Kategória: WordPress biztonság

SSL tanúsítvány beállítása WordPressben

Az előző cikkemben röviden bemutattam, mi az az SSL tanúsítvány, mire való, és hogyan lehet hozzájutni. Azonban az még nem elég, ha be van kapcsolva a tanúsítvány a tárhelyeden – ha már létezik egy ideje a weboldalad, akkor meg kell tenned néhány további lépést, hogy “kizöldítsd” az egészet. (A tanúsítvány telepítéséről és bekapcsolásáról itt nem írok – ha a tárhelyszolgáltatód nem csinálja meg Neked, akkor nézd meg a cPaneles beállításról ezt a videót.)

Az SSL tanúsítványról röviden és egyszerűen

Az SSL tanúsítvány azt jelzi, hogy a weblap és a látogatója közötti adatforgalom titkosított csatornákon keresztül történik, és így illetéktelenek nem tudnak ebbe “belehallgatni”. Meglétét egy weblapra kívülről ránézve úgy látod, hogy a weblap linkje https-sel kezdődik sima http helyett, valamint egy kis zöld lakat és a “Biztonságos” szó is látszik a böngésző címsorában (lásd pl https://uk.godaddy.com/).

Hogyan nehezítsd meg a hackerek dolgát?

A WordPress alapértelmezésként hibaüzeneteket jelenít meg, ha a bejelentkezési adatok nem helyesek a Vezérlőpultra történő bejelentkezéskor. Ez igazán felhasználóbarát megoldás, de egyben segítséget is nyújt az oldalt feltörni kívánó hackerek számára.
Légy résen, és nehezítsd meg a hackerek dolgát a hibaüzenetek beállításával! Ebben a bejegyzésben megtanulhatod, hogyan tudod ezt a legkönnyebben megtenni.

Ismét brutális WordPress elleni támadás az xmlrpc.php fájlon keresztül – töröld a tárhelyedről!

A blogok közötti visszajelzéseket (trackback/pingback) kezelő xmlrpc.php ellen, illetve azon keresztül kb három napja módszeres támadásokat észlelünk a szerverünkön. A támadások száma bőven felette lehet a napi milliós próbálkozásnak. Webmesterünknek újra kell írnia azt a speciális, WordPress elleni támadásokat elemző scriptjét, amely a mi szerverünket védi, mert a jelenlegi megoldás mellett egy normál számítógép, amely csak ezt csinálja, már nem tudja feldolgozni a percenkénti egyszer készülő logot – olyan mennyiségben támadnak.
Az egyetlen biztos megoldás jelenleg (ahogyan azt már sokszor megírtam) az, hogy törölni kell az xmlrpc.php fájlt a tárhelyed WordPress mappájából. Akinek karbantartási szerződése van, annak ezt mi folyamatosan elvégezzük, illetve ahová akármilyen egyéb okból belépünk, ott is töröljük. A gond az, hogy a fájl minden egyes WordPress motor frissítésnél újra felkerül a tárhelyre – tehát ha nem mi tartjuk karban a weboldaladat, akkor kérlek, ezt a fájlt minden frissítés után töröld ki újra!

Életbevágó apróságok

Múltkor már írtam hasznos apróságokról (klubtagoknak), a maiak viszont egyenesen életbevágóak lehetnek (no persze nem a Te életedet veszélyeztetik, annál inkább a honlapodét). Az alább felsoroltak mind olyan hibák, illetve olyan hibát okoznak, amelyektől a honlapod (vagy a Vezérlőpultod) egy szép, üres, fehér oldallá változhat, jobb esetben egyszerűen nem fog működni valami, vagy nem jelenik meg, pedig látszólag ott van.

A WordPress és a tárhelyszolgáltatás

A múlt héten gyakorlatilag semmi másra nem volt időm, mint levelezni – a tárhelyszolgáltatóval, amelynek viszonteladói vagyunk, a tárhely-ügyfelekkel, akiknek szolgáltatunk, és a WP-Suli meg a Facebook-oldalunk olvasóival, akik követnek minket és hallgatnak ránk a WordPress rendszerrel kapcsolatos kérdésekben.
Elsősorban szeretnék köszönetet mondani mindazoknak, akik a támogatásukról, az együttérzésükről biztosítottak minket, vagy éppen a segítségüket ajánlották fel. Hálás vagyok együttműködésükért és türelmükért.
Érdekes volt azonban néhány ügyfelünk illetve olvasónk reakciója, amelyet a legtöbb esetben az ismeretek hiánya okozott. Hoax, túlzott aggodalmaskodás, sőt, paranoia (ilyen szavakat használtak a kételkedők), vagy valóban nagyobb veszélyben vannak a WordPress alapú oldalak, mint más rendszerek?

