Despre securitatea temelor WordPress


Fiecare nouă versiune WordPress aduce cu sine pe lângă noi implementări de design şi funcţionalitate şi modificări de securitate. Faima WordPress are din păcate un punct slab: ea captează atenţia băieţilor “răi şi deştepţi”. Dezvoltatorii îşi dau silinţa să ofere măsuri urgente şi viabile, însă unele portiţe şi breşe de securitate rămân, şi anume prin intermediul plugin-urilor sau a temelor, mai ales dacă nu sunt actualizate. Unii se folosesc însă deliberat de cunoştiinţele lor de informatică pentru a infiltra web-ul.

În ultimele zile am citit numeroase atenţionări referitoare la descărcarea de teme WordPress infectate cu diverse script-uri răuvoitoare. Probabil că un webmaster profesionist ar recunoaşte din funcţionarea site-ului său dacă s-a ales cu un astfel de produs. Eu cel puţin aş întâmpina mari probleme, mai ales la necesitatea urmăririi unor coduri şi funcţii PHP într-un fişier lung de vreo 300 de rânduri. Dar şi în acest caz găsim ajutor din partea comunităţii WP. Astăzi aş aminti şi prezenta două plugin-uri: WP Anti-Wares şi WP-Security Scan.

WP Anti-Wares este un plugin care odată activat lucrează în umbră, căutând după bucăţi de coduri spyware/malware. De ex. la activarea unei teme el se autosesizează şi porneşte un scan al temei. Dacă găseşte unele nereguli tema nu poate fi activată. Un minus ar fi faptul că cere drepturi de scriere pentru directorul implicit, ceea ce la rândul său reduce securitatea acestuia. Pