1 Shqiptar = 1 Web ==> “Webmasterizimi” i kalamajve Shqiptar

Ja ku po kthehemi ne realitetin e hidhur shqiptar..

Sot isha duke vizituar edhe njehere webet shqiptare, (shpresoj per here te fundit) te gjithe nga pak, mos tu ngeli hatri. Me ndodhi qe njerit ti beja nje pen-testing (lol  1/100 e ecuris normale)  dhe me skanimin e pare doli me mbi 600 blind sql injection vulnerabilitete dhe rreth 400 remote code execution, ky tipi ka server microsock dhe nje sit ne asp, mendova mah duhet te kene ndonje ide se per ç’fare behet fjale dhe mbas emailit (ku u çova raportin e vulnerabiliteteve), as qe ka levizur bishtin per ta ndryshuar, nejse puna e tyre.

Ndersa po vizitoja nje forum, vura re postimet e fundit, dhe fillova te qeshja..  Do te doja shum te mos e beja por ja qe u vu buza ne gaz. Tek “Temat e Reja” te ketij X forumi vura re qe te gjitha postimet qe ishin bere ishin ne seksionin “Faqe Shqiptare” dhe te gjith ata qe postonin benin thjesht rreklam te faqeve te tyre bajate pa pik kuptimi. Ne fillim ka qene ne mod vbulletin, alla tbc-crew me ndonje shqiponje dykrenare dhe me nje LIDHU ME NA!!! qe linkonte ne forum.. U hap nje blog, uuu oburraaaaa te gjith blogjeeeee , kapeni se na iku ah qeniiii….veç po e mori vesh sali protopapa :S

E pse kjo do thoni?, sepse ska ngelur shqiptar pa hapur nje webfaqe personale, sa me hoste me pagese, sa me hoste free, e po behen me shume webe se sa shqiptare, prandaj sa hapet nje web shumica e postimeve jane rreklama te webmasterave te tjere per faqen e tyre, e vetem kur mbushen 2 faqe forum pastaj..

Mendoni se po u sulmoj?, jo nuk eshte ashtu, thjesht po perpiqem tju jap realitetin e asaj qe jeni dhe te ndryshoni drejtim sepse nuk behesh webmaster vetem me njohurit : wordpress (instalimi jo me shum), vbulletin, filezilla, mysql dhe chmod.  Nese do u sulmoja do thoja vbkiddie, kalamawordpress. Ja ndaloni nje moment dhe mendoni, e mbushet faqen plot me muzik, lajme si ( firefox ka publikuar betan, google chrome, vidjoja e javes apo ku ta di une se ç’fare u shkon neper mend), ja edhe moret nje tuf bagetish per vizitor qe nuk u plas shum se si e shpenzojn kohen dhe a kane perfitime nga koha qe jane duke shpenzuar, cili eshte perfitimi i kesaj faqeje? ç’fare u jepni vizitoreve? dhe akoma me mire, CILI ESHTE NDRYSHIMI JUAJ NGA 101 Klonet qe gjenden ne net?

Me kete nuk dua te hedh posht punen e askujt qe perpiqet te japi diçka origjinale, por si keta mund te numurohen me gishta te tjeret jeni mere me lang se mishi u hang thot populli. Mendoni per ato qe jane shkruajtur, dhe mos u tregoni me shqiperine aq te keqinj saç eshte treguar shqiperia me ju, jepini diçka e mos ja merrni edhe ato pak tru qe i kan ngelur. Te sherbesh ka thene dikush eshte Cilesi Hyjnore, kur nuk di ta besh me mire meso e mesimi nuk merret ndryshe vetem se me durim, e nese nuk i ke as keto te dyja hap kraun e mos ngarko internetin kot. Jan ber te gjith kalamajt me webe, e perveç spamit spo shoh gje tjeter verdall.

Ah, gallata me  e madhe ishte kur pash nje tip ne foto qe i kishte nja 13 vjeç, e ishte sikur e kishte peshty lopa dhe thoshte: “firma INC (:L INC HAHAHAH)” sherbime web hosting 100% te sigurta,,..

