Ügyfélszolgálat: +36 70 623 8822

WordPress 3.9.2 – biztonsági frissítés!

Szerző: Szűcs Ádám Kategória: Hírek, Ingyenes videók, cikkek, WordPress biztonság

Nir Goldshlager, a Salesforce.com biztonsági szakértője fedezett fel egy sérülékenységet a WordPress-ben, amely a 3.5-3.9 verziók mindegyikét érinti! Ebből kifolyólag különösen fontos a frissítés!

Az admin felületen már elérhető, a “Vezérlőpult” => “Frissítések” menüpont alatt! Előtte ne felejts el egy teljes biztonsági mentést készíteni!

Mi történhet, ha nem frissíted a korábbi verziókat?
Pl.: Megállíthatják az egész weboldalt egy célzott támadással. Erről egy videó (vigyázz! idegesítő, hangos zene van alatta!):

Nem mersz frissíteni?

Ha félsz, hogy valami elromlik a frissítés során, keress meg, és néhány munkanapon belül megoldjuk a weboldalad frissítését!

Részletek:

  • Javítottak az xml feldolgozáson, amelyről már írtam korábban. Ezt a Drupal biztonsági csapattal közösen tették.
  • További változtatások (angolul): http://codex.wordpress.org/Version_3.9.2

Módosított fájlok:

  • readme.html
  • wp-admin/about.php
  • wp-includes/ID3/getid3.lib.php
  • wp-includes/class-IXR.php
  • wp-includes/class-wp-customize-widgets.php
  • wp-includes/compat.php
  • wp-includes/pluggable.php
  • wp-includes/version.php
  • wp-login.php

ui.: Tesztelted már a WordPress 4.0 verziót?

A videó forrása:
http://mashable.com/2014/08/06/wordpress-xml-blowup-dos/

xmlrpc.php és MailPoet Newsletters sérülékenység

Szerző: Szűcs Ádám Kategória: Ingyenes videók, cikkek, WordPress biztonság

A hónapban két WordPress-es sérülékenység is felszínre került, érdemes ezeknek a kivédésére odafigyelni.

Ha biztosra akarsz menni, használd a 2 órás WordPress biztonság oktatóvideómat a weboldalad védelmének tökéletesítésére! 6 000 Ft-ot megér a weboldalad védelme?

1) Ha használod a MailPoet Newsletters bővítményt, minimum 2.6.7-es verziót használj! De a legjobb, ha a legfrissebb verzióra váltasz! Ha nem így teszel, egyes felhasználók külön jogkör nélkül tudnak hírleveleket küldeni. Sőt: “A bugon keresztül a támadók távolról tetszőleges fájlokat tölthetnek fel és futtathatnak az adott szerveren, így pedig akár spammelésre és malware-ek terjesztésére is felhasználhatják az adott oldalt.” Forrás, további részletek: hwsw.hu

2) A WordPress főkönyvtárában található xmlrpc.php fájl működteti a trackback/pingback funkciót, amely egy – rég nem kezelt – biztonsági rést tartalmaz. Ha nem szeretnéd, hogy ezen keresztül feltörjék a weboldaladat, töröld le a xmlrpc.php fájlt FTP-n, a weboldal főmappájából! Ha később frissíted a WordPress-t (érdemes, számtalanszor írtam már róla), ez a fájl ismét felkerül a szerverre. Ilyenkor meg kell ismételni a törlést. Forrás: WordPress Suli e-mailes hírlevél

WordPress klónozás/költöztetés egyszerűen (titkos favoritom)

Szerző: Szűcs Ádám Kategória: Bővítmények, Kulisszatitkok, Videó, WordPress biztonság

A WordPress költöztetésének folyamata, buktatói cikkben utaltam arra, hogy van egy titkos favoritom a témában. A bővítményt egyébként már több mint 160 000 alkalommal töltötték le a wordpress.org-ról.

Használata nagyon egyszerű:

  1. Telepítés után a bővítmény által létrehozott menüben arra kell nyomni, hogy backup.
  2. Egy tetszőleges helyen (akár másik tárhelyen, másik domain alatt) fel kell telepíteni egy ÚJ WordPress-t, és ezt a bővítményt.
  3. Az üres WordPress admin felületén – szintén a bővítmény által létrehozott menü alatt – meg kell adni az 1. pontban készített backup elérhetőségét (ezt az 1. pontban megkapjuk), majd ebből a bővítmény “felépíti” az 1. pontban lemásolt weboldal PONTOS MÁSÁT! Ebből kifolyólag költöztetésre, klónozásra, tesztelésre is alkalmas!

Érdekel hogyan működik pontosan? Nézd meg az alábbi videót!

    

Tábla előtag változtatás – telepítés után

Szerző: Szűcs Ádám Kategória: Bővítmények, Cikk, Ingyenes videók, cikkek, WordPress biztonság

A 2 órás, WordPress biztonság témakört körbejáró videón már bemutattam, hogyan kell megváltoztatni a WordPress által használt MySQL adatbázis tábla előtagját.

Ám az alábbi apró – ám annál hasznosabb – bővítménnyel gyerekjáték a folyamat végrehajtása. Miért fontos ez? Ha az alapértelmezett tábla előtagot használod, egy minimális, ám szükségtelen támadási felületet hagysz annak, aki fel akarja törni a weboldaladat.

Első lépésben töltsd le a következő bővítményt:

Change DB Prefix – Letöltés
Utána telepítsd, majd aktiváld. Menj a “Beállítások” => “Change DB Prefix” menüpontra:

db-prefix

  1. Itt láthatod az alapértelmezett tábla előtagot.
  2. Ide írd az egyedi táblaelőtagot, pl.: “87jfer_” – idézőjelek nélkül.
  3. Nyomd meg a Save (Mentés) gombot.

