W jaki sposób infekowane są strony działające na WordPressie?

Zabezpieczenia

Na blogu Wordfence pojawiło się ciekawe zestawienie sposobów, za pomocą których najczęściej infekowane są strony działające na WordPressie. Analiza obejmuje 1032 przypadki, które wprawdzie stanowią jedynie niewielki procent ogólnej liczby infekcji, ale można na ich podstawie wyciągać już jakieś sensowne wnioski.

Czytaj dalej komentarzy 12


Jak pozbyć się nieistniejących shortcode z treści wpisów

Każdy, kto korzysta z WordPressa, na pewno nie raz używał shortcode. Są to specjalne znaczniki wstawiane do treści wpisów, które generują fragmenty kodu HTML. Sam WordPress posiada kilka wbudowanych shortcode (np. [gallery] do wstawiania galerii czy [video] do osadzania filmów), ale wtyczki i motywy mogą rejestrować własne.

Oczywiście po usunięciu wtyczki lub motywu wszystkie dodane przez nie shortcode przestają działać i w treści wpisów zamiast na przykład efektownego przycisku zobaczymy znacznik w stylu [super-przycisk]. Problem nie jest wielki jeśli nasza strona ma kilka lub kilkanaście wpisów, ale jeśli pozbywamy się jakiejś wtyczki lub zmieniamy motyw na blogu, którego prowadzimy od kilku lat, to wyszukanie i usunięcie takich „osieroconych” shortcode może stanowić nie lada wyzwanie. Na szczęście istnieje kilka narzędzi, które mogą nam w tym pomóc.

Czytaj dalej Brak komentarzy


Jak zmienić adres strony logowania

Formularz logowaniaStandardowo strona logowania do panelu administracyjnego WordPressa znajduje się pod adresem http://nasza-domena.pl/wp-login.php. Adres ten nie wygląda zbyt przyjaźnie, co może mieć znaczenie gdy udostępniamy możliwość logowania użytkownikom naszej strony, a poza tym jest często wykorzystywany do ataków typu brute force. Można go jednak w łatwy sposób zmienić, podobnie jak adresy stron rejestracji i przypomnienia hasła.

Czytaj dalej komentarzy 27


Reakcje rodem z Facebooka trafią do WordPressa?

Reakcje w WordPressie

Członków ekipy odpowiedzialnej za rozwój WordPressa darzę wielkim szacunkiem – to w końcu dzięki ich ciężkiej pracy ten CMS stał się tak popularny i rozwinął się z prostego skryptu do blogowania w pełnoprawne narzędzie do zarządzania nawet dużymi stronami internetowymi. Jednak czasem pomysły, na jakie wpadają, przyprawiają mnie o zawrót głowy.

Tak też było kilka dni temu, gdy ogłoszono, że znane z Facebooka Reakcje mają szansę trafić do WordPressa.

Czytaj dalej komentarzy 7


Kolejna wtyczka ze złośliwym kodem w oficjalnym repozytorium

Oficjalne repozytoriumWordPress - bug WordPressa jest uważane za najbezpieczniejsze źródło darmowych wtyczek. Wpadki zdarzają się jednak nawet najlepszym, czego dowodem może być sytuacja sprzed dwóch dni, kiedy to w jednym z rozszerzeń wykryto złośliwy kod. Warto dodać, że kod ten siedział sobie spokojnie w repozytorium przez ponad dwa tygodnie.

Czytaj dalej komentarze 4


Uwierzytelnianie dwuskładnikowe w WordPressie

Uwierzytelnianie dwuskładnikowe

Pisząc o bezpieczeństwie serwisów opartych na WordPressie najczęściej skupiam się na zabezpieczaniu stron przed atakami z zewnątrz. Jednak równie ważne jest zadbanie o jak najlepsze zabezpieczenie samego procesu logowania, tak aby nikt niepowołany nie uzyskał dostępu do konta z uprawnieniami administratora.

Jedną ze skuteczniejszych i najpowszechniej stosowanych metod zabezpieczania procesu logowania jest uwierzytelnianie dwuskładnikowe (two-factor authentication), nazywane też dwuetapowym. Metoda ta polega na dodaniu do procesu logowania dodatkowego składnika w postaci zmieniającego się co pewien czas kodu. Kod ten może być dostarczany użytkownikowi za pomocą SMSa, poczty e-mail (podobnie jak w opisywanej przeze mnie wtyczce Paswordless) czy generowany przez dedykowaną aplikację. Dzięki temu nawet jeśli ktoś wejdzie w posiadanie naszego loginu i hasła, to i tak nie będzie w stanie zalogować się na nasze konto.

Czytaj dalej komentarzy 9


Jak zmienić działanie funkcji zapamiętywania zalogowanego użytkownika

WP Login Timeout Settings

Logując się do panelu administracyjnego WordPressa mamy możliwość zaznaczenia opcji Zapamiętaj mnie, dzięki której pozostaniemy zalogowani przez kolejne 14 dni – oczywiście przy założeniu, że korzystamy z tego samego komputera i przeglądarki oraz że nie usuniemy wcześniej ciasteczek utworzonych przez naszą stronę. WordPress nie daje nam żadnej kontroli nad działaniem tej funkcji. Możemy jednak skorzystać z darmowej wtyczki WP Login Timeout Settings, która pozwala na wydłużenie lub skrócenie okres, po którym użytkownik zostanie automatycznie wylogowany.

Czytaj dalej komentarze 4


3 wtyczki usprawniające eksport i import treści w WordPressie

Import i eksport

Wbudowane w WordPressa narzędzia do eksportu i importu treści nie są doskonałe, przez co w praktyce możliwości ich wykorzystania są dość ograniczone. Do przenoszenia całych stron służą inne narzędzia, ale problem pojawia się gdy chcemy skopiować pomiędzy stronami tylko wybrane treści lub konfigurację.

Na szczęście autorzy wtyczek zauważyli tę lukę i powstało kilka wartych uwagi rozszerzeń, które usprawniają proces eksportu i importu zawartości strony.

Czytaj dalej komentarzy 5


Jak (w miarę) bezboleśnie udostępnić stronę przez połączenie szyfrowane HTTPS

Enigma

W ostatnim czasie nacisk na udostępnianie stron internetowych za pośrednictwem szyfrowanego protokołu HTTPS jest coraz większy. Oczywiście w przypadku witryn, na których użytkownicy wprowadzają swoje dane (loginy, hasła, dane osobowe), szyfrowanie to podstawa, ale coraz więcej „zwykłych” stron WWW również przechodzi na protokół HTTPS.

Ja również dałem się w to wciągnąć i od kilku dni WPzen jest dostępny tylko przez HTTPS. Niestety, natknąłem się przy tej okazji na chyba wszystkie możliwe problemy, o których opowiem w dalszej części wpisu.

Czytaj dalej komentarzy 107