RSS: קטעים | תגובות | | הרשמה לקבלת עדכונים בדואר אלקטרוני | | אודות | | כותבים בבלוג | | יצירת קשר |

כניסה לפורומים: http://forums.hacking.org.il



איך לאבטח את ממשק הניהול של WORDPRESS?

נכתב ע"י גיא מזרחי בתאריך 3 ביולי 2009 | נושאים כללי | 10 תגובות »

WORDPRESS שוהה לו בתוך שרת ה-WEB הפופלרי apache.

אחד הדברים הקלים ביותר לעשות ב-apache הוא להגביל גישה לתיקיות מסויימות.

תיקייה שהגיוני מאוד להגביל את הגישה אליה היא תיקיית wp-admin ב-WORDPRESS.

אם אינכם רוצים לאפשר רישום משתמשים לבלוג שלכם ואתם רוצים להעלות את רמת האבטחה בבלוג ולהוריד את סיכויי הפריצה אליו – הפוסט הזה בשבילכם :-)

אז איך עושים את זה?

מייצרים בתוך תיקיית wp-admin שנמצאת תחת התיקייה של הבלוג קובץ בשם htaccess.

שימו לב, השם מורכב מ-נקודה(.) ואז htaccess.

הקובץ צריך להיות בפורמט הבא:

AuthName "Restricted Area"
AuthType Basic
AuthUserFile /var/www/.htpasswd
AuthGroupFile /dev/null
require valid-user

שימו לב שיש כאן הגדרה של AuthUserFile.

זהו קובץ השמות והסיסמאות של מורשי הכניסה לתיקייה שהחלטתם להגן עליה.

הקובץ צריך להיות בתיקייה מחוץ לאתר כך שלא יוכלו לגשת אליו.

מבנה קובץ הסיסמאות יהיה כזה:

user:6F7qwerOBK03Z

כדי לייצר לעצמכם קובץ סיסמאות תוכלו להשתמש במחולל הזה:

http://www.htaccesstools.com/htpasswd-generator

אז זהו?

כמעט.

אם תבדקו כרגע תראו שהתיקייה מוגנת בשם ובסיסמה שקבעתם לעצמכם.

הבעיה היא שיכול להיות שיש קובץ CSS שנמצא בתוך התיקייה הזאת (אצלי היה קובץ כזה).

נסו להכנס אל הבלוג בלי שהייתם מחוברים לתיקיית הניהול.

אם קופץ לכם חלון הדורש זיהוי, גם אצלכם יש את התופעה של ה-CSS הסורר שמוגן כרגע בסיסמה.

מה עושים?

עורכים שוב את .htaccess שלנו ומוסיפים את השורות הבאות:

<Files css/install-rtl.css>
order allow,deny
allow from all
</Files>

זו הדוגמה של ה-CSS שהיה אצלי.

במידה ויש קפיצה של בקשת סיסמה על דפים אחרים – בצעו את זה גם עליהם.

זהו, הבלוג שלכם הרבה יותר בטוח..




10 תגובות לקטע “איך לאבטח את ממשק הניהול של WORDPRESS?”

  1. shahar ISRAEL Windows XP Mozilla Firefox 3.0.11 כתב\ה:
    3 ביולי 2009 בשעה 8:58

    go into protection ah?
    :D

  2. גיא מזרחי ISRAEL Windows Vista Mozilla Firefox 3.0.11 כתב\ה:
    3 ביולי 2009 בשעה 9:03

    דווקא נחמד הקטע הזה של security :)

  3. פינגווין מגורש ISRAEL Linux Mozilla Firefox 3.0.11 כתב\ה:
    3 ביולי 2009 בשעה 11:18

    זה מוריש את זה לתיקיות המשנה, כן?
    (מעניין, בדיוק אתמול הסתכלתי קצת בנושא..)

  4. גיא מזרחי ISRAEL Windows Vista Mozilla Firefox 3.0.11 כתב\ה:
    3 ביולי 2009 בשעה 12:12

    כן, בתצורה הזאת הוא מוריש את זה.
    יש אפשרות לבטל.

  5. menachem kozlovsky UNITED STATES Windows XP Mozilla Firefox 3.0.11 כתב\ה:
    9 ביולי 2009 בשעה 4:18

    יש לי את DREAMHOST בתור ההוסט וכל פעם שאני יוצר את הקובץ htaccess. הקובץ פשוט נעלם מה עושים?

    תודה

  6. גיא מזרחי ISRAEL Windows Vista Mozilla Firefox 3.0.11 כתב\ה:
    9 ביולי 2009 בשעה 6:14

    מנחם – הקובץ לא נעלם, הוא מוסתר (hidden).
    מה שגורם לך הוא הנקודה שבתחילתו.
    אם תיכנס ב-shell ותקליד ls -la בתיקייה ששמת אותו אתה הראה שהוא יצוץ לו :-)

  7. menachem kozlovsky UNITED STATES Windows XP Mozilla Firefox 3.0.11 כתב\ה:
    10 ביולי 2009 בשעה 5:16

    גיא-תודה אבל איך אני נכנס ל-SHELL? ב-DREAMHOST.

    תודה

  8. גיא מזרחי ISRAEL Windows Vista Mozilla Firefox 3.5 כתב\ה:
    10 ביולי 2009 בשעה 7:00

    אתה צריך לאפשר אותו דרך ממשק הניהול.
    יש פה הסבר:
    http://wiki.dreamhost.com/Shell

  9. menachem kozlovsky UNITED STATES Windows Vista Mozilla Firefox 2.0.0.20 כתב\ה:
    10 ביולי 2009 בשעה 20:16

    thanks

  10. שזיף ISRAEL Debian GNU/Linux Mozilla Firefox 3.0.6 כתב\ה:
    18 באוגוסט 2009 בשעה 21:50

    גיא שלום רב,
    עקבתי אחר ההוראות וקיבלתי את השגיאה ההבאה באתר :

    Internal Server Error

    The server encountered an internal error or misconfiguration and was unable to complete your request.

    Please contact the server administrator, webmaster@shezif-co-il.postli.net and inform them of the time the error occurred, and anything you might have done that may have caused the error.

    More information about this error may be available in the server error log.

    Additionally, a 500 Internal Server Error error was encountered while trying to use an ErrorDocument to handle the request.

    תודה.