Fajny CMS, ale … jak każdy CMS bardzo podatny na włamania, sam core jest rewelacyjny moim zdaniem, ale wtyczki …. nie znasz dnia i godziny gdy komuś się uda włamać. Zwykle nawet tego nie zauważysz, zaczniesz linkować do lewej viagry czy butów nike. Lub oto inny: możesz mieć takie sugestie. Odwiedź best online casino CC-TV z Nederland, których ratings są najbardziej dokładne i użyteczne. Więc przeczytaj moje notatki. Warto przyjrzeć mu się lepiej.
Wszelkie znane mi włamania do Wordpress ( pomijając włamania systemowe, ftp … itp ) opierają się na manipulacjach katalogu wp-admin.
Wszystkie wpisy dajemy do .htaccess lub konfiguracji apache2.
Najprościej jest ograniczyć dostęp do wp-admin poprzez kontrolę IP:
<Directory "/home/domena/wp-admin"> order allow,deny allow from x </Directory>
Problem pojawia się gdy łączymy się z panelem admina z różnych IP… każde IP dodawać? no można …. ale niewygodne.
Zroby inaczej 😉 Prościej … i tak samo bezpiecznie 🙂
<Files wp-login.php> AuthName "Admins Only" AuthUserFile /etc/apache2/password AuthGroupFile /dev/null AuthType basic require valid-user </Files> <Location /wp-admin/> AuthName "Admins Only" AuthUserFile /etc/apache2/password AuthGroupFile /dev/null AuthType basic require valid-user </Location>
I wszelkie metody ataku wp-admin maja na drugą zmianę 😉