Securizarea WordPress, 1/2

Burzcast #57 2017-02-26

Securizarea WordPress, 1/2

Gazdă: Razvan Burz

Invitați: Adrian Boioglu

WordPress este una dintre cele mai utilizate platforme de CMS din lume care rulează în special pe servere LAMP. WordPress permite realizarea unui număr foarte mare de proiecte, website-uri complexe sau magazine online. Din 2007 de când oferim clienților noștri posibilitatea de a avea un website realizat pe bază de WordPress, am învâțat, prin practică avantajele și dezavantajele securității acestui CMS. Împreună cu Adrian Boioglu, îți prezint și ție o serie de bune practici, împărțite pe parcursul a două episoade din podcast, pentru securizarea website-ului tău construit pe WordPress self-hosted. Acesta este episodul numărul 1 din 2.

 RSS  Apple Podcasts  Spotify  Google Podcast  Overcast  Descarcă

Detalii episod

Acest episod a început inițial sub forma unei singure părți, dar datorită conținutului bogat, chiar și după post-producție, am ajuns la concluzia că este cel mai bine să îl lansăm în două reprize. Acest lucru ajută și la o mai ușoară urmărire și aplicare a principiilor prezentate în discuția din Burzcast-ul actual.

Astfel, acest episod se termină cu prezentarea unui punct din ghidul nostru pentru securizarea WordPress și va continua în următorul episod cu aspectele rămase.

În acest episod am atins puncte precum:

  • Contul de administrator și username-ul implicit
  • Prefixul tabelelor din baza de date
  • Securizarea drepturilor fișierelor și directoarelor
  • Blocarea drepturilor de browsing prin structura de directoare din rădăcina instanței WordPress
  • Key-urile de securitate
  • Ascunderea versiunii de WordPress, care va fi tratată mai pe larg într-un articol sau prezentare video ulterioară
  • Înlăturarea fișierelor readme și license
  • Securizarea wp-content și drepturile de scriere sau citire în acest folder
  • Instalarea plug-inurilor și o serie de recomandări de plug-inuri

Adițional discuției am prezentat încă o serie de bune practici, unele contra cost, altele gratuite, printre care utilizarea unui proxy, gen Sucuri Firewall sau CloudFlare pentru prevenirea unui atac DDoS de o anumită magnitudine.

Am prezentat apoi, foarte pe scurt, importanța unui certificat de securitate SSL, care transformă conexiunea către site într-una securizată peste protocolul HTTPS și care asigură că datele trimise dintre și spre website nu au fost alterate de un posibil atac man in the middle. Tot aici am discutat despre prețul unui certificat de securitate SSL, care poate varia în funcție de comerciant, dar am amintit și de inițiativa Let''s Encrypt pentru certificate valide, gratuite.

La final am sugerat oprirea conexiunilor remote la baza de date, în funcție de tipul de instalare a instanței de WordPress și cum se poate face dacă trebuie totuși să utilizezi un server separat de cel pe care rulează WordPress.

Personal, cred în puterea WordPress. Îl utilizez în munca mea și deși are multe probleme, acestea sunt cel mai adesea rezolvate foarte repede de către comunitate. WordPress ca CMS se pretează multiplelor proiecte. Lucrăm cu și urmărim chiar și proiecte internaționale pe zona de industrial, o zonă cu verticale puțin mai reticente sau... paranoice, care utilizează cu succes WordPress pentru website-urile și aplicațiile lor. Consider totuși că WordPress este și atât de atacat pentru că este atât de popular, iar acest lucru a atras pe mulți atacatori pentru a-și arăta cunoștințele de cracking.



Eu, ținând o prezentare despre de ce WordPress pentru companiile din domeniul industrial

Burzcast Podcast

Episoade din arhivă

Despre SEO si online marketing cu Ela Iliesi

109: Despre SEO si online marketing cu Ela Iliesi

Am discutat iar cu Ela Iliesi, Specialist SEO la eJobs si trainer de SEO si marketing digital la Rezistenta Online. Ela ne-a spus ce inseamna SEO la inceput de 2022, ce trebuie si ce nu trebuie sa facem in Search Engine Marketing si cat optimizam website-ul pentru motoarele de cautare, versus vizitatorii site-urilor noastre.

Ascultă episodul 2022-01-07
Radu Milos si pontajul online

108: Radu Milos si pontajul online

Am discutat cu Radu Milos, CTO and Founder al Elysian Software despre aplicatia de pontaj electronic, Tassis. Printre altele, am mai dezbatut probleme ce tin de productia de software. Am aflat ce face Elysian Software si ce tehnologii utilizeaza. In aftershow am discutat putin despre problema invatamantului la distanta, aplicat in special in Universitatile din tara.

Ascultă episodul 2021-10-20
DevTalks Reimagined 2021

107: DevTalks Reimagined 2021

Am stat, asa cum era traditia, de vorba, despre DevTalks Reimagines, 2021, cu Andreea Tudorache de la Catalyst, despre DevTalks-ul de anul acesta. Fiind an de pandemie, din pacate, si editia din anul acesta se va desfasura tot online, live, in intervalul 9-11 iunie 2021.

Ascultă episodul 2021-06-06
Noile produse Apple, cu Ionel Rohneanu

106: Noile produse Apple, cu Ionel Rohneanu

Am discutat cu Ionel "i0n1ca" Rohneanu despre noile produse Apple lansate la evenimentul live din data de 20 aprilie 2021, "Spring Loaded". Am discutat despre iPad Pro cu procesor M1, AirTags, noul Apple TV 4K, iMac-urile de 24", cu procesoare M1 si alte chestii referitoare la Apple.

Ascultă episodul 2021-05-01
Securizarea website-urilor WordPress si politici de securitate

105: Securizarea website-urilor WordPress si politici de securitate

In acest episod Burzcast Short Audio Experience raspund unei intrebari referitoare la securizarea website-urilor si, in special, ale celor WordPress.

Ascultă episodul 2021-04-05
Despre micON, cu Adrian Boioglu

104: Despre micON, cu Adrian Boioglu

In acest episod discut cu Adrian Boioglu, jurnalist constantean, antreprenor si co-hostul meu la celalalt podcast pe care il realizez, micON, despre... podcastul micON.

Ascultă episodul 2021-03-29