Burzcast #57

Securizarea WordPress, 1/2

Invitați: Adrian Boioglu

Publicat: 2017-02-26 (47 minute)

WordPress este una dintre cele mai utilizate platforme de CMS din lume care rulează în special pe servere LAMP. WordPress permite realizarea unui număr foarte mare de proiecte, website-uri complexe sau magazine online. Din 2007 de când oferim clienților noștri posibilitatea de a avea un website realizat pe bază de WordPress, am învâțat, prin practică avantajele și dezavantajele securității acestui CMS. Împreună cu Adrian Boioglu, îți prezint și ție o serie de bune practici, împărțite pe parcursul a două episoade din podcast, pentru securizarea website-ului tău construit pe WordPress self-hosted. Acesta este episodul numărul 1 din 2.

Acest episod a început inițial sub forma unei singure părți, dar datorită conținutului bogat, chiar și după post-producție, am ajuns la concluzia că este cel mai bine să îl lansăm în două reprize. Acest lucru ajută și la o mai ușoară urmărire și aplicare a principiilor prezentate în discuția din Burzcast-ul actual.

Astfel, acest episod se termină cu prezentarea unui punct din ghidul nostru pentru securizarea WordPress și va continua în următorul episod cu aspectele rămase.

În acest episod am atins puncte precum:

  • Contul de administrator și username-ul implicit
  • Prefixul tabelelor din baza de date
  • Securizarea drepturilor fișierelor și directoarelor
  • Blocarea drepturilor de browsing prin structura de directoare din rădăcina instanței WordPress
  • Key-urile de securitate
  • Ascunderea versiunii de WordPress, care va fi tratată mai pe larg într-un articol sau prezentare video ulterioară
  • Înlăturarea fișierelor readme și license
  • Securizarea wp-content și drepturile de scriere sau citire în acest folder
  • Instalarea plug-inurilor și o serie de recomandări de plug-inuri

Adițional discuției am prezentat încă o serie de bune practici, unele contra cost, altele gratuite, printre care utilizarea unui proxy, gen Sucuri Firewall sau CloudFlare pentru prevenirea unui atac DDoS de o anumită magnitudine.

Am prezentat apoi, foarte pe scurt, importanța unui certificat de securitate SSL, care transformă conexiunea către site într-una securizată peste protocolul HTTPS și care asigură că datele trimise dintre și spre website nu au fost alterate de un posibil atac man in the middle. Tot aici am discutat despre prețul unui certificat de securitate SSL, care poate varia în funcție de comerciant, dar am amintit și de inițiativa Let''s Encrypt pentru certificate valide, gratuite.

La final am sugerat oprirea conexiunilor remote la baza de date, în funcție de tipul de instalare a instanței de WordPress și cum se poate face dacă trebuie totuși să utilizezi un server separat de cel pe care rulează WordPress.

Personal, cred în puterea WordPress. Îl utilizez în munca mea și deși are multe probleme, acestea sunt cel mai adesea rezolvate foarte repede de către comunitate. WordPress ca CMS se pretează multiplelor proiecte. Lucrăm cu și urmărim chiar și proiecte internaționale pe zona de industrial, o zonă cu verticale puțin mai reticente sau... paranoice, care utilizează cu succes WordPress pentru website-urile și aplicațiile lor. Consider totuși că WordPress este și atât de atacat pentru că este atât de popular, iar acest lucru a atras pe mulți atacatori pentru a-și arăta cunoștințele de cracking.



Eu, ținând o prezentare despre de ce WordPress pentru companiile din domeniul industrial

Promovează afacerea ta sau produsele tale în podcasturile noastre

Producem două podcast-uri: Burzcast și micON. Promovează afacerea ta sau produsele tale și în conținutul nostru text sau video. Sloturile sunt limitate la un advertiser pe săptămână!

Burzcast Podcast

Episoade din arhivă

Hackathon DevHacks
Hackathon DevHacks

Alaturi de Andreea Balaci, am discutat despre evenimentul DevHacks, un hackathon pe teme de Smart Office, care va avea loc in Cluj-Napoca.

Patru podcasteri intra intr-un studio
Patru podcasteri intra intr-un studio

Acesta este un episod special si unul cum nu am mai realizat pana acum. Am reusit sa ne adunam, patru podcasteri cu vechime in Romania si sa discutam despre podcasting, cu ocazia Zilei Internationale a Podcastului.

Pre-eveniment Apple 7 septembrie
Pre-eveniment Apple 7 septembrie

In episodul 114 am discutat, alaturi de co-host-ul meu de la podcastul micON, Adrian Boioglu, despre ce asteptari avem de la evenimentul Apple din data de 7 septembrie 2022.

Nostalgie si tehnologie cu Ovidiu Manciu
Nostalgie si tehnologie cu Ovidiu Manciu

Ovidiu, aka "Aidan", a inceput sa scrie la revista LEVEL in anul 2012, incurajat fiind de sotia sa. Raspunsul afirmativ primit de la KiMO (Mircea Dumitriu) l-a ajutat sa dezvolte si mai mult pasiunea pentru gaming si in special retro gaming. In prezent, dupa oprirea publicarii revistei LEVEL si a succesoarei, NIVELUL2, Aidan realizeaza video-uri pe teme de retro gaming si retro tech, pe canalul sau de YouTube, DOSboi Aidan.

Cum producem si crestem un podcast romanesc
Cum producem si crestem un podcast romanesc

Am stat de vorba cu amicul Florin Rosoga despre situatia podcasturilor si a podcastingului din Romania. In ultimii doi ani podcasturile romanesti au inceput sa apara pe toate platformele. Credem ca romanii au inceput, insfarsit, sa descopere avantajele si posibilitatile podcastingului si in Romania. Cu Florin tratam exact aceste aspecte si te invatam cum sa realizezi, gestionezi si cresti un podcast romanesc, in baza cunostintelor noastre.

Curatarea si optimizarea imaginilor in WordPress
Curatarea si optimizarea imaginilor in WordPress

Datorita intrebarilor pe care le-am primit prin email si a unor actiuni de mentenanta a unor website-uri realizate de noi, pe baza de WordPress, am decis sa lansam un episod in care sa tratez problema mentenantei, a curatarii media library-ului din WordPress si cum sa optimizam imaginile pe care le postam in WordPress.