CAPTCHA javascript decoder

Ja ku eshte zbuluar dhe nje menyre e  re per te kaluar sigurine shkronjore te disa webeve sic jane Megaupload. Kjo gje behet me ane te nje skripti ne javascript i cili ben njohjen optike te elemente grafik shkronjor duke hedhur poshte sigurine e ngritur nga keto Web-e. Sistemi punon ne baze te  Html 5 Canvas i cili percakton figuren me ane te funksionit getImageData dhe me pas cdo gje futet ne nje rrjet neural elektronik i programuar ne javascript i cili duke kapur pixelat ben te mundur kthimin e tyre ne nje kod binar qe me pas dekodohet ja te shohim dhe kodin e programuar per MEGAUPLOAD:

http://userscripts.org/scripts/review/38736

Pra sic shihni programi mbush vete fushat duke u bere mjaft njerzor.
Do te thoja qe ky script eshte vertete nje kryeveper kush merret me programim duhet patjeter ta shikoj 
mua me ka pelqyer jashtemase, ketu kemi te bejme me inteligjence artificiale.

Lind televizioni i pare IT shqiptar..

Kam kenaqesine per te lajmeruar te gjith dashamiresit dhe te apasionuarit e Information technology, sistemistet, pentesterat :D, programuesit etj per lindjen e nje televizioni te ri totalisht i dedikuar IT-s.
Te gjitha videot jane te zgjedhura me kujdes, dhe temat po ashtu jane te zgjedhura.
Kerkojm ndjese per momentin sepse temat jane ne anglisht panvarsisht se jane marre nga specialistet me te njohur te kohes..
Persa i perket videove ne shqip, nese do ta kemi mundesine do i bejm, e nese jo nuk do i bejm xD.
Per ta vizituar klikoni ne linkun siper ose ketu:
http://albanianwizard.org/aw-it-tv/
Tani per tani temat jane me shume te drejtuara drejt security, por nuk do mungojn kanalet e tjera dhe sistemimi i tematikave te ndryshme.

Ta gezojm :)

Deklarimi i nje metode me parameter ne OOP | Java

Ne kete teme do te trajtojm ne menyre sa me te thjeshte deklarimin e nje metode dhe shtimin e nje parametri te saj kur kemi te bejm me OOP aka Object oriented programming.
Ne kete shembull te thjesht po supozojm kete lloj situate..
Ne kemi krijuar nje platforme te madhe nga e cila perdoruesit duke shkruajtur emrin e sherbimit do te marrin akses ne sherbime te ndryshme..
Kjo ndodh per motive sigurie, psh krijimi i nje postoblloku te madh i cili eshte ure lidhese per te gjitha sherbimet e tjera si servera, hoste virtuale, sisteme operative, etj te gjitha keto ne web interface (supozohet te jete i egzekutueshem ne apache tomcat).
Pra ne fjale te tjera nje ure lidhese sigurie, qe kerkon login\username id etj per te kaluar me vone tek sistemi tjeter..
Normalisht kodi eshte i thjeshtuar ne maksimum dhe ben thjesht ne baze te nje parametri paraqitjen e nje “println” te thjesht me nje mesazh welcome..
Tani mund te japim nje veshtrim te shkurter se ç’fare quajm “metode” dhe “parameter” ne java.
Me metod nuk besoj se ka shume per te shkruajtur pasi dihet qe akoma me ne shqip eshte nje menyre, pra menyre se si ne bejm diçka te caktuar dhe ne java kemi metoda te percaktuara nga vet gjuha si psh public ne vetvete eshte nje metod thirrjeje qe thote se kodi ne vazhdim eshte i perdorshem nga te gjith, apo kemi metod headeri e keshtu me rradhe..
Veç ketyre kemi edhe metoda te cilat i krijojm ne.
Psh, ne krijojm nje metod se si duhet te veproj nje program ndaj nje reaksioni te caktuar te sistemit operativ, dhe normalisht programi ben ate per te cilen eshte programuar metod e cila po ashtu eshte e krijuar nga ne per nje funksion te caktuar, me gjere do e shohim me shembullin kur te paraqesim dhe kodin.
Po parametri?
Parametri eshte i lidhur ngusht me metoden.
Marrim nje shembull..
Dikush programon, dhe themi se “ai programon” dhe kjo eshte nje metod, por kur themi ai programon me eclipse ose me thjesht bash atehere ketu kemi te bejm me nje parameter, ose psh nje makine mund te eci me shpejtesi, ashtu siç mund te eci me ngadale.
Kujdes, mos ngaterroni parametrin me atributin.
Vazhdojm tani me programin tone te vogel.
Po fillojm me failin Parametri.java dhe ketu eshte edhe thelbi, panvarsisht se eshte shume i thjeshtuar
http://albanianwizard.org/Postokodin/24
Siç e shohim paraqitMesazhin ( String emriISistemit ) perben temen qe ne po trajtojm.
paraqitMesazhin eshte metoda, kurse per parameter po perdorim String ne kete rast dhe parametri eshte emriSistemit qe e kerkojm ne output tek pjesa vazhuese.
Vazhdojm tani me failin Objekti.java ne te cilin krijojm objektin dhe bejm pjesen me te punes.
http://albanianwizard.org/Postokodin/23

