Celem mojego bloga jest publikowanie treści na temat bezpieczeństwa stron internetowych. Będę prezentował występujące na stronach internetowych metody, które udało mi się pokonywać oraz stosowane przeze mnie techniki, które wielokrotnie się sprawdzały w praktyce.
W dzisiejszym wpisie chciałbym zaprezentować moje zabezpieczenia, które zastosowałem na swoim blogu. Zastosowane techniki oparłem o skaner stron WordPressa wp-scan, który bardzo ułatwia pokonanie zabezpieczeń standardowych stron internetowych zbudowanych na tym najbardziej popularnym systemie CMS.
Standardowa instalacja WordPressa umieszcza panel logowania do systemu pod adresem www.nazwastrony/wp-admin, zatem najbardziej newralgiczne miejsce strony jest domyślnie publicznie dostępne. Ponadto pozwala to na przeprowadzanie ataków brute-force na stronę logowania przy pomocy programu hydra, który jest dostępny z dystrybucji KaliLinux.
W celu zabezpieczenia tego miejsca zainstalowałem powszechnie dostępną wtyczkę All In One WP Security. Jest to typowy kombajn, który umożliwia pełną konfigurację strony pod kątem bezpieczeństwa. Ze wszystkich dostępnych opcji pozwolę sobie przedstawić opcję, które sam zastosowałem na moim blogu:
- ukrycie panelu do logowania – jak wcześniej wspomniałem jest to najbardziej newralgiczne miejsce na stronie. W celu zabezpieczenia się przed nieuprawnionymi próbami logowania najbardziej skutecznym sposobem jest ukrycie tego miejsca przed ciekawskimi. Zainstalowana wtyczka pozwala na zmianę ścieżki do panelu logowania z www.nazwastrony/wp-admin na www.nazwastrony/tutajciaglitericyfr znany wyłącznie administratorowi strony,
- ukryłem wersję WordPressa przed ciekawskimi,
- dodatkowym zabezpieczeniem jest zmiana domyślnej nazwy administratora użytkownika na losowy ciąg liter oraz uniemożliwienie enumaracji istniejących użytkowników na stronie,
- pole reCAPTCHA do logowania oraz blokada konta po 3 nieudanych próbach,
- pole reCAPTHA do wstawiania komentarzy – zabezpieczenie przed spamem,
- plik konfiguracyjny posiada zrobioną kopię oraz jest chroniony przed zmianami,
- okresowe kopie zapasowe serwisu, tak na wszelki wypadek.
Wymienione sposoby to tylko najprostsze metody, które może zastosować każdy administrator strony opartej o CMS WordPressa. Są niezwykle proste w konfiguracji, natomiast powodują iż potencjalni atakujący mają znacznie utrudnione zadanie.
ps. Robiłem wiele stron opartych na WordPress oraz Joomla i starałem się umieszczać takie zabezpieczenia. Niestety nadal mało jest stron, które posiadają chociaż kilka z wymienionych tutaj zabezpieczeń. Napisz w komentarzu co o tym myślisz.
To mój pierwszy wpis, serdecznie pozdrawiam. Skarżyski Bezpiecznik 🙂