Tutoriale Securizare Server, Site, Blog wordpress, Mail si altele

[felix]

Am deschis acest thead pentru a folosii ca si Manual de SECURIZARE
Nu sunt un mare specialist, dar cu ajutorul vostru sper ca vom reusii sa acumulam informatii utile. Lucrurile folositoare le vom numerota de la 1 etc....

Chestii UTILE:
1- CPANEL: Limitare acce SSH si WHM la un ip sau clasa A sau B ( exemplu 86.32.*)
sunt plugins-uri pentru cpanel sau direct din firewall.
2- GENERAL: Folosirea de parole de minim 10 caractere, litere, cifre si chiar *^$#@&
3- WP: Evitarea de user cu nume admin
4- WP: Evitare parola 1234 sau 12345
5- WP: Rename/delete the xmlrpc.php file
6- WP: Ascunde versiunea WordPress › WP Remove Header Generator « WordPress Plugins
7- WP: Backup periodic WordPress › BackUpWordPress « WordPress Plugins
8- WP: Actualizare la zi versiune wordpress si plugins
9- WP: Blocarea accesului unor boti la fisierul de configurare wp-config.php prin fisier .htaccess urmatorul cod:

<files wp-config.php>
order allow,deny
deny from all
</files>

10- WP: Verificati permisiunile la directoare si fisiere, recomandat CHMOD 775 pentru directoare, 664 pentru fisier. Aveti mare grija la 777!!!
11- WP: Instalare plugins WordPress › Simple Login Lockdown « WordPress Plugins
12- General: Limitarea din robots.txt a folder si fisiere care vreti sa nu fie vizitate de boti si spideri, exemplu:

User-agent: *
Disallow: /cgi-bin/
Disallow: /wp-admin/
Disallow: /wp-includes/

Configurarea robots.txt este ceva mai complexa si difera de la o platforma la alta, ATENTIE MARE LA CONFIGURARE!!!! mai bine cere 5 pareri sa nu ai probleme.

13- ?

[haos]

Asa, sa pui o lista cu astfel de masuri se va ajunge la o lista mamuta de mii de observatii, pe care apoi nimeni nu va mai avea timp sau curaj s-o parcurga. Ori le structureaza cineva pe capitole, ori scriem doar despre un singur subiect, ca sa nu se transforme totul in haos. De ex, doar despre securitate wordpress, sau linux, sau mai stiu eu ce va trebuie.

Legat de cPanel, schimbi accesul ssh cu ssh keys si gata, mai important decat securizarea ssh e securizarea FTP. Pe acolo intra mai multe probleme decat prin ssh si oricum, nu toata lumea are server/vps, majoritatea au shared. Iar primul pas in securizarea FTP se face folosind un client FTP sigur iar cel mai sigur pe care-l stiam eu este JFtp (in Java), desi acum cu problemele lor probabil nici asta nu mai e sigur.

[felix]

Majoritatea site-urilor cum ar fii si wordpress, ruleaza pe linux, daca ti-ai secuzitat wordpress-ul si nu ai securizat ssh, cpanel, serveru ai sanse sa il fii securizat degeaba, orice chestie in plus este bine venita.

Chestii UTILE:
1- CPANEL: Limitare acce SSH si WHM la un ip sau clasa A sau B ( exemplu 86.32.*)
sunt plugins-uri pentru cpanel sau direct din firewall.
2- GENERAL: Folosirea de parole de minim 10 caractere, litere, cifre si chiar *^$#@&
3- WP: Evitarea de user cu nume admin
4- WP: Evitare parola 1234 sau 12345
5- WP: Rename/delete the xmlrpc.php file
6- WP: Ascunde versiunea WordPress › WP Remove Header Generator « WordPress Plugins
7- WP: Backup periodic WordPress › BackUpWordPress « WordPress Plugins
8- WP: Actualizare la zi versiune wordpress si plugins
9- WP: Blocarea accesului unor boti la fisierul de configurare wp-config.php prin fisier .htaccess urmatorul cod:
<files wp-config.php>
order allow,deny
deny from all
</files>
10- WP: Verificati permisiunile la directoare si fisiere, recomandat CHMOD 775 pentru directoare, 664 pentru fisier. Aveti mare grija la 777!!!
11- WP: Instalare plugins WordPress › Simple Login Lockdown « WordPress Plugins
12- General: Limitarea din robots.txt a folder si fisiere care vreti sa nu fie vizitate de boti si spideri, exemplu:
User-agent: *
Disallow: /cgi-bin/
Disallow: /wp-admin/
Disallow: /wp-includes/
Configurarea robots.txt este ceva mai complexa si difera de la o platforma la alta, ATENTIE MARE LA CONFIGURARE!!!! mai bine cere 5 pareri sa nu ai probleme.