Ne kete pjese duket qarte qe mbasi krijojm objektin parametriIm perdorim String emriISistemit per te perdorur parametrin e deshiruar.
Failet duhet te jene ne te njejten direktori, per ti kompiluar japim  javac Parametri.java Objekti.java dhe per ti egzekutuar japim java Objekti
Nese ka pyetje…

SFCK 2009 Software Freedom Conference of Kosovo

Konferenca e lirise, ne nje vend te lirise :)
Ne prishtine do te organizohet, dhe do te kisha shume deshire te isha aty, por e di qe jam pak larg dhe skam mundesi.
Per te gjithe shqiptaret, kush ka mundesi duhet te marri pjese, ka mundesi te jete edhe Stallman 😀

Mund ta lexoni komplet materialin nga miqte tane te Truri.com.
http://www.truri.com/Lajme/155.html

Si te instaloj dhe konfiguroj Apache, mysql, php, & more ne Linux Fedora 10.

Jo me larg se 2 ore me pare, mu desh qe te instaloja dhe konfiguroja sherbimet e mesiperme per ta shnderruar kompiuterin tim ne nje server te mirefillt duke i shtuar atij keto sherbime qe normalisht mund te duhen per testime te ndryshme, apo per zhvillime te aplikacioneve web.
Ky shkrim i drejtohet te gjitheve (mases) keshtu qe mos me qortoni nese jam munduar ta thjeshtoj ne maksimum ecurine si per konfigurimin ashtu edhe per instalimin e ketyre sherbimeve.
Siç e dime, per ta bere diçka te tille tek windows eshte shume e thjesht, mjafton te instalojm tools si MoWeS , Xampp apo tools te ngjashem dhe ç’do gje merr fund..
Por normalisht nuk mund te bejm shume gjera pasi windows nuk suporton chmod konfigurim  personalizim te sherbimeve te tjera, suport per shume gjuhe qe duhet te besh namin per ta pasur etj etj.
Natyrisht do te perpiqem qe ta bej sa me te thjesht si material , duke ju shmangur sa me shume qe te jete e mundur terminalit..

Fillojm me instalimet
Po instalojm serverin httpd, serverin mysql, suportin e gjuhes php, phpmyadmin, dhe disa  sherbime te nevoitshme qe na lehtesojn punen :)
# do te thote qe duhet te jemi root pra root@localhost ose root@domaini#

#yum install httpd httpd-tools system-config-httpd lighttpd php phpMyAdmin mysql mysql-server php-mysql mysql-administrator

Dhe me kete automatikisht instaloni serverin apache, httpd, gjuhen php (tek e cila keshilloj qe te perdorni menaxherin grafik te paketave te instalimit ne menyre qe te zgjidhni vete modulet) mysql, me serverin dhe tool per konfigurimin e tij si mysql-administrator dhe phpMyAdmin, per apache perdoret system-config-httpd si tool..
Mbasi instalimi te kete shkuar me sukses , qe besoj se sdo kete probleme duhet te fillojm te startojm sherbimet e ndryshme..