100% te sigurta?  100% te sigurta? hahahaha, po ç’te presesh tjeter, femij u falet por i ftoj ‘ata qe perpiqen te bejn diçka ne atmosferen e netit shqiptar’ qe ti denoncojn keto fenomene dhe te pastrojn dhe veten e tyre pasi pak jane qe jane komplet te paster nga cilesit e ktyre copy\paste.

PS, ti tipi i firmes INC, sa per info siguria eshte thjesht nje koncept per ti bere njerezit me te sigurt, /fjale, premtime, fushat elektorale, dhe perderisa je ne planetin TOKE nuk eshte asnjehere 100%. Ja, lexo pak me posht dhe do e kuptosh se per ç’fare behet fjale ( gjithmon nese merr vesh se per ç’fare flitet).

Sigurimi dhe hardenizimi i WordPress

Worpress eshte nje platform publikimi web, e ashtuquajtur blog e cila eshte shume e perhapur dhe sot po shoh qe edhe shume shqiptare e kane instaluar.
E vertet eshte qe eshte nje CMS do ta quaja i mire por ashtu siç eshte i mire eshte edhe shume i keq.
Ne ç’fare kuptimi?
Egzistojn me shume se 30 exploite publik per wordpress dhe pluginet e tij, dhe eshte nje nga platformat me te sulmuara sot per sot, ku perfshihet ketu edhe joomla dhe mambo.
Pra eshte goxha i pasigurt.
Ne kete paper do te hardenizojm dhe sigurojm me aq sa mundemi blogun tone wordpress kunder sulmeve te njohura.

Hardenizimi per motorret e kerkimit

Sigurisht qe nese publikojm blogun tone duam edhe qe ai te jete i dukshem (varet nga preferencat) ne motorret e kerkimit.
Si arrihet kjo?
1.Instalimi i Seo All-in one pack, nje plugin i njohur i cili na jep mundesine qe gjate postimit te temave te zgjedhim edhe description + keywords (pershkrimi dhe fjalekyçe) per temen ne fjale, duke dhene keshtu mundesine motorreve te kerkimit qe te rregjistrojn me mire webin tuaj dhe ta paraqisin ate sa me shume ne baze te kerkimeve qe mund te bejn perdoruesit e internetit.
2.Instalimi i XML-Sitemap, edhe ky nje plugin tjeter i cili do te gjeneroj HARTEN e webit e cila do te dergohet automatikisht tek motorret e kerkimit si google, yahoo etj.
3.Ketu po kalojm pak me shume per webmasterat, te cilet keshillohen shume qe te krijojn nje akont tek Google webmaster tools dhe te punojn ne te.
Te kalojm tani pa humbur kohe tek sigurimi i wordpress.

SIGURIMI

Siç e thame me siper, eshte nje platform shume e sulmuar, atehere si ta mbrojm kete platform?
1.Tek wp-admin duhet te shtoni nje .htaccess qe kerkon username\password per te hyre ne panelin e kontrollit, dhe funksioni i saj nuk eshte vetem ai, por eshte edhe mbrojtja e komplet direktoris /wp-admin/ nga sulme qe mund ti behen faileve qe ndodhen brenda asaj direktorie.
2.Ne root directory pra / tek robots.txt do te shtoni

