Sigurimi dhe hardenizimi i WordPress

Worpress eshte nje platform publikimi web, e ashtuquajtur blog e cila eshte shume e perhapur dhe sot po shoh qe edhe shume shqiptare e kane instaluar.
E vertet eshte qe eshte nje CMS do ta quaja i mire por ashtu siç eshte i mire eshte edhe shume i keq.
Ne ç’fare kuptimi?
Egzistojn me shume se 30 exploite publik per wordpress dhe pluginet e tij, dhe eshte nje nga platformat me te sulmuara sot per sot, ku perfshihet ketu edhe joomla dhe mambo.
Pra eshte goxha i pasigurt.
Ne kete paper do te hardenizojm dhe sigurojm me aq sa mundemi blogun tone wordpress kunder sulmeve te njohura.

Hardenizimi per motorret e kerkimit

Sigurisht qe nese publikojm blogun tone duam edhe qe ai te jete i dukshem (varet nga preferencat) ne motorret e kerkimit.
Si arrihet kjo?
1.Instalimi i Seo All-in one pack, nje plugin i njohur i cili na jep mundesine qe gjate postimit te temave te zgjedhim edhe description + keywords (pershkrimi dhe fjalekyçe) per temen ne fjale, duke dhene keshtu mundesine motorreve te kerkimit qe te rregjistrojn me mire webin tuaj dhe ta paraqisin ate sa me shume ne baze te kerkimeve qe mund te bejn perdoruesit e internetit.
2.Instalimi i XML-Sitemap, edhe ky nje plugin tjeter i cili do te gjeneroj HARTEN e webit e cila do te dergohet automatikisht tek motorret e kerkimit si google, yahoo etj.
3.Ketu po kalojm pak me shume per webmasterat, te cilet keshillohen shume qe te krijojn nje akont tek Google webmaster tools dhe te punojn ne te.
Te kalojm tani pa humbur kohe tek sigurimi i wordpress.

SIGURIMI

Siç e thame me siper, eshte nje platform shume e sulmuar, atehere si ta mbrojm kete platform?
1.Tek wp-admin duhet te shtoni nje .htaccess qe kerkon username\password per te hyre ne panelin e kontrollit, dhe funksioni i saj nuk eshte vetem ai, por eshte edhe mbrojtja e komplet direktoris /wp-admin/ nga sulme qe mund ti behen faileve qe ndodhen brenda asaj direktorie.
2.Ne root directory pra / tek robots.txt do te shtoni