APACHE HTTPD

 #httpd -k start

Dhe me kete startuam serverin tone apache..
Shkojm tek http://localhost/ ose http://127.0.0.1/

Dhe do te shohim normalisht Fedora Test Page, qe tregon se serveri yn eshte ne egzekutim e siper.
Atehere si thoni ta konfigurojm pak?
Shkojm tek /etc/httpd/conf.d/welcome.conf dhe heqim komplet pjesen qe nuk eshte e komentuar, ne kete menyre nuk na del faqa /var/www/error/noindex.html por do te na dali /var/www/html/ ne fjale te tjera asgje sepse nuk kemi vendosur asnje file ne te.
Vendosim nje file te thjesht index.html me te shkruajtur diçka brenda tij per te pare qe punon ne rregull.
Ok, tani perpiqemi te personalizojm pak.

#system-config-httpd

Dhe do te dali nje dritare GUI qe do na japi aftesi per te konfiguruar serverin tone te sapoinstaluar.
Ok tani tek Server name fusim psh albanianwizard, pra per ti dhene nje emer tjeter nga localhost apo 127.0.0.1.. Dhe percaktojm edhe emailin tone, etj shtojm ip apo adresa ku serveri te qendroj ne listening dhe me kete tool kemi mundesi edhe per te krijuar virtual hosts, apo hoste virtuale per te cilet nuk do te flasim ne kete teme sepse pastaj do me duhet te kaloj dhe tek konfigurime https :)
Ok, kalojm tek..

MYSQL

Si fillim pa humbur kohe i japim nje startim te mire serverit tone Mysql me:

# chkconfig --level 2345 mysqld on; service mysqld start

Mbas kesaj duhet te percaktojm nje user te ri per serverin dhe kete e bejm me ane te terminalit..

#mysqladmin -u root password passwordiim

Ok, tani hapim pak MySql Administrator dhe bejm login me root dhe passwordin e ri qe krijuam.
Ketu tani kemi pak pune :)
E para eshte te shtojm nje user te ri dhe ti japim te gjitha privilegjet.
Mbasi e kemi bere kete eliminoni root dhe userin “blank” qe eshte bosh.
Dhe ne kete rast root eshte useri i ri qe krijuat ju (pasi i ka te gjitha privilegjet)..
Tani shkojm tek Startup Parameters dhe klikojm tek Disable Networking per te bllokuar keshtu akseset nga jashte (nese jemi duke bere diçka qe nuk duam ta shohin te tjeret).
Ketu gjejm edhe shumicen e opcioneve pasi kemi te bejm me failin e konfigurimit te serverit Mysql /etc/my.cnf .
Nese duam qe ky sherbim te startoj qe ne fillim atehere japim:

chkconfig --level 2345 mysqld on && service mysqld restart && chkconfig --list | grep mysqld

Per te tjerat konfigurimi behet ne baze te preferencave.

phpMyAdmin

Ketu e kemi shume me te thjesht, mbas instalimit shkojm direkt tek /usr/share/phpMyAdmin dhe editojm failin config.inc.php
Tek i cili do te ndryshojm:

$cfg['Servers'][$i]['controluser']   = 'EmriYne';          // Emri me te cilin bejm login ne serverin sql
$cfg['Servers'][$i]['controlpass']   = 'Passwordi';//passwordi yne

Per te ber login shkojm tek http://localhost/phpMyAdmin
Ah, gati harrova..
Per te bere login tek mysql japim..

# mysql -u emriim -p

Mbas kesaj prompt do na kerkoj passwordin..
Dhe mbas kesaj mund te japim ç’fare do lloj komande sql per te krijuar, databaza, apo te modifikojm serverin etj, gjera qe mund ti bejm edhe me mysql-administrator…
Mbas kesaj, ne mund te shkojm te vendosim ç’fare do lloj web aplikacioni qe suportohet tek /var/www/html/ dhe te ndjekim instalimin normal, mbasi kemi serverin, kemi databazen dhe gjuhet e suportuara pastaj..
Per suport te gjuheve te tjera instalohen dhe modulet e tjera, gjithsesi ky eshte konfigurimi :)

Laptopi klasik

Viruse dhe antiviruse | Metoda infektimi dhe skanimi.