Figyelem!
Ugyan a bővítmény az eddigi tapasztalataim alapján megbízhatóan működik, érdemes a művelet előtt egy teljes biztonsági mentést készíteni a weboldalról!

ui.: A bővítmény a wp-config.php fájlban is átírja a tábla előtagot, tényleg semmi dolgunk nincs a használatakor, csak a fentiek elvégzése!

A bővítmény- és kinézetszerkesztő kikapcsolása

Szerző: Szűcs Ádám Kategória: Bővítmények, Cikk, Ingyenes videók, cikkek, Megjelenés - Kinézet - Sablonok, WordPress biztonság

Időnként érdemes letiltani a bővítmények és a kinézetet szerkesztésére szolgáló menüt, hogy ezzel megakadályozzuk a túlbuzgó felhasználókat abban, hogy olyan fájlokat szerkeszthessenek, amelyek helytelen szerkesztése potenciális veszélyforrása az oldal összeomlásának.

Ezt a beállítást azért is érdemes elvégezni, mert ha hackerek hozzáférést szereznek az adminisztrátori fiókhoz, akkor sem fogják tudni szerkeszteni a kinézetet, és a bővítményeket.

Hogyan csináld?
Helyezd ez az innen letöltött kódot a wp-config.php fájlodban, és készen is vagy, az admin felületről eltűnt a “Megjelenés => Szerkesztő” és a “Bővítmények => Szerkesztő” menüpont!

Nem árt tudni!
Ha olyan bővítményt használsz, amely egy-egy felhasználó(i kör) jogkörét kibővíti bővítmény és/vagy kinézetszerkesztésre, előfordulhat, hogy ettől a beállítástól nem fog működni.

WordPress biztonság: felhasználók listázásának tiltása

Szerző: Szűcs Ádám Kategória: Érdekesség, Videó, WordPress biztonság

Tudtad?
Ha a weboldalad címe után beírod a böngészőbe ezt: /?author=1, /?author=2, /?author=3, stb., akkor kilistázhatod a weboldaladon lévő felhasználókat, amely műveletet ha robotok végeznek el, akkor máris tudják azt a felhasználónevet, amelyet a belépési felület támadásakor kell használni. Ha a fenti módszerrel nem lehet kinyerni a felhasználóid listáját, akkor ilyen téren biztonságos a weboldalad.

Hogyan működik?
Alapértelmezés szerint a weboldalad címe /?author=1 részlettel kiegészítve átugrik az 1-es ID-jű felhasználó oldalára, egy hasonlóra: /author/szucsadam/ – amelyből pl. az látszik, hogy a felhasználónév: szucsadam.

Mi a teendő?
Tiltsd le a felhasználólista ilyen módon történő kigyűjtésének lehetőségét!

Hogyan? Az alábbi videóban – PROFI PLUSZ tagsággal nézhető – megmutatom:

    

Felhasználó kizárás x kísérlet után – helyreigazítás

Szerző: Szűcs Ádám Kategória: Cikk, Ingyenes videók, cikkek, WordPress biztonság

Néhány nappal ezelőtt írtam egy cikket “Felhasználó kizárás x kísérlet után” címmel, amelyben azt írtam, hogy a javasolt kiegészítő használata esetén az adminisztrátori jogkörű profilunknak olyan nevet kell adni, amely nem kitalálható, ellenkező esetben a mi fiókunkat is letilthatják rosszakarók.

Ez nem így van, idegen ember nem tudja a bővítmény alkalmazása mellett letiltani a fiókunkat, csak a saját IP címét tudja elvágni a további feltörési kísérletek elöl.

Elnézést a téves információért!

Felhasználó kizárás x kísérlet után

Szerző: Szűcs Ádám Kategória: Bővítmények, Cikk, WordPress biztonság

Ha esetleg a weboldalad bejelentkező oldalát elkezdik támadni, érdemes feltenni egy olyan bővítményeket, amely a támadásokat még csírájában elfojtja. A témában az egyik leghasznosabb  azt tudja, hogy x sikertelen bejelentkezési kísérlet után letiltja egy kis időre a próbálkozó IP címét (addig nem tud több bejelentkezési kísérletet végrehajtani), majd pár ilyen próbálkozás után hosszabb időre is elbúcsúzhat az admin felületen történő bejelentkezéstől.

Így néz ki:

kizaras

 

Hogyan telepítsd a bővítményt? Hogyan állítsd be? Nézd meg az alábbi leírásban, ha legalább PROFI PLUSZ tagsággal rendelkezel!

    

2 órás WordPress biztonság videó: online is nézhető!

Szerző: Szűcs Ádám Kategória: Videó, WordPress biztonság

Eddig csak utólagos vásárlás mellett lehetett hozzáférni a WordPress biztonság témakörét több mint két órában összefoglaló videómhoz. Mától ez változik, immáron PROFI PLUSZ tagsággal is meg lehet tekinteni, azaz még jobban megéri erre előfizetni!

Ha csak ezért nem vennél tagságot, de megnéznéd a magyar nyelven elérhető legrészletesebb – WordPress biztonságról szóló – előadást, akkor itt külön megvásárolhatod, mindössze 6 000 Ft-ért.

    

Honlapunk cookie-kat használ. Részletek

Egy EU-s törvény alapján kötelező tájékoztatni a látogatókat, hogy a weboldal ún. cookie-kat használ. Ha ezzel nem értesz egyet, akkor a böngésződ megfelelő beállításait használva tiltsd le a cookie-k tárolását. | Részletes adatvédelmi tájékoztató |

Bezárás