ról.

Használata nagyon egyszerű:

  1. Telepítés után a bővítmény által létrehozott menüben arra kell nyomni, hogy backup.
  2. Egy tetszőleges helyen (akár másik tárhelyen, másik domain alatt) fel kell telepíteni egy ÚJ WordPress-t, és ezt a bővítményt.
  3. Az üres WordPress admin felületén – szintén a bővítmény által létrehozott menü alatt – meg kell adni az 1. pontban készített backup elérhetőségét (ezt az 1. pontban megkapjuk), majd ebből a bővítmény “felépíti” az 1. pontban lemásolt weboldal PONTOS MÁSÁT! Ebből kifolyólag költöztetésre, klónozásra, tesztelésre is alkalmas!

Érdekel hogyan működik pontosan? Nézd meg az alábbi videót!

    

Tábla előtag változtatás – telepítés után

Szerző: Szűcs Ádám Kategória: Bővítmények, Cikk, Ingyenes videók, cikkek, WordPress biztonság

A 2 órás, WordPress biztonság témakört körbejáró videón már bemutattam, hogyan kell megváltoztatni a WordPress által használt MySQL adatbázis tábla előtagját.

Ám az alábbi apró – ám annál hasznosabb – bővítménnyel gyerekjáték a folyamat végrehajtása. Miért fontos ez? Ha az alapértelmezett tábla előtagot használod, egy minimális, ám szükségtelen támadási felületet hagysz annak, aki fel akarja törni a weboldaladat.

Első lépésben töltsd le a következő bővítményt:

Change DB Prefix – Letöltés
Utána telepítsd, majd aktiváld. Menj a “Beállítások” => “Change DB Prefix” menüpontra:

db-prefix

  1. Itt láthatod az alapértelmezett tábla előtagot.
  2. Ide írd az egyedi táblaelőtagot, pl.: “87jfer_” – idézőjelek nélkül.
  3. Nyomd meg a Save (Mentés) gombot.

Figyelem!
Ugyan a bővítmény az eddigi tapasztalataim alapján megbízhatóan működik, érdemes a művelet előtt egy teljes biztonsági mentést készíteni a weboldalról!

ui.: A bővítmény a wp-config.php fájlban is átírja a tábla előtagot, tényleg semmi dolgunk nincs a használatakor, csak a fentiek elvégzése!

A bővítmény- és kinézetszerkesztő kikapcsolása

Szerző: Szűcs Ádám Kategória: Bővítmények, Cikk, Ingyenes videók, cikkek, Megjelenés - Kinézet - Sablonok, WordPress biztonság

Időnként érdemes letiltani a bővítmények és a kinézetet szerkesztésére szolgáló menüt, hogy ezzel megakadályozzuk a túlbuzgó felhasználókat abban, hogy olyan fájlokat szerkeszthessenek, amelyek helytelen szerkesztése potenciális veszélyforrása az oldal összeomlásának.

Ezt a beállítást azért is érdemes elvégezni, mert ha hackerek hozzáférést szereznek az adminisztrátori fiókhoz, akkor sem fogják tudni szerkeszteni a kinézetet, és a bővítményeket.

Hogyan csináld?
Helyezd ez az innen letöltött kódot a wp-config.php fájlodban, és készen is vagy, az admin felületről eltűnt a “Megjelenés => Szerkesztő” és a “Bővítmények => Szerkesztő” menüpont!

Nem árt tudni!
Ha olyan bővítményt használsz, amely egy-egy felhasználó(i kör) jogkörét kibővíti bővítmény és/vagy kinézetszerkesztésre, előfordulhat, hogy ettől a beállítástól nem fog működni.

WordPress biztonság: felhasználók listázásának tiltása

Szerző: Szűcs Ádám Kategória: Érdekesség, Videó, WordPress biztonság

Tudtad?
Ha a weboldalad címe után beírod a böngészőbe ezt: /?author=1, /?author=2, /?author=3, stb., akkor kilistázhatod a weboldaladon lévő felhasználókat, amely műveletet ha robotok végeznek el, akkor máris tudják azt a felhasználónevet, amelyet a belépési felület támadásakor kell használni. Ha a fenti módszerrel nem lehet kinyerni a felhasználóid listáját, akkor ilyen téren biztonságos a weboldalad.

Hogyan működik?
Alapértelmezés szerint a weboldalad címe /?author=1 részlettel kiegészítve átugrik az 1-es ID-jű felhasználó oldalára, egy hasonlóra: /author/szucsadam/ – amelyből pl. az látszik, hogy a felhasználónév: szucsadam.

Mi a teendő?
Tiltsd le a felhasználólista ilyen módon történő kigyűjtésének lehetőségét!

Hogyan? Az alábbi videóban – PROFI PLUSZ tagsággal nézhető – megmutatom:

    

Felhasználó kizárás x kísérlet után – helyreigazítás

Szerző: Szűcs Ádám Kategória: Cikk, Ingyenes videók, cikkek, WordPress biztonság

Néhány nappal ezelőtt írtam egy cikket “Felhasználó kizárás x kísérlet után” címmel, amelyben azt írtam, hogy a javasolt kiegészítő használata esetén az adminisztrátori jogkörű profilunknak olyan nevet kell adni, amely nem kitalálható, ellenkező esetben a mi fiókunkat is letilthatják rosszakarók.

Ez nem így van, idegen ember nem tudja a bővítmény alkalmazása mellett letiltani a fiókunkat, csak a saját IP címét tudja elvágni a további feltörési kísérletek elöl.

Elnézést a téves információért!