Ne kete teme do te mundohemi te paraqesim te pathenat e viruseve dhe antiviruseve, nuk do merremi me tema tipike si “kush eshte antivirusi me i mire” pasi ky antivirus qe po kerkoni nuk egziston.
E perseris, nuk egziston!!
Ju do thoni pse nuk egziston, dhe mbase dikush eshte i bindur qe eshte i mbrojtur ne kompiuterin e tij edhe pse ka instaluar kaspersky internet security v2999 apo nuk i di versionet qe mund te nxjerrin shtepite e antiviruseve.
Ajo qe thashe me siper eshte e vertet dhe ne kete teme do e shohim se pse.
PS. Tema do shikohet nga 2 kendveshtrime.
1)Si nje virus maker, pra si nje programator  virusesh.
2)Si nje kompani qe prodhon antiviruse dhe i interesojn metodat e mbrojtjes.
Mire, po vazhdojm menjehere me temen.
Ka shume percaktime per viruset, po munohem te jap disa karakteristika dhe nje perkufizim sa me permbledhes.
Viruset (ku bejn pjese trojanet, malwaret, rootkitet, RAT, etj) jane programe te shkruajtura ne shumllojshmeri gjuhesh me te vetmin qellim:
1)Eliminim
2)Korruptim
3)Vjedhje
4)Kontroll
Te dhenash. Qofshin keto brenda nje kompiuteri, server, apo celulari!!
Nder llojet e tyre po permend disa te cilet mund ti quajm si me interesantet.
Po e fillojm me me te rrezikshmin (opinioni im ky)
1.Bootkite
Jane nje klas e evoluar e viruseve boot te cilet infektojn MBR-n e nje makine duke mos patur kontakt ose me sakt varesi nga vet sistemi operativ i nje kompiuteri.
Dhe bootkitet jane shume te rrezikshem sepse edhe mbas formatimit te nje makine ato perseri gjenden ne pc, dhe e vetmja zgjidhje mund te jete fleshimi i biosit apo zevendesimi i saj me nje bios te ri.
2.Viruset e encryptuara te cilat fshehin payloadin e tyre duke e encryptuar.
3.Virusat parazit, keto jane viruse qe kapen tek nje fail i sistemit dhe e infektojn ate, me vone kjo lloj teknike u asimilua dhe nga rootkitet qe jane derivojn nga UNIX\Linux root term, dhe jane dizenjuar per te dhene root akses.
4.Viruset polimorfik apo mutant te cilet derivojn nga ato te encryptuara vetem se ne ndryshim nga ato lloj virusesh algoritmi i encryptimin ndryshon, pra encryptohet me algoritme te ndryshme per tu bere i pakapshem nga antiviruset.
Grupet e viruseve jane te shumt, une u perqendrova tek keto pasi jane me te rrezikshmit sidomos kur cilesi te tyre bashkohen ne nje virus. Po shtoj ketu nje kod kurioz  te shkruajtur ne asm per tu studiuar.
http://albanianwizard.org/Postokodin/13
Po kalojm pak tek metodat e skanimit qe perdorin antiviruset.
Sepse kjo gjithmon ka qene “pyetje pergjigje” , avancimi i njeres pale detyronte avancimin e pales tjeter.
Teknologji Skanimi
1.Ajo e signature , pra e firmes se virusit duke krahasuar si hash-in e virusit ashtu edhe kodin e tij (normalisht aspak efektive duke ditur qe shumica e viruseve modifikojn kodin e programeve qe infektojn me kodin e tyre, dhe mbasi ka bere punen e tij pak eshte e rendesishme nese kapet apo jo, pra e rendesishme eshte qe te gjendet kodi i modifikuar)
2.X-Raying ky lloj skanimi qe nje revolucion i vertet kunder viruseve qe ishin te encryptuar sepse zakonisht algoritmi qe perdorej ishte i thjesht keshtu qe ishte edhe i thjesht per tu krakuar, pra keto antiviruse bejn nje sulm te tipit brute force per te krakuar algoritmin dhe per te njohur virusin.
Si teknollogji derivon nga Cyber Crime, sepse perdorej per te decryptuar hardisqet e hakerave kur kapeshin me “presh ne dore”. Keto kane qene hapat e pare kunder kunder  Steanografis [nga greqishtja, mbulim gjurmesh, fshehje te dhenash]
3.Stimulimi
Kjo teknik eshte keshtu.
Antivirusi krijon nje emulator i cili krijohet drejtpersedrejti nga CPU dhe virusi hidhet ne nje ambjent ideal i cili normalisht pa e ditur qe eshte gjithçka nje “loje” ben ate per te cilen eshte programuar duke u identifikuar edhe veprimtaria e tij si veprimtari virusi.
4.Heuristik mos me thoni qe nuk e keni degjuar, eshte shume e famshme dhe shenoi nje revolucion.
Kjo si pasoje e revolucionit nga ana tjeter.
Siç e thame me siper viruset filluan ta fshihnin kodin e tyre ne krye te fileve qe infektonin por kur u mor vesh qe kjo spo bente me pune , atehere virus makerat filluan me nje teknike te re te quajtur “entry point obfuscations” pra ne fjale te tjera maskonin vendin se ku fusnin kodin dhe keshtu lindi nevoja e nje metodologjie te re skanimi e cila u quajt Heuristik dhe per ta shpjeguar nuk eshte aspak e thjesht, po po japim nje analiz te shkurter te algoritmit heuristik ne te cilin bazohet dhe kjo lloj metodologjie skanimi.
Nje definicion i shkurter i asaj qe ben ky algoritem eshte se gjen nje zgjidhje fleksibel , me afer zgjidhjes reale duke analizuar nje sere faktoresh qe ndryshojn nga menyra se si eshte i implementuar ky algoritem (ndryshon nga aplikacioni ne aplikacion)..
Per ta sqaruar akoma me mire, ne rastin kur kemi te bejm me viruse ne te cilet eshte implementua teknika e entry point obfuscation atehere eshte e pamundur per nje skaner qe te gjej se cili fail eshte infektuar. Psh kemi nje kartel me 40 faile ku 1 eshte i infektuar..
Algoritmi skanon kartelen dhe ne baze te disa karakteristikave (failet “stresohen” ne menyre qe te japin shenja “jete” dhe nese eshte virus i pergjigjet ndryshe thirrjeve nga sistemi) japin nje rezultat te perafert se kush fail mund te jete i infektuar. :)