User-agent: *
Disallow: /wp-admin/
Disallow: /wp-includes/

Qe do te thote se motorret e kerkimit nuk jane te lejuar te rregjistrojn (crawl) ne databazat e tyre faile qe gjenden brenda atyre direktorive, dhe kjo gje do u ndihmoj edhe nga google dorks.
Dhe meqe ra fjala per google dorks.
3.Heqim te dhenat copyright te wordpress nga footeri i faqes duke vendosur ç’faredo lloj gjeje tjeter ne menyre qe kur ne google te kerkohet me “powered by ********” (kerkim tipik ky i nje script kiddie) webfaqa jone te mos rezultoj tek faqet qe servir google si pergjigje.
Dhe ky nuk eshte i vetmi ndryshim persa i perket njohjes se webi tone.
Po te hapni wordpress-in tuaj dhe te klikoni view source do te shikoni tek meta generator , wordpress me versionin qe keni instaluar dhe edhe kjo duhet te hiqet.
4.Ndryshimi i emrit te tabelave ne db sql duke evituar ne kete menyre vulnerabilitete te lloit sql – injection dhe per ta bere kete, mjafton te hapim failin e instalimit wp-config.php ku eshte dhe emri i db-zes dhe te ndryshojm emrin e tabelave ne diçka tjeter ç’faredo.
Aty ku thote:
$table_prefix do e ndryshojm ate qe eshte ne psh:
$table_prefix = ‘7u99DsA’;  (vetem numra, shkornja te vogla \shkonja te medhaja dhe _
5.Heqja e akontit default admin i cili krijohet automatikisht mbas instalimit te wordpress, pra duhet ta heqim pefundimisht dhe ta ndryshojm emrin e akontit ne diçka tjeter, duke evituar ne kete menyre sulme brutus force, apo user enumeration per gjetje passwordesh [pasi sulmuesi e di qe username eshte admin keshtu qe i ngelet vetem te gjej passwordin].
Per ta bere kete shkojm tek hosti yne, hapim phpmyadmin dhe shkojm tek tabela  tabelajone_users ku gjejm admin te cilit do ja ndryshojm vleren ne diçka tjeter.
6.Mbrojtja e direktorive wp-admin dhe wp-content dhe wp-content/plugins dhe /templates
Pse them pikerisht mbrojtjen e ketyre direktorive sidomos te plugins.
Programimi i nje plugini per wordpress eshte diçka shume e thjesht dhe nuk duhen edhe aq shume njohuri, per kete arsye ato mund ti bej cilido dhe ti dergoj tek wordpress.
Edhe?
Ja qe shume pak prej ketyre qe i bejn keto plugine i kontrollojn per vulnerabilitete xss, rfi, sql injection, rce, etj (kete qe po them e deshmon dhe nje kerkim i shkurter tek milw0rm me ‘wordpress’ si keyword dhe shikoni rezultatin pra shumica jane pluginet ata qe kane vulnerabilitete dhe jo vet platforma wordpress) keshtu qe shume script kiddies per te marr informacion shkojn tek kjo direktori e cila ne shumicen e webfaqeve wordpress ne saje te administratoreve te pa kujdesshem eshte e shikueshme nga te gjith, dhe gjithsecili mund te shikoj pluginet e instaluara ne host, duke bazuar keshtu sulmin ne pluginet qe shikon.
Si ti mbrojm keto direktori qe askush mos te arrij te shikoj se ç’fare ka ne to.
Mjafton te vendosim nje fail bosh index.html ose diçka e zgjuar do te ishte te kopjonim nje faqe 404 dhe te dukej sikur direktoria nuk egziston.
Ne shumicen e rasteve ky script kiddie do zhgenjehet qe webi qe i doli ne google nuk eshte wordpress dhe do kaloj tek webi i rradhes i gjeneruar nga motorri i kerkimit. :)

7.Plugine qe mund te na lehtesojn punen
wp-security-scan eshte nje plugin qe pikerisht sherben per nje skanim te wordpressit tone dhe normalisht na sugjeron ato qe duhet te bejm per ta siguruar sadopak, nese dikush e ka te zorshme hapin 4, ky plugin u ndihmon ta kryeni nga paneli i kontrollit.
8.Siguri paranojake
Per te gjith ata qe jane pak manjak te siguris rekomandohet shume Ask apache password protect si plugin i cili arrin edhe te bllokoj psh aksesin direkt te ç’do faili .php ne direktorit tuaja.
Kjo do te thote qe nese dikush do te bazohet ne nje fail .php [normalisht eshte e vetja mundesi sulmi ne wordpress pasi eshte i koduar ne php] do i dali nje error 403.
Ky si plugin ka edhe shume opcione te tjera.
9.Me shume per estetik do te ishte diçka e mire psh qe url-t ne webin tuaj te kishin nje prapashtes .html e cila do te ishte edhe me familjare per motorret e kerkimit.
Kete mund tabeni duke shkuar tek: Settings> Permalinks dhe te selektoni formen e deshiruar, normalisht mbasi ta selektoni do te keni nje output te cilin pastaj duhet ta shtoni ne failin tuaj .htaccess ne root directory.
Me siguri kam harruar ndonje gje, keshtu qe sugjerimet jane me se e mirepritura.