13- Schimbare port SSH din 22 intru port cu 4 cifre.

14- ?

[casperel]

Nu stiu daca-s paranoic, dar eu pe dedicat / vps nu instalez server FTP. Ori pun un script cu interfata web care-mi face update de pe SVN, ori folosesc WinSCP (pe portul SSH).

[haos]

Nu stiu daca-s paranoic, dar eu pe dedicat / vps nu instalez server FTP. Ori pun un script cu interfata web care-mi face update de pe SVN, ori folosesc WinSCP (pe portul SSH).

Casperel - yep, suntem paranoici. Aceasta este o masura extrem pe care o folosesc si eu dar dorm mai linistit noaptea. Ca script cu interfata web folosesc unul recodat si impacheat de mine intrun singur fisier (file management si mysql), dintrun fost webshell cu care a fost infectat unul din siteuri candva.

[casperel]

Casperel - yep, suntem paranoici. Aceasta este o masura extrem pe care o folosesc si eu dar dorm mai linistit noaptea. Ca script cu interfata web folosesc unul recodat si impacheat de mine intrun singur fisier (file management si mysql), dintrun fost webshell cu care a fost infectat unul din siteuri candva.

Ma bucur ca nu-s singurul. As mai adauga urmatoarea schimbare in config-ul SSH, pt ca exista SUDO si nu avem nevoie sa ne logam cu root via SSH.

PermitRootLogin no

[Scorpio2k2]

As mai adauga ceva:

Dezactivarea din php.ini a functiilor "periculoase"

Cod:

safe_mode = On
2	expose_php = Off
3	open_basedir = /var/www
4	disable_functions = "apache_child_terminate, apache_setenv, define_syslog_variables, escapeshellarg, escapeshellcmd, eval, exec, fp, fput, ftp_connect, ftp_exec, ftp_get, ftp_login, ftp_nb_fput, ftp_put, ftp_raw, ftp_rawlist, highlight_file, ini_alter, ini_get_all, ini_restore, inject_code, mysql_pconnect, openlog, passthru, php_uname, phpAds_remoteInfo, phpAds_XmlRpc, phpAds_xmlrpcDecode, phpAds_xmlrpcEncode, popen, posix_getpwuid, posix_kill, posix_mkfifo, posix_setpgid, posix_setsid, posix_setuid, posix_setuid, posix_uname, proc_close, proc_get_status, proc_nice, proc_open, proc_terminate, shell_exec, syslog, system, xmlrpc_entity_decode"

[haos]

Eval, exec, shell_exec si system.. cred ca 99% din exploituri folosesc functiile astea. E buna recomandarea ta dar trebuie verificat codul sursa al siteului inainte de a le dezactiva pentru ca dezactivarea lor in necunostiinta de cauza poate crea gauri si mai mari.

[Scorpio2k2]

Normal ca trebuie sa stii ce functii folosesc siteurile tale.
In mod normal aceste "setari" sunt facute de cand se pune serverul online. nu dupa 3 ani cand ai zeci/sute de clienti/siteuri

[TechSmurf]

Va recomand sa folositi Better WP Security, care are un dashboard unde te sfatuieste sa rezolvi cam toate lucrurile de mai sus: legate de userul admin si parola, de cate ori are voie un IP sa umble prin wp-content sau sa primeasca 404, iti trimite mail cand apare o problema..e destul de simplu de folosit, m-a aparat de 5 ori pana acum. Nu garantez ca apara si daca nu aveti versiunea WP sau pluginuri updated.