Realiteti ne fakt eshte pak me i hidhur pasi krijohen viruse mutant me kualitete nga te gjitha keto kategori qe permenda dhe ajo qe eshte me e keqja eshte se ato nuk i adresohen me si dikur sistemit apo “targetit” tipik te tyre por i adresohen edhe antiviruseve, dhe firewalleve.
Pra per ti çaktivizuar ato, dhe per ti nxjerrre jasht perdorimit.
Jo vetem kaq, por mjafton nje kerkim i vogel tek packetstormsecurity dhe gjene viruse te programuar posaçerisht per tu mos kapur nga antiviruse te ndryshme te tipit, kaspersky, norton, panda etj.
Nje rrezik tjeter eshte ai i viruseve 0-day do ti quaj qe jane te koduar aq mire sa antiviruset nuk mund ti kapin na baze te karakteristikave te tyre. Kjo edhe per shkak se nuk gjenden ne databazen e viruseve.
Sulmet me normale ne kohet tona jane te tipit:
Virusi e merr nje makine dhe e kthen ate ne nje Zombie, duke e bere pjese te nje Bootneti ose te nje sulmi Distributed Denial Of Service i quajtur shkurt DDOS.
Nga ana tjeter edhe antiviruset po punojn per te rregulluar “difektet” e tyre, por e verteta eshte se viruset gjtihmon do te jene nje hap perpara. (per fat te keq eshte e vertet).
Atehere cila eshte zgjidhja?
Ne realitet nje zgjidhje nuk ka, por une preferoj nje tipologji mbrojtjeje te re e cila quhet HIPS (Host Intrusion Prevention System) dhe eshte e implementuar shume mire tek Comodo Internet Security.
Ne fjale te tjera eshte nje monitorim live i sistemit dhe proçeseve ne te, dhe bllokon ç’do proçes te panjohur perpara se ai te veproj, duke shmangur keshtu shume demtime ne rast virusesh.
Si funksionon?
Siç e tham kjo teknollogji monitoron komplet sistemin dhe per ç’do gje qe “merr fryme” ne kompiuter te sinjalizon duke e bllokuar ate qe po “merr fryme” perpara se te “marri fryme” xD dhe dhe te jep mundesine ta bllokosh ose ta lejosh duke te dhene normalisht dhe sugjerime shume te mira.
Une perdor linux dhe nuk para vuaj nga keto probleme, pasi ne linux me shume te zhvilluar jane sulmet me remote exploit, remote code execution, buffer overflow, dhe rootkite.
Por gjithsesi nuk eshte absolutisht ne nivelin e sulmeve qe i behen sistemeve si windows.
Normalisht kam harruar shume gjera pa permendur, mos hezitoni ti kujtoni dhe ti shtoni duke ju pergjigjur ketij postimi.

Programe per monitormin e networkut | Enterprise dhe Corporate

Te gjithe ata qe kane punuar ne nje enterprise e kane shume te qart qe monitorimi i networkut eshte nje faktor shume i rendesishem i mbarvajtjeve te punes si ne aspektin e siguris ashtu edhe ne ate minimal pra ne funksionimin korrekt te komponenteve te ndryshme te networkut duke filluar qe nga routerat, serverat, apo edhe thjesht ndarjet e networkut ne rrjete lan, wireless, network virtual, etj.
Monitorimi i tij eshte shume i rendesishem edhe pse menjehere lokalizon komponentin me difekt (server, firewall, aplikacion qe ka ndaluar punimin nderkohe qe duhet te punoj, user qe po hyn diku ku sduhet, platform down, sherbime etj)  dhe ne jemi te gjendje qe te veprojm ne kohen e duhur.
Kjo ne saje te programeve, sistemeve operative apo komponenteve hardware.
Keto software na lejojn per te pare duke filluar qe nga hostet online ne network,temperaturen e proçesorit, ping-e te ndryshme ICMP (per te pare nese hostet jane online apo jo) e deri tek monitorimi i paketave dhe zberthimi i tyre, monitorimi i firewalleve, sistemeve IDS\NIDS, monitorimi i portave te nje routeri te caktuar, bandwith, hapesira e lire, perdoruesit e lidhur, si ne pc-t ashtu edhe te loguar neper sherbimet e ndryshme[do te thote edhe monitorimi i sherbimeve normal]..etj etj etj.
Po listoj disa programe\komponent te specializuar per kete pune.
Po e fillojm me HP OpenView , nje produkt i (Hewlett Packard) per monitorimin e nyjeve te networkut.
Eshte shume i mire, e kam perdorur personalisht dhe e rekomandoj.Integrohet shume mire me routerat Cisco.
Rekomandohet veçanerisht per monitorimin e routerave, switch-eve etj.
Vazhdojm me nje open source aplikacion server qe quhet Zenoss dhe ketu po e shohim pak nen kenveshtrimin e nje korporate, pra kemi kaluar ne nje aplikacion akoma me te specializuar i cili eshte ne gjendje te monitoroj sisteme te tera.
Eshte i shkruajtur ne python dhe eshte open-source, panvaresisht se eshte komerçal.
Eshte ne gjendje te monitoroj:
Sisteme operative,
Paisje networku,
Databaza,
Servera,
Shume protokolle dhe monitoron edhe vet sistemet e monitorimit.
ZenOss
Do te thoja, vertet nje kryeveper
Kalojm tek Nagios 😀
Eshte kjo fytyr 😀 sepse eshte i preferuari im, e pabesueshme por eshte pa pages.
Eshte shume i realizuar dhe ketu mund te shohim disa screenshots.
Nagios
Eshte i specializuar sidomos ne monitorimin e serverave.
Monitoron serverat, duke i ndare psh ne antiviruse, web servera, dhe sistemet operative qe kane instaluar.
Monitoron firewalle dhe routera, sherbime dhe deri tek aplikacionet.
Vertet shume i mire dhe akoma çuditem si shpjegohet qe eshte free.
Ka nje pafundesi pluginesh dhe eshte kompatibel me te gjitha sistemet operative ne pergjithesi :)
Po vazhdoj me nVision i Axence edhe ky nje program shume i mire monitorimi.
Nuk e kam provuar por kam degjuar te flitet mire per te edhe per monitroimin e userave gje qe mungon tek ata qe kam permendur me siper.
Per informacione me te detajuara mund te vizitoni faqen
nVision
Nomralisht qe ka shume programe te mira, mos hezitoni te na sugjeroni projekte te tjera qe sherbejn per kete pune.