All-In-One-SEO-Pack: nem biztonsági rés, “csak” egy szerver-riasztást kiváltó script van benne

Megkaptuk a hivatalos választ az All-In-One-SEO-Pack bővítmény fejlesztőitől. A lényeg az, hogy az a script, amely az egyik szerverünkön a riasztást kiváltotta, nem biztonsági rés, hanem egy olyan memórialimit-emelési kérés a szerver felé, amely “bizonyos körülmények között” fellép – azt nem írták meg, hogy melyek ezek a körülmények, és azt sem, hogy miért van szükség a memórialimit emelésére. Mindenesetre még egy kis türelmet kérünk a tárhely-ügyfeleinktől: hamarosan újra engedélyezzük az All-In-One-SEO-Pack használatát a szerverünkön.
De mi is ez a memórialimit-emelési kérés?

Egyre több a támadás a WordPress ellen – mit tehetünk?

Az ingyenes, nyílt forráskódú tartalommenedzselő rendszerek, mint amilyen a WordPress, a Joomla, a Drupal, az e107 és még néhány, mindig is ki voltak téve a támadásoknak. Korábban a WordPress volt a legbiztonságosabb, de most, hogy piacvezetővé vált, és egyre több komoly, nagyforgalmú weboldal is használja, egyre gyakrabban kerül a hackerek célkeresztjébe.
Aki nem tesz meg mindent, hogy a weboldalát biztonságos állapotban tartsa, és kaput nyit a károkozóknak, az nemcsak a saját weboldalát, hanem a többiekét is veszélyezteti, akik vele egy szerveren vannak, és nemcsak a WordPress alapúakat, hanem az összeset, a szerver teljes működését. Márpedig ez – és ezt sokan nem tudják – a Büntető Törvénykönyvbe ütköző cselekedet, így rendkívül fontos a felelősségteljes magatartás, hiszen akár bűnvádi eljárás is lehet a figyelmetlenségből, nemtörődömségből.
Sokszor írtam már arról, hogy a megjelenő frissítéseket mindig azonnal le kell tölteni, mert ezek a felfedezett biztonsági réseket tömik be, de ezen kívül is rengeteget tehetünk weboldalunk megvédésre. Az alábbiakban összefoglalom a legfontosabb lépéseket.

Hivatalos közleményünk a 2013. június 3-i szerver-incidensről

Tegnapelőtt délután erős támadás indult a szerverünk ellen, a naplózás szerint az All-In-One-SEO-Pack nevű bővítményen keresztül, de összefüggésben volt a WordPress Pingback/Trackback funkciójával is, amely telepítéskor automatikusan bekapcsolt és engedélyezett állapotban van. A szerverre nem jutott be a támadás, viszont a WordPress oldalak működésében kb 20 perces kiesés volt tapasztalható. Egy példa a naplóból:
Jun 3 17:34:49 atma suhosin[61460]: ALERT - script tried to increase memory_limit to 268435456 bytes which is above the allowed value (attacker '180.180.54.98', file '/srv/pagonymedia/xxxxxx.hu/httpdocs/wp-content/ plugins/all-in-one-seo-pack/all_in_one_seo_pack.php', line 115)
Elkezdtük az All-In-One-SEO-Pack letörlését az érintett tárhelyekről, illetve erre kértük a tárhelytulajdonosokat is. Késő éjjelre a problémát sikerült elhárítani. A tegnapi napon folytatódott a támadások naplózása, illetve a következtetések levonása és a szükséges intézkedések meghatározása.
 
