אבטחת שרת wordpress שרץ ב apache , אשמח להמלצות

avramk

שלום רב לכל החברים,
לצורך מסויים של אתר פרסומי הקמתי שרת WORDPRESS וירטואלי, המפרט התוכנתי של השרת הוא מערכת הפעלה ubuntu שרת אינטרנט apache והיישום כמובן - wordpress.

זו לי מהפעמים הבודדות שאני מתעסק עם יישומי אינטרנט ומערכות הפעלה מבוססת לינוקס, ולכן אשמח לטיפים קטנים ליישום אבטחה ולו מינימלית בשרת, ע"י כלי אבטחה מתאימים או כללים מוקשחים יותר.
אני מדגיש שהשרת יושב ברשת מבודדת וכן האתר לא מכיל נתוני לקוחות וכו' הוא נטו מיועד לפרסומת מסוימת, ולכן אני לא חושש עליו במידה מרובה (כמובן שאני מגבה את הwordpress וכו' ) אם כי זה לא נעים לחוות מתקפה או נזק כזה או אחר.

אשמח לתגובותיכם.

dovid

א. הmysql פתוח רק לlocalhost, כלומר user@localhost ולא user@*
ב. הufw פעיל, וסגור שמה הכל חוץ מהפורטים הנדרשים (SSH, 80, 443)
ג. לוודא שהוורדפרס מוגדר ובפועל מקבל עדכונים אוטומטית.

dovid

עוד דבר שכחתי,
ד. שהמשתמש שמריץ את האתר יהיה ייעודי (במדריכים תמיד זה www-data אמו משהו בסגנון)
(צריך שהתיקיות של וורדפרס יהיו על שמו או נגישים לו, חלקם גם לכתיבה).

avramk

@dovid כתב באבטחת שרת wordpress שרץ ב apache , אשמח להמלצות:

עוד דבר שכחתי,
ד. שהמשתמש שמריץ את האתר יהיה ייעודי (במדריכים תמיד זה www-data אמו משהו בסגנון)
(צריך שהתיקיות של וורדפרס יהיו על שמו או נגישים לו, חלקם גם לכתיבה).

זה פרט שלא כל כך הבנתי, אם תוכל בבשקה להרחיב או לחילופין להפנות אותי לקישור. שאר הדברים מייושמים.
עוד שאלה, האם לגבי אימות המנהל שיכול לשנות /לערוך את האתר, אין אפשרות / לא כדאי להגדיר דף אחר מאשר הקישור ברירת המחדל ? כמו כן האם יש אפשרות או שזה בדיפולט שאחרי כמה נסיונות כניסה כושלים כתובת הIP שמנסה להיכנס לניהול נחסמת ?

חגי

@avramk כתב באבטחת שרת wordpress שרץ ב apache , אשמח להמלצות:

עוד שאלה, האם לגבי אימות המנהל שיכול לשנות /לערוך את האתר, אין אפשרות / לא כדאי להגדיר דף אחר מאשר הקישור ברירת המחדל ? כמו כן האם יש אפשרות או שזה בדיפולט שאחרי כמה נסיונות כניסה כושלים כתובת הIP שמנסה להיכנס לניהול נחסמת ?

יש תוספים שדואגים לזה,
הנה תוסף שחסם אותי פעם אחת:
https://www.wordfence.com/

הוא חסם אותי אחרי ניסיון אחד בגלל שהכנסתי בשם המשתמש user, אז הוא כנראה מאוד חכם. (וזו חסימת אייפי, אז פניתי לבעלי האתר שיפתחו לי את החסימה בגלל שזה חוסם גם את האתר לעוד הרבה משתמשי נטפרי, והם הסכימו)

avramk

@חגי כתב באבטחת שרת wordpress שרץ ב apache , אשמח להמלצות:

@avramk כתב באבטחת שרת wordpress שרץ ב apache , אשמח להמלצות:

עוד שאלה, האם לגבי אימות המנהל שיכול לשנות /לערוך את האתר, אין אפשרות / לא כדאי להגדיר דף אחר מאשר הקישור ברירת המחדל ? כמו כן האם יש אפשרות או שזה בדיפולט שאחרי כמה נסיונות כניסה כושלים כתובת הIP שמנסה להיכנס לניהול נחסמת ?

יש תוספים שדואגים לזה,
הנה תוסף שחסם אותי פעם אחת:
https://www.wordfence.com/

הוא חסם אותי אחרי ניסיון אחד בגלל שהכנסתי בשם המשתמש user, אז הוא כנראה מאוד חכם. (וזו חסימת אייפי, אז פניתי לבעלי האתר שיפתחו לי את החסימה בגלל שזה חוסם גם את האתר לעוד הרבה משתמשי נטפרי, והם הסכימו)

תודה רבה, את התוסף מתקינים דרך וורדפרס עצמו , נכון ? (סליחה שאני שואל פשוט זה לי הפעם הראשונה שאני מתעסק עם זה..)

חגי

@avramk כן,
תנסה לשחק קצת עם הממשק ניהול של וורדפרס, זה יתן לך קצת היכרות עם המערכת.
יש שם מקום מתוך וורדפרס להתקין פלאגינים, גם wordfence זה פלאגין.

yossiz

@avramk כתב באבטחת שרת wordpress שרץ ב apache , אשמח להמלצות:

עוד דבר שכחתי,
ד. שהמשתמש שמריץ את האתר יהיה ייעודי (במדריכים תמיד זה www-data אמו משהו בסגנון)
(צריך שהתיקיות של וורדפרס יהיו על שמו או נגישים לו, חלקם גם לכתיבה).

זה פרט שלא כל כך הבנתי, אם תוכל בבשקה להרחיב או לחילופין להפנות אותי לקישור. שאר הדברים מייושמים.

אאל"ט בד"כ זה ככה מוגדר בברירת מחדל באפאצ'י שמתקינים דרך APT

avramk

@חגי @dovid תוכלו בבקשה להפנות אותי/ להמליץ לי על תוספי אבטחה וניהול מומלצים לוורדפרס. תודה רבה

dovid

@avramk אתה במצב בטוח בלי שום תוסף.
אני לא מכיר תוספים מומלצים ברמה אמיתית, ואני די בטוח שהרב אם לא כל הם "אבטחה קוסמטית", סוג של ערפולים שמבלבלים יותר את המערכת מאשר את התוקף.

shraga

@avramk כתב באבטחת שרת wordpress שרץ ב apache , אשמח להמלצות:

@חגי @dovid תוכלו בבקשה להפנות אותי/ להמליץ לי על תוספי אבטחה וניהול מומלצים לוורדפרס. תודה רבה

https://www.wordfence.com/ נחשב לתוסף מומלץ, אבל מתקפות שאפשר למנוע ברמת השרת ואל ברמת הוורדפרס צריך למנוע כבר שם.