nginx + WordPress = kilka słów o bezpieczeństwie

Wpis w zasadzie jest moim podsumowaniem w temacie malware, bezpieczeństwa, wykonywania kodu dziwnego w zainfekowanym WordPressie co usłyszałem na jednym z WordUp Trójmiasto. Na spotkaniu były omawiane metody związane z Apache2, którego ja nie używam tak więc poniżej pare wpisów dla nginx-a. :)

Jak mówił prelegent na WordUp – WordPress nie musi/nie powinien wykonywać kodu bezpośrednio z katalogów tj. wp-content czy wp-includes, jednak są też wyjątki.

Oczywiście są też wyjątki. Taki wpis całkowicie zablokuje nam edytor graficzny w postach, stronach etc.. wiec:

Są też inne wyjątki z jakimi się spotkałem. Do taki należy plugin newsletter, który wykonuje php bezpośrednio ze swojego katalogu, a więc:

I jeszcze jedno, zablokowanie możliwości pobrania nazwy admina

I to wszystko :) tak na szybko. Zawsze mamy mały krok w kierunku zwiększonego bezpieczeństwa.


Linux, Windows, WordPress

2 comments on “nginx + WordPress = kilka słów o bezpieczeństwie”

  • rozie_pl pisze:

    Z praktyki administratora hostingu – bardzo dobry wpis i przydatne blokady. Przytłaczająca większość infekcji to błędy w pluginach i themes i tam rezydują złośliwe pliki. Jedyne co bym zmienił to kolejność – najważniejsze na początek, kosmetyka (typu odczyt wersji) na koniec. Moim zdecydowanym faworytem do blokowania jest xmlrpc.php, który bywa wykorzystywany do niecnych działań, nawet jeśli nasz WP jest w pełni zabezpieczony. Dziwię się, że nie jest to blokowane po domyślnej instalacji…

    Jeśli możesz, uzupełnij o linka do wersji dla bardziej popularnego jednak Apache – więcej ludzi skorzysta.

    Na koniec – ww. blokady mogą pomóc, ale nie zastąpią aktualizacji silnika, themes i pluginów.

Dodaj komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *