Címke: biztonság

SSL tanúsítvány beállítása WordPressben

Az előző cikkemben röviden bemutattam, mi az az SSL tanúsítvány, mire való, és hogyan lehet hozzájutni. Azonban az még nem elég, ha be van kapcsolva a tanúsítvány a tárhelyeden – ha már létezik egy ideje a weboldalad, akkor meg kell tenned néhány további lépést, hogy “kizöldítsd” az egészet. (A tanúsítvány telepítéséről és bekapcsolásáról itt nem írok – ha a tárhelyszolgáltatód nem csinálja meg Neked, akkor nézd meg a cPaneles beállításról ezt a videót.)

Az SSL tanúsítványról röviden és egyszerűen

Az SSL tanúsítvány azt jelzi, hogy a weblap és a látogatója közötti adatforgalom titkosított csatornákon keresztül történik, és így illetéktelenek nem tudnak ebbe “belehallgatni”. Meglétét egy weblapra kívülről ránézve úgy látod, hogy a weblap linkje https-sel kezdődik sima http helyett, valamint egy kis zöld lakat és a “Biztonságos” szó is látszik a böngésző címsorában (lásd pl https://uk.godaddy.com/).

Hogyan nehezítsd meg a hackerek dolgát?

A WordPress alapértelmezésként hibaüzeneteket jelenít meg, ha a bejelentkezési adatok nem helyesek a Vezérlőpultra történő bejelentkezéskor. Ez igazán felhasználóbarát megoldás, de egyben segítséget is nyújt az oldalt feltörni kívánó hackerek számára.
Légy résen, és nehezítsd meg a hackerek dolgát a hibaüzenetek beállításával! Ebben a bejegyzésben megtanulhatod, hogyan tudod ezt a legkönnyebben megtenni.

WordPress Biztonsági Est

Már sokszor és sok mindent írtunk a WordPress biztonságról, de senki nem tud többet erről a témáról, mint Csermák Szabolcs, az “Etikus Hacker”, aki a weboldalán és a Facebook oldalán is rendszeresen osztja meg tanácsait a témáról. Most egy élő rendezvény keretében hallhatjuk tőle, hogy mit és hogyan érdemes tennünk.

Visual Composer – biztonsági frissítés

Az Envato Team bejelentette, hogy a WP Bakery által készített “húzd-és-vidd” bejegyzésszerkesztő (vagy ahogyan többen ismerik: page builder), a Visual Composer kódjában biztonsági hibát fedeztek fel. A 4.7.4. verzióban ezt javították, tehát ha korábbit használsz, akkor mindenképpen frissítsd a bővítményt. Megmutatom, pontosan hogyan tudod ezt megtenni.

Ismét brutális WordPress elleni támadás az xmlrpc.php fájlon keresztül – töröld a tárhelyedről!

A blogok közötti visszajelzéseket (trackback/pingback) kezelő xmlrpc.php ellen, illetve azon keresztül kb három napja módszeres támadásokat észlelünk a szerverünkön. A támadások száma bőven felette lehet a napi milliós próbálkozásnak. Webmesterünknek újra kell írnia azt a speciális, WordPress elleni támadásokat elemző scriptjét, amely a mi szerverünket védi, mert a jelenlegi megoldás mellett egy normál számítógép, amely csak ezt csinálja, már nem tudja feldolgozni a percenkénti egyszer készülő logot – olyan mennyiségben támadnak.
Az egyetlen biztos megoldás jelenleg (ahogyan azt már sokszor megírtam) az, hogy törölni kell az xmlrpc.php fájlt a tárhelyed WordPress mappájából. Akinek karbantartási szerződése van, annak ezt mi folyamatosan elvégezzük, illetve ahová akármilyen egyéb okból belépünk, ott is töröljük. A gond az, hogy a fájl minden egyes WordPress motor frissítésnél újra felkerül a tárhelyre – tehát ha nem mi tartjuk karban a weboldaladat, akkor kérlek, ezt a fájlt minden frissítés után töröld ki újra!

Frissítés a háttérben – WordPress 3.7

“Köszönjük a WordPress 3.7 verzióra történt frissítést! Lehet, hogy nem is észrevehető, de a háttérben minden rendben van.” – ez a felirat fogad, ha elvégzed a frissítést a legújabb, 3.7-es WordPress verzióra. Hű, ez királyság, gondolod első pillanatban, többet nem kell vesződnöm a frissítésekkel! Nos, a helyzet azért nem javult (vagy romlott…) ennyire.

A WordPress és a tárhelyszolgáltatás

A múlt héten gyakorlatilag semmi másra nem volt időm, mint levelezni – a tárhelyszolgáltatóval, amelynek viszonteladói vagyunk, a tárhely-ügyfelekkel, akiknek szolgáltatunk, és a WP-Suli meg a Facebook-oldalunk olvasóival, akik követnek minket és hallgatnak ránk a WordPress rendszerrel kapcsolatos kérdésekben.
Elsősorban szeretnék köszönetet mondani mindazoknak, akik a támogatásukról, az együttérzésükről biztosítottak minket, vagy éppen a segítségüket ajánlották fel. Hálás vagyok együttműködésükért és türelmükért.
Érdekes volt azonban néhány ügyfelünk illetve olvasónk reakciója, amelyet a legtöbb esetben az ismeretek hiánya okozott. Hoax, túlzott aggodalmaskodás, sőt, paranoia (ilyen szavakat használtak a kételkedők), vagy valóban nagyobb veszélyben vannak a WordPress alapú oldalak, mint más rendszerek?

All-In-One-SEO-Pack: nem biztonsági rés, “csak” egy szerver-riasztást kiváltó script van benne

Megkaptuk a hivatalos választ az All-In-One-SEO-Pack bővítmény fejlesztőitől. A lényeg az, hogy az a script, amely az egyik szerverünkön a riasztást kiváltotta, nem biztonsági rés, hanem egy olyan memórialimit-emelési kérés a szerver felé, amely “bizonyos körülmények között” fellép – azt nem írták meg, hogy melyek ezek a körülmények, és azt sem, hogy miért van szükség a memórialimit emelésére. Mindenesetre még egy kis türelmet kérünk a tárhely-ügyfeleinktől: hamarosan újra engedélyezzük az All-In-One-SEO-Pack használatát a szerverünkön.
De mi is ez a memórialimit-emelési kérés?

Egyre több a támadás a WordPress ellen – mit tehetünk?

Az ingyenes, nyílt forráskódú tartalommenedzselő rendszerek, mint amilyen a WordPress, a Joomla, a Drupal, az e107 és még néhány, mindig is ki voltak téve a támadásoknak. Korábban a WordPress volt a legbiztonságosabb, de most, hogy piacvezetővé vált, és egyre több komoly, nagyforgalmú weboldal is használja, egyre gyakrabban kerül a hackerek célkeresztjébe.
Aki nem tesz meg mindent, hogy a weboldalát biztonságos állapotban tartsa, és kaput nyit a károkozóknak, az nemcsak a saját weboldalát, hanem a többiekét is veszélyezteti, akik vele egy szerveren vannak, és nemcsak a WordPress alapúakat, hanem az összeset, a szerver teljes működését. Márpedig ez – és ezt sokan nem tudják – a Büntető Törvénykönyvbe ütköző cselekedet, így rendkívül fontos a felelősségteljes magatartás, hiszen akár bűnvádi eljárás is lehet a figyelmetlenségből, nemtörődömségből.
Sokszor írtam már arról, hogy a megjelenő frissítéseket mindig azonnal le kell tölteni, mert ezek a felfedezett biztonsági réseket tömik be, de ezen kívül is rengeteget tehetünk weboldalunk megvédésre. Az alábbiakban összefoglalom a legfontosabb lépéseket.

Hivatalos közleményünk a 2013. június 3-i szerver-incidensről

Tegnapelőtt délután erős támadás indult a szerverünk ellen, a naplózás szerint az All-In-One-SEO-Pack nevű bővítményen keresztül, de összefüggésben volt a WordPress Pingback/Trackback funkciójával is, amely telepítéskor automatikusan bekapcsolt és engedélyezett állapotban van. A szerverre nem jutott be a támadás, viszont a WordPress oldalak működésében kb 20 perces kiesés volt tapasztalható. Egy példa a naplóból:
Jun 3 17:34:49 atma suhosin[61460]: ALERT - script tried to increase memory_limit to 268435456 bytes which is above the allowed value (attacker '180.180.54.98', file '/srv/pagonymedia/xxxxxx.hu/httpdocs/wp-content/ plugins/all-in-one-seo-pack/all_in_one_seo_pack.php', line 115)
Elkezdtük az All-In-One-SEO-Pack letörlését az érintett tárhelyekről, illetve erre kértük a tárhelytulajdonosokat is. Késő éjjelre a problémát sikerült elhárítani. A tegnapi napon folytatódott a támadások naplózása, illetve a következtetések levonása és a szükséges intézkedések meghatározása.
 
Sajnos az All-In-One-SEO-Pack használata továbbra sem biztonságos, ezért egyelőre kénytelenek vagyunk tiltani a szervereinken. A bővítmény fejlesztőit értesítettük az incidensről. Amint hír érkezik frissítéséről, engedélyezni fogjuk a használatát. Adatot nem veszít senki, aki eddig használta az All-In-One-SEO-Pack-ot, az újratelepítés után a beállítási ismét elérhetőek lesznek, az alapbeállításokat ugyanis az adatbázis _options táblája, az egyes bejegyzésekre vonatkozó beállításokat pedig a _postmeta tábla tartalmazza.
Természetesen akinek nem nálunk van a tárhelye, és a tárhelyszolgáltatója nem tiltotta le a bővítményt, az – saját felelősségére – továbbra is használhatja az All-In-One-SEO-Pack-ot, de az biztos, hogy én megvárnám a frissítést, vagy másik bővítményt használnék.
A következő bejegyzésemben, amely holnap jelenik meg, a legújabb tapasztalataink fényében írok újra a WordPress rendszerrel kapcsolatos biztonsági kérdésekről, lehetőségekről, megoldásokról.
 

Betöltés...

Ha először jársz nálunk…

Feliratkozás blogértesítőre

Tartalomjegyzék

Válassz a bejegyzések közül az alábbi témák szerint, vagy használd a fenti keresőmezőt!

Kiemelt ajánlat

WP-Suli szolgáltatások

PagonyMédia szolgáltatások

WordPress tárhely

A WordPress igényeire optimalizált tárhely

Csatlakozz Facebookon!

Rajongóink speciális ajánlatokat kapnak, és elsőként értesülnek újdonságainkról.

Szeretettel várunk!

Ajánlott sablonok, bővítmények

Ez a weboldal a felhasználói élmény optimalizálása érdekében sütiket használ. További információ

Az Uniós törvények értelmében fel kell hívnunk a figyelmét arra, hogy ez a weboldal ún. "cookie"-kat vagy "sütiket" használ. A sütik apró, tökéletesen veszélytelen fájlok, amelyeket a weboldal helyez el az Ön számítógépén, hogy minél egyszerűbbé tegye az Ön számára a böngészést. A sütiket letilthatja a böngészője beállításaiban. Amennyiben ezt nem teszi meg, illetve ha az "Engedélyezem" feliratú gombra kattint, azzal elfogadja a sütik használatát.

Bezárás