Sigurimi dhe hardenizimi i WordPress

Worpress eshte nje platform publikimi web, e ashtuquajtur blog e cila eshte shume e perhapur dhe sot po shoh qe edhe shume shqiptare e kane instaluar.
E vertet eshte qe eshte nje CMS do ta quaja i mire por ashtu siç eshte i mire eshte edhe shume i keq.
Ne ç’fare kuptimi?
Egzistojn me shume se 30 exploite publik per wordpress dhe pluginet e tij, dhe eshte nje nga platformat me te sulmuara sot per sot, ku perfshihet ketu edhe joomla dhe mambo.
Pra eshte goxha i pasigurt.
Ne kete paper do te hardenizojm dhe sigurojm me aq sa mundemi blogun tone wordpress kunder sulmeve te njohura.

Hardenizimi per motorret e kerkimit

Sigurisht qe nese publikojm blogun tone duam edhe qe ai te jete i dukshem (varet nga preferencat) ne motorret e kerkimit.
Si arrihet kjo?
1.Instalimi i Seo All-in one pack, nje plugin i njohur i cili na jep mundesine qe gjate postimit te temave te zgjedhim edhe description + keywords (pershkrimi dhe fjalekyçe) per temen ne fjale, duke dhene keshtu mundesine motorreve te kerkimit qe te rregjistrojn me mire webin tuaj dhe ta paraqisin ate sa me shume ne baze te kerkimeve qe mund te bejn perdoruesit e internetit.
2.Instalimi i XML-Sitemap, edhe ky nje plugin tjeter i cili do te gjeneroj HARTEN e webit e cila do te dergohet automatikisht tek motorret e kerkimit si google, yahoo etj.
3.Ketu po kalojm pak me shume per webmasterat, te cilet keshillohen shume qe te krijojn nje akont tek Google webmaster tools dhe te punojn ne te.
Te kalojm tani pa humbur kohe tek sigurimi i wordpress.

SIGURIMI

Siç e thame me siper, eshte nje platform shume e sulmuar, atehere si ta mbrojm kete platform?
1.Tek wp-admin duhet te shtoni nje .htaccess qe kerkon username\password per te hyre ne panelin e kontrollit, dhe funksioni i saj nuk eshte vetem ai, por eshte edhe mbrojtja e komplet direktoris /wp-admin/ nga sulme qe mund ti behen faileve qe ndodhen brenda asaj direktorie.
2.Ne root directory pra / tek robots.txt do te shtoni

User-agent: *
Disallow: /wp-admin/
Disallow: /wp-includes/

Qe do te thote se motorret e kerkimit nuk jane te lejuar te rregjistrojn (crawl) ne databazat e tyre faile qe gjenden brenda atyre direktorive, dhe kjo gje do u ndihmoj edhe nga google dorks.
Dhe meqe ra fjala per google dorks.
3.Heqim te dhenat copyright te wordpress nga footeri i faqes duke vendosur ç’faredo lloj gjeje tjeter ne menyre qe kur ne google te kerkohet me “powered by ********” (kerkim tipik ky i nje script kiddie) webfaqa jone te mos rezultoj tek faqet qe servir google si pergjigje.
Dhe ky nuk eshte i vetmi ndryshim persa i perket njohjes se webi tone.
Po te hapni wordpress-in tuaj dhe te klikoni view source do te shikoni tek meta generator , wordpress me versionin qe keni instaluar dhe edhe kjo duhet te hiqet.
4.Ndryshimi i emrit te tabelave ne db sql duke evituar ne kete menyre vulnerabilitete te lloit sql – injection dhe per ta bere kete, mjafton te hapim failin e instalimit wp-config.php ku eshte dhe emri i db-zes dhe te ndryshojm emrin e tabelave ne diçka tjeter ç’faredo.
Aty ku thote:
$table_prefix do e ndryshojm ate qe eshte ne psh:
$table_prefix = ‘7u99DsA’;  (vetem numra, shkornja te vogla \shkonja te medhaja dhe _
5.Heqja e akontit default admin i cili krijohet automatikisht mbas instalimit te wordpress, pra duhet ta heqim pefundimisht dhe ta ndryshojm emrin e akontit ne diçka tjeter, duke evituar ne kete menyre sulme brutus force, apo user enumeration per gjetje passwordesh [pasi sulmuesi e di qe username eshte admin keshtu qe i ngelet vetem te gjej passwordin].
Per ta bere kete shkojm tek hosti yne, hapim phpmyadmin dhe shkojm tek tabela  tabelajone_users ku gjejm admin te cilit do ja ndryshojm vleren ne diçka tjeter.
6.Mbrojtja e direktorive wp-admin dhe wp-content dhe wp-content/plugins dhe /templates
Pse them pikerisht mbrojtjen e ketyre direktorive sidomos te plugins.
Programimi i nje plugini per wordpress eshte diçka shume e thjesht dhe nuk duhen edhe aq shume njohuri, per kete arsye ato mund ti bej cilido dhe ti dergoj tek wordpress.
Edhe?
Ja qe shume pak prej ketyre qe i bejn keto plugine i kontrollojn per vulnerabilitete xss, rfi, sql injection, rce, etj (kete qe po them e deshmon dhe nje kerkim i shkurter tek milw0rm me ‘wordpress’ si keyword dhe shikoni rezultatin pra shumica jane pluginet ata qe kane vulnerabilitete dhe jo vet platforma wordpress) keshtu qe shume script kiddies per te marr informacion shkojn tek kjo direktori e cila ne shumicen e webfaqeve wordpress ne saje te administratoreve te pa kujdesshem eshte e shikueshme nga te gjith, dhe gjithsecili mund te shikoj pluginet e instaluara ne host, duke bazuar keshtu sulmin ne pluginet qe shikon.
Si ti mbrojm keto direktori qe askush mos te arrij te shikoj se ç’fare ka ne to.
Mjafton te vendosim nje fail bosh index.html ose diçka e zgjuar do te ishte te kopjonim nje faqe 404 dhe te dukej sikur direktoria nuk egziston.
Ne shumicen e rasteve ky script kiddie do zhgenjehet qe webi qe i doli ne google nuk eshte wordpress dhe do kaloj tek webi i rradhes i gjeneruar nga motorri i kerkimit. :)

7.Plugine qe mund te na lehtesojn punen
wp-security-scan eshte nje plugin qe pikerisht sherben per nje skanim te wordpressit tone dhe normalisht na sugjeron ato qe duhet te bejm per ta siguruar sadopak, nese dikush e ka te zorshme hapin 4, ky plugin u ndihmon ta kryeni nga paneli i kontrollit.
8.Siguri paranojake
Per te gjith ata qe jane pak manjak te siguris rekomandohet shume Ask apache password protect si plugin i cili arrin edhe te bllokoj psh aksesin direkt te ç’do faili .php ne direktorit tuaja.
Kjo do te thote qe nese dikush do te bazohet ne nje fail .php [normalisht eshte e vetja mundesi sulmi ne wordpress pasi eshte i koduar ne php] do i dali nje error 403.
Ky si plugin ka edhe shume opcione te tjera.
9.Me shume per estetik do te ishte diçka e mire psh qe url-t ne webin tuaj te kishin nje prapashtes .html e cila do te ishte edhe me familjare per motorret e kerkimit.
Kete mund tabeni duke shkuar tek: Settings> Permalinks dhe te selektoni formen e deshiruar, normalisht mbasi ta selektoni do te keni nje output te cilin pastaj duhet ta shtoni ne failin tuaj .htaccess ne root directory.
Me siguri kam harruar ndonje gje, keshtu qe sugjerimet jane me se e mirepritura.