1. Crearea de linkuri “custom” pentru administrare.
Un plugin denumit Stealth Login pune în practică linkuri custom pentru Login, Logout, administrare.
2. Alegerea unei parole “Strong”
Un ghid despre alegerea unei parole Create Strong Passwords.
3. Limitarea încercărilor de Logare
Un plugin denumit Login Lockdown face inutile toate scripturile special create de hackeri pentru “ghicirea” de parole.
4. Adresa de logare “Secure SSL”
Forţarea în mod SSL tuturor paginilor din wp-admin cu ajutorul unui plugin de wordpress, Admin SSL.
5. Protejarea cu parolă a directorului wp-admin
Se poate face din cPanel, dar exista şi un plugin, AskApache Password Protect care criptează parola şi creează o filă .htpasswd.
6. Limitarea accesului în wp-admin pe bază de IP
Se creează o filă .htaccess în folderul wp-admin, în care se configurează:
AuthUserFile /dev/null
AuthGroupFile /dev/null
AuthName “WordPress Admin Access Control”
AuthType Basic
order deny,allow
deny from all
# whitelist Gheorghe’s IP address
allow from xx.xx.xx.xxx
# whitelist Vasile’s IP address
allow from xx.xx.xx.xxx
# whitelist Ioana’s IP address
allow from xx.xx.xx.xxx
# whitelist Basescu’s IP address
allow from xx.xx.xx.xxx
# whitelist Servici IP address
allow from xx.xx.xx.xxx
7. Nu utiliza niciodată username “admin”
În cazul utilizării de hackeri a brute force atack, e luată cel mai des în calcul posibilitatea username=admin, varianta default.
Se crează un alt user cu rol de administrator (wp-admin/profile.php) după care userul admin care era default se şterge.
8. Eliminarea mesajelor de eroare din pagina de login.
Când un hacker introduce unusername sau o parolă greşit, mesajul de eroare îl informează ce anume este incorect.
Concret, se deschide fila functions.php din folderul temei temei unde se introduce linia de cod:
add_filter(’login_errors’,create_function(’$a’, “return null;”));
9. Utilizarea de parole criptate pentru login
Plugin necesar: Semisecure Login Reimagined
10. Antivirus pentru WordPress
Plugin care scanează zilnic filele wp, combate exploit-uri şi malware.
11. Întotdeauna update de urgenţă la ultima versiune WP
Pune wordpress-ul la adăpost de bug-urile şi exploit-urile descoperite până în prezent.
12. Parola “One time” (adică de unică folosinţă!)
One Time Password este un plugin care creează o parolă valabilă doar o singură sesiune.(!)
13. WordPress Firewall Plugin
Detectează, interceptează orice parametru suspect în măsură de a compromite soft-ul WordPress.
Rezumat după un articol de wpbeginner.com, VIA yo9fah, tradus de andrian.
Tweets that mention Andrian » 13 lucruri esenţiale pentru securitatea wp-admin la WordPress -- Topsy.com spune:
October 20th, 2009 at 15:54
[...] This post was mentioned on Twitter by Costin ✔ and Minea Adrian, Honey Cramariuc. Honey Cramariuc said: RT @eCostin: Cam strict, insa… RT @andrianz 13 lucruri esenţiale pentru securitatea wp-admin la WordPress – http://sp2.ro/1e514d [...]
Costin spune:
October 20th, 2009 at 16:18
Multumesc pentru ca folosesti sp2.ro. De fapt, asa am si dat peste acest articol!
andrian spune:
October 20th, 2009 at 16:25
@Costin – da, sp2 folosesc, ms si eu de coment…
Costin spune:
October 20th, 2009 at 16:48
Pentru putin
H8r spune:
October 21st, 2009 at 19:58
la punctul 7 – cum schimb username-ul din admin in altceva ? ca stiam ca wordpress-ul nu te lasa …
andrian spune:
October 21st, 2009 at 20:08
@H8r – ai dreptate, am mai adaugat ce lipsea la pct 7 !
H8r spune:
October 21st, 2009 at 21:03
Merci, foarte util articolul !