Sajnos az All-In-One-SEO-Pack használata továbbra sem biztonságos, ezért egyelőre kénytelenek vagyunk tiltani a szervereinken. A bővítmény fejlesztőit értesítettük az incidensről. Amint hír érkezik frissítéséről, engedélyezni fogjuk a használatát. Adatot nem veszít senki, aki eddig használta az All-In-One-SEO-Pack-ot, az újratelepítés után a beállítási ismét elérhetőek lesznek, az alapbeállításokat ugyanis az adatbázis _options táblája, az egyes bejegyzésekre vonatkozó beállításokat pedig a _postmeta tábla tartalmazza.
Természetesen akinek nem nálunk van a tárhelye, és a tárhelyszolgáltatója nem tiltotta le a bővítményt, az – saját felelősségére – továbbra is használhatja az All-In-One-SEO-Pack-ot, de az biztos, hogy én megvárnám a frissítést, vagy másik bővítményt használnék.
A következő bejegyzésemben, amely holnap jelenik meg, a legújabb tapasztalataink fényében írok újra a WordPress rendszerrel kapcsolatos biztonsági kérdésekről, lehetőségekről, megoldásokról.
 

Súlyos támadás az All-In-One-SEO-Pack ellen!

GYORSHÍR: Teljesen tönkrevágta a szerverünket (helyesbítés:) komoly gondokat okozott a szerverünknek egy támadás, amely a világszerte több millió példányban használt All-In-One-SEO-Pack bővítmény egy biztonsági rését kihasználva töri fel a WordPress oldalakat. Kérlek, töröld ezt a bővítményt ideiglenesen, amíg megjön hozzá a frissítés (helyesbítés:) amíg kitaláljuk, hogy hogyan védekezzünk ellene!
FRISSÍTÉS: A támadást elhárítottuk, a szükséges lépéseket hamarosan megírom. Kérlek, figyeld a blogot, a levelezésedet vagy a Facebook-oldalunkat, hogy mihamarabb megkapd a hírt!
 

Biztonsági rés a W3 Total Cache bővítményben

Veszélyes hibát fedezett fel a napokban egy felhasználó a W3 Total Cache nevű, közismert és széles körben használt bővítményben. A W3 Total Cache eredetileg abból a célból készült, hogy a WordPress alapú weboldalak betöltésének sebességét gyorsítsa a statikus tartalmak gyorsítótárazásával. Egy konfigurációs hiba miatt azonban úgy néz ki, hogy “bárki egyszerűen letöltheti az összes adatbázis cache-kulcsot és azokból kiszűrheti az érzékeny információkat” – ahogyan a rés felfedezője írja.

Mit tegyek, ha feltörték a WordPress oldalamat? (És hogyan lehet megelőzni?)

Pár hete vasárnap az egyik közismert tárhelyszolgáltatót érte hacker-támadás, amelyet gyorsan észleltek és ki is javítottak. Az ilyen jellegű betörések ellen a szolgáltató védekezik, és ha valami mégis bejut a szerverre, akkor az ő dolguk a helyreállítás. Azonban ha csak a Te oldaladat törik fel, azaz a hiba nem általános, akkor a tárhelyszolgáltatónak nem kötelessége ezt sem vizsgálni, sem javítani. Ilyenkor a Te dolgod a rosszindulatú kódok felderítése, törlése, és a weboldalad helyreállítása.

Betöltés...

Ha először jársz nálunk…

Feliratkozás blogértesítőre

Tartalomjegyzék

Válassz a bejegyzések közül az alábbi témák szerint, vagy használd a fenti keresőmezőt!

Kiemelt ajánlat

WP-Suli szolgáltatások

PagonyMédia szolgáltatások

WordPress tárhely

A WordPress igényeire optimalizált tárhely

Csatlakozz Facebookon!

Rajongóink speciális ajánlatokat kapnak, és elsőként értesülnek újdonságainkról.

Szeretettel várunk!

Ajánlott sablonok, bővítmények

Ez a weboldal a felhasználói élmény optimalizálása érdekében sütiket használ. További információ

Az Uniós törvények értelmében fel kell hívnunk a figyelmét arra, hogy ez a weboldal ún. "cookie"-kat vagy "sütiket" használ. A sütik apró, tökéletesen veszélytelen fájlok, amelyeket a weboldal helyez el az Ön számítógépén, hogy minél egyszerűbbé tegye az Ön számára a böngészést. A sütiket letilthatja a böngészője beállításaiban. Amennyiben ezt nem teszi meg, illetve ha az "Engedélyezem" feliratú gombra kattint, azzal elfogadja a sütik használatát.

Bezárás