Support » Kokeneille käyttäjille » Miten lisäturvaa WPlle?

Esillä 6 vastausta, 1 - 6 (kaikkiaan 6)
  • Moderator Sami Keijonen

    (@samikeijonen)

    En tunne oikeastaan mitään turvalisäosaa kovin hyvin, jotta osaisin sanoa niiden vaikutuksesta. Perustan tietoturvan kahteen peruspilariin.

    1. Palvelimen tietoturva ja muut ominaisuudet kunnossa. Tämä on kaiken lähtökohta.

    2. Automaattiset varmuuskopiot joko palveluntarjoajan toimesta tai lisäosalla, kuten VaultPress.

    Tässä hyvä yhteenveto tietoturvasta.

    Thread Starter Uusi blogaaja

    (@uusi-blogaaja)

    Kiitos kommentista. Yhteenveto tietoturvasta on hyvä yleisohje WPn turvallisuuskysymyksiin. Sen periaatteet ovat itselleni tuttuja ja noudatettuja. Toki kaikki WPssä on uusimmalle tasolle päivitettyä, salasanat vahvat, varmuuskopiot päivittäisiä jne. Suojaukset toimivat osittain hyvinkin, sillä spammia pääsee läpi kovin harvoin, tuskin ollenkaan.

    Sivustoa ei ole mitenkään hakkeroitu eikä siitä oikeastaan ole nyt kysmyskään. Tässä on vain paljon rajoitetumpi asia: wp-login.php tiedostoon kohdistuva robottien aiheuttama kuormitus, joka varaa WPn resurrssit. Minua auttaisi torjunnassa, jos tietäisi miten pitkälle pääsee, jos on merkintä wp-login.php passed.

    Palvelin on yritystasoinen. Sen kohdalla ei ole juuri muuta tehtävissä kuin lisättävissä mainitsemani .htaccess salasanasuojaus. Sitä en kuitekaan ole ainakaan vielä halukas tekemään sen mukanaan tuomien haittojen ja epävarmuustekijöiden takia. Etsin muita keinoja vaikka pieniä parannuksia kirjautumisvaiheeseen. Limit Login Attemps -lisäkekään ei taida toimia uusien WPn kanssa.

    Moderator Sami Keijonen

    (@samikeijonen)

    Voisiko noita hyökkäyksiä estää palvelintasolla? Ainakin kannattaa kysäistä, itse en tiedä niistä mitään.

    Limit Login Attemps on mulla toiminut muutamalla sivulla hyvin uusimmankin version kanssa.

    Thread Starter Uusi blogaaja

    (@uusi-blogaaja)

    Voi, kertomani .htaccess salasanasuojaus on sellainen. Siinä asetetaan .htaccess tiedostoon palvelimelle ylimääräinen salasana. Rekisteröityminen ja kirjautuminen sivustoon tapahtuu tämän jälkeen tuon kautta. Se koskee sekä ylläpitäjää ja kaikkia jäseniä. Jos kuormitusta olisi, mikä on epätodennäköistäkin, se suuntautuu silloin palvelimeen eikä WPhen. Resurssilimitti, WPn muistin käyttö, on nimenomaan WPn ominaisuuksia. .htaccess suojaus on mielestäni hankala.

    Jotakin tämän tapaista etsin, tässä yksi ratkaisu, joka voisi osittain auttaakin:

    http://forum.wpde.org/allgemeines/137958-brutforce-angriff-auf-admin-login-diesmal-mit-korrekten-usernnamen-3.html#post597020

    Hyvä tietää, että Limit Login Attemps toimii uudessakin. Myös Wordfence Security näyttää lupaavalta. Siinä mm. näkee sivuston liikenteen reaaliaikaisesti ja voi blokata mitä haluaa.

    Moderator Sami Keijonen

    (@samikeijonen)

    Täällä myös jonkin verran listaa muista lisäosista ja muutamia muita vinkkejä.

    http://codex.wordpress.org/Brute_Force_Attacks

    https://wordpress.org/plugins/bruteprotect/ (Automattic osti tämän elokuussa)

    Thread Starter Uusi blogaaja

    (@uusi-blogaaja)

    Kiitos Sami. Asiat eteni mukavasti, ainoastaan tieto wp-login.php läpäisyn sijainnista prosessissa on vielä epäselvä.

    Uskon että tästä sevitttelystä on hyötyä muillekin WPn käyttäjille.

Esillä 6 vastausta, 1 - 6 (kaikkiaan 6)
  • The topic ‘Miten lisäturvaa WPlle?’ is closed to new replies.