Sigurimi dhe hardenizimi i WordPress

Worpress eshte nje platform publikimi web, e ashtuquajtur blog e cila eshte shume e perhapur dhe sot po shoh qe edhe shume shqiptare e kane instaluar.
E vertet eshte qe eshte nje CMS do ta quaja i mire por ashtu siç eshte i mire eshte edhe shume i keq.
Ne ç’fare kuptimi?
Egzistojn me shume se 30 exploite publik per wordpress dhe pluginet e tij, dhe eshte nje nga platformat me te sulmuara sot per sot, ku perfshihet ketu edhe joomla dhe mambo.
Pra eshte goxha i pasigurt.
Ne kete paper do te hardenizojm dhe sigurojm me aq sa mundemi blogun tone wordpress kunder sulmeve te njohura.

Hardenizimi per motorret e kerkimit

Sigurisht qe nese publikojm blogun tone duam edhe qe ai te jete i dukshem (varet nga preferencat) ne motorret e kerkimit.
Si arrihet kjo?
1.Instalimi i Seo All-in one pack, nje plugin i njohur i cili na jep mundesine qe gjate postimit te temave te zgjedhim edhe description + keywords (pershkrimi dhe fjalekyçe) per temen ne fjale, duke dhene keshtu mundesine motorreve te kerkimit qe te rregjistrojn me mire webin tuaj dhe ta paraqisin ate sa me shume ne baze te kerkimeve qe mund te bejn perdoruesit e internetit.
2.Instalimi i XML-Sitemap, edhe ky nje plugin tjeter i cili do te gjeneroj HARTEN e webit e cila do te dergohet automatikisht tek motorret e kerkimit si google, yahoo etj.
3.Ketu po kalojm pak me shume per webmasterat, te cilet keshillohen shume qe te krijojn nje akont tek Google webmaster tools dhe te punojn ne te.
Te kalojm tani pa humbur kohe tek sigurimi i wordpress.

SIGURIMI

Siç e thame me siper, eshte nje platform shume e sulmuar, atehere si ta mbrojm kete platform?
1.Tek wp-admin duhet te shtoni nje .htaccess qe kerkon username\password per te hyre ne panelin e kontrollit, dhe funksioni i saj nuk eshte vetem ai, por eshte edhe mbrojtja e komplet direktoris /wp-admin/ nga sulme qe mund ti behen faileve qe ndodhen brenda asaj direktorie.
2.Ne root directory pra / tek robots.txt do te shtoni