User-agent: *
Disallow: /wp-admin/
Disallow: /wp-includes/

Qe do te thote se motorret e kerkimit nuk jane te lejuar te rregjistrojn (crawl) ne databazat e tyre faile qe gjenden brenda atyre direktorive, dhe kjo gje do u ndihmoj edhe nga google dorks.
Dhe meqe ra fjala per google dorks.
3.Heqim te dhenat copyright te wordpress nga footeri i faqes duke vendosur ç’faredo lloj gjeje tjeter ne menyre qe kur ne google te kerkohet me “powered by ********” (kerkim tipik ky i nje script kiddie) webfaqa jone te mos rezultoj tek faqet qe servir google si pergjigje.
Dhe ky nuk eshte i vetmi ndryshim persa i perket njohjes se webi tone.
Po te hapni wordpress-in tuaj dhe te klikoni view source do te shikoni tek meta generator , wordpress me versionin qe keni instaluar dhe edhe kjo duhet te hiqet.
4.Ndryshimi i emrit te tabelave ne db sql duke evituar ne kete menyre vulnerabilitete te lloit sql – injection dhe per ta bere kete, mjafton te hapim failin e instalimit wp-config.php ku eshte dhe emri i db-zes dhe te ndryshojm emrin e tabelave ne diçka tjeter ç’faredo.
Aty ku thote:
$table_prefix do e ndryshojm ate qe eshte ne psh:
$table_prefix = ‘7u99DsA’;  (vetem numra, shkornja te vogla \shkonja te medhaja dhe _
5.Heqja e akontit default admin i cili krijohet automatikisht mbas instalimit te wordpress, pra duhet ta heqim pefundimisht dhe ta ndryshojm emrin e akontit ne diçka tjeter, duke evituar ne kete menyre sulme brutus force, apo user enumeration per gjetje passwordesh [pasi sulmuesi e di qe username eshte admin keshtu qe i ngelet vetem te gjej passwordin].
Per ta bere kete shkojm tek hosti yne, hapim phpmyadmin dhe shkojm tek tabela  tabelajone_users ku gjejm admin te cilit do ja ndryshojm vleren ne diçka tjeter.
6.Mbrojtja e direktorive wp-admin dhe wp-content dhe wp-content/plugins dhe /templates
Pse them pikerisht mbrojtjen e ketyre direktorive sidomos te plugins.
Programimi i nje plugini per wordpress eshte diçka shume e thjesht dhe nuk duhen edhe aq shume njohuri, per kete arsye ato mund ti bej cilido dhe ti dergoj tek wordpress.
Edhe?
Ja qe shume pak prej ketyre qe i bejn keto plugine i kontrollojn per vulnerabilitete xss, rfi, sql injection, rce, etj (kete qe po them e deshmon dhe nje kerkim i shkurter tek milw0rm me ‘wordpress’ si keyword dhe shikoni rezultatin pra shumica jane pluginet ata qe kane vulnerabilitete dhe jo vet platforma wordpress) keshtu qe shume script kiddies per te marr informacion shkojn tek kjo direktori e cila ne shumicen e webfaqeve wordpress ne saje te administratoreve te pa kujdesshem eshte e shikueshme nga te gjith, dhe gjithsecili mund te shikoj pluginet e instaluara ne host, duke bazuar keshtu sulmin ne pluginet qe shikon.
Si ti mbrojm keto direktori qe askush mos te arrij te shikoj se ç’fare ka ne to.
Mjafton te vendosim nje fail bosh index.html ose diçka e zgjuar do te ishte te kopjonim nje faqe 404 dhe te dukej sikur direktoria nuk egziston.
Ne shumicen e rasteve ky script kiddie do zhgenjehet qe webi qe i doli ne google nuk eshte wordpress dhe do kaloj tek webi i rradhes i gjeneruar nga motorri i kerkimit. :)

7.Plugine qe mund te na lehtesojn punen
wp-security-scan eshte nje plugin qe pikerisht sherben per nje skanim te wordpressit tone dhe normalisht na sugjeron ato qe duhet te bejm per ta siguruar sadopak, nese dikush e ka te zorshme hapin 4, ky plugin u ndihmon ta kryeni nga paneli i kontrollit.
8.Siguri paranojake
Per te gjith ata qe jane pak manjak te siguris rekomandohet shume Ask apache password protect si plugin i cili arrin edhe te bllokoj psh aksesin direkt te ç’do faili .php ne direktorit tuaja.
Kjo do te thote qe nese dikush do te bazohet ne nje fail .php [normalisht eshte e vetja mundesi sulmi ne wordpress pasi eshte i koduar ne php] do i dali nje error 403.
Ky si plugin ka edhe shume opcione te tjera.
9.Me shume per estetik do te ishte diçka e mire psh qe url-t ne webin tuaj te kishin nje prapashtes .html e cila do te ishte edhe me familjare per motorret e kerkimit.
Kete mund tabeni duke shkuar tek: Settings> Permalinks dhe te selektoni formen e deshiruar, normalisht mbasi ta selektoni do te keni nje output te cilin pastaj duhet ta shtoni ne failin tuaj .htaccess ne root directory.
Me siguri kam harruar ndonje gje, keshtu qe sugjerimet jane me se e mirepritura.