User-agent: *
Disallow: /wp-admin/
Disallow: /wp-includes/

Qe do te thote se motorret e kerkimit nuk jane te lejuar te rregjistrojn (crawl) ne databazat e tyre faile qe gjenden brenda atyre direktorive, dhe kjo gje do u ndihmoj edhe nga google dorks.
Dhe meqe ra fjala per google dorks.
3.Heqim te dhenat copyright te wordpress nga footeri i faqes duke vendosur ç’faredo lloj gjeje tjeter ne menyre qe kur ne google te kerkohet me “powered by ********” (kerkim tipik ky i nje script kiddie) webfaqa jone te mos rezultoj tek faqet qe servir google si pergjigje.
Dhe ky nuk eshte i vetmi ndryshim persa i perket njohjes se webi tone.
Po te hapni wordpress-in tuaj dhe te klikoni view source do te shikoni tek meta generator , wordpress me versionin qe keni instaluar dhe edhe kjo duhet te hiqet.
4.Ndryshimi i emrit te tabelave ne db sql duke evituar ne kete menyre vulnerabilitete te lloit sql – injection dhe per ta bere kete, mjafton te hapim failin e instalimit wp-config.php ku eshte dhe emri i db-zes dhe te ndryshojm emrin e tabelave ne diçka tjeter ç’faredo.
Aty ku thote:
$table_prefix do e ndryshojm ate qe eshte ne psh:
$table_prefix = ‘7u99DsA’;  (vetem numra, shkornja te vogla \shkonja te medhaja dhe _
5.Heqja e akontit default admin i cili krijohet automatikisht mbas instalimit te wordpress, pra duhet ta heqim pefundimisht dhe ta ndryshojm emrin e akontit ne diçka tjeter, duke evituar ne kete menyre sulme brutus force, apo user enumeration per gjetje passwordesh [pasi sulmuesi e di qe username eshte admin keshtu qe i ngelet vetem te gjej passwordin].
Per ta bere kete shkojm tek hosti yne, hapim phpmyadmin dhe shkojm tek tabela  tabelajone_users ku gjejm admin te cilit do ja ndryshojm vleren ne diçka tjeter.
6.Mbrojtja e direktorive wp-admin dhe wp-content dhe wp-content/plugins dhe /templates
Pse them pikerisht mbrojtjen e ketyre direktorive sidomos te plugins.
Programimi i nje plugini per wordpress eshte diçka shume e thjesht dhe nuk duhen edhe aq shume njohuri, per kete arsye ato mund ti bej cilido dhe ti dergoj tek wordpress.
Edhe?
Ja qe shume pak prej ketyre qe i bejn keto plugine i kontrollojn per vulnerabilitete xss, rfi, sql injection, rce, etj (kete qe po them e deshmon dhe nje kerkim i shkurter tek milw0rm me ‘wordpress’ si keyword dhe shikoni rezultatin pra shumica jane pluginet ata qe kane vulnerabilitete dhe jo vet platforma wordpress) keshtu qe shume script kiddies per te marr informacion shkojn tek kjo direktori e cila ne shumicen e webfaqeve wordpress ne saje te administratoreve te pa kujdesshem eshte e shikueshme nga te gjith, dhe gjithsecili mund te shikoj pluginet e instaluara ne host, duke bazuar keshtu sulmin ne pluginet qe shikon.
Si ti mbrojm keto direktori qe askush mos te arrij te shikoj se ç’fare ka ne to.
Mjafton te vendosim nje fail bosh index.html ose diçka e zgjuar do te ishte te kopjonim nje faqe 404 dhe te dukej sikur direktoria nuk egziston.
Ne shumicen e rasteve ky script kiddie do zhgenjehet qe webi qe i doli ne google nuk eshte wordpress dhe do kaloj tek webi i rradhes i gjeneruar nga motorri i kerkimit. :)

7.Plugine qe mund te na lehtesojn punen
wp-security-scan eshte nje plugin qe pikerisht sherben per nje skanim te wordpressit tone dhe normalisht na sugjeron ato qe duhet te bejm per ta siguruar sadopak, nese dikush e ka te zorshme hapin 4, ky plugin u ndihmon ta kryeni nga paneli i kontrollit.
8.Siguri paranojake
Per te gjith ata qe jane pak manjak te siguris rekomandohet shume Ask apache password protect si plugin i cili arrin edhe te bllokoj psh aksesin direkt te ç’do faili .php ne direktorit tuaja.
Kjo do te thote qe nese dikush do te bazohet ne nje fail .php [normalisht eshte e vetja mundesi sulmi ne wordpress pasi eshte i koduar ne php] do i dali nje error 403.
Ky si plugin ka edhe shume opcione te tjera.
9.Me shume per estetik do te ishte diçka e mire psh qe url-t ne webin tuaj te kishin nje prapashtes .html e cila do te ishte edhe me familjare per motorret e kerkimit.
Kete mund tabeni duke shkuar tek: Settings> Permalinks dhe te selektoni formen e deshiruar, normalisht mbasi ta selektoni do te keni nje output te cilin pastaj duhet ta shtoni ne failin tuaj .htaccess ne root directory.
Me siguri kam harruar ndonje gje, keshtu qe sugjerimet jane me se e mirepritura.