4 thoughts on “Sigurimi dhe hardenizimi i WordPress

  1. E kam lexu kete guide ne italisht, se di nqs e ke perjethyer apo e ke perpunuar vet te gjithe….por bravo te qofte per punen

  2. Pershendetje klisi,
    Te gjitha materialet ne albaninawizard ne te cilat nuk eshte lene link lidhes me materialin origjinal, jane materiale te shkruajtura nga pjesmarresit e albanianwizard.
    Njohurit pastaj merren sa neper libra sa ne internet.
    Me shume preferoj kete te paren pra librat, keshtu qe nese ke mundesi na e posto dhe linkun e asaj ne italisht ne menyre qe vizitoret te kene mundesi per te krahasuar informacionet dhe nese dikush nga te dy ka ndonje problem ateher zgjedhin me te miren.
    Dhe kete duhet ta bejm per ç’do teme te postuar ne aw gjithmon nese gjeni material te ngjashem me te.
    Psh, nese dikush gjen teme si :
    Probleme kritike me windows dhe nuk doni te formatoni?
    Hackers? ky keqkuptim i madh…
    Ç’do te thote public static void main?
    Te gabosh qellimisht eshte nje metodik programimi?
    Windows Vista Security!
    Binary | BIT | (te verteta dhe sekrete)
    Hello World “ndryshe”
    IE Dos me ane te javascript!!
    Remove Windows Vista Install Slackware 12.1
    CERT secure coding.
    Sa mund te ndikoj informacioni tek njerezit?
    PHP-IDS?
    Eshte i lutur qe te japi linkun e asaj teme.
    Biles per temat e mesiperme premtohet edhe nje shperblim prej 1000€ per ate person qe sjell linkun e temes ne origjinal, ne gjuhe kineze, arabe apo ç’faredo qoft.
    @Klisi, mos u keqkupto, postimi eshte per te gjith ata qe shikojn temat e albanianwizard.org, i lexojn perdit dhe rrudhin buzet.
    Ne do te jemi ketu te pranishem per shqiptaret, duan apo sduan persona te ndryshem.
    Puna flet dhe dote flasi akoma me shum.

  3. Përshëndetje,

    Së pari urime për Blogun, i cili në fillim duket se do të jetë mjaft i suksesshëm!
    …Ajo çka më intereson mua nuk ka të bëjë direkt me temën, por së paku me wordpress; andaj vendosa të shkruaj këtu, pasi nuk vërejta diku diçka të ngjashme!
    Pyetja ime është: Cili është kodi për Etiketa? Si krijohen ato? Prej ku mund të shkarkohet kodi dhe sa përparësi sjellë në motorat e kërkimit?

  4. Pershendetje,
    Faleminderit per urimin
    Persa i perket etiketave ose te ashtuquajturat tage, tek wordpress nuk ka nevoje per te instaluar ndonje plugin pasi jane te servirura vet nga wordpress.
    Per ti krijuar mjafton te shkruajm nje postim te ri , dhe posht fushes se postimit do te shohim nje fushe tjeter
    Tags
    Separate tags with commas
    Pra aty mjafton te shtojm psh:
    karrota, patate etj… duke i ndare me presje..
    Nese ke probleme me nxjerrjen e tyre ne faqe te pare atehere shkohet tek cpaneli Design>Widgets> dhe shton TAGS qe eshte ne panel, e riemeron me Etiketa dhe do gjendet ne homepage, por zakonisht ç’do template i ka default dhe taget normalisht duhet te jene ne faqe te pare.
    Po, persa i perket tageve japin perparesi per motorret e kerkimit sepse jane nje lloj harte e dyte per webin (ne ç’do postim duhet te fusim nga nje tag) dhe qe te japin efek duhet te jene te integruar edhe me nje sitemap..
    http://albanianwizard.org/sitemap.xml
    Nese nuk gjeni ne blog se ku te shkruani eshte HelpDesk ne forum ku mund te na shkruani per probleme te ndryshme..
    Nese ka akoma paqartesi per temen mos hezito te pyesesh :)

Leave a Reply

Your email address will not be published. Required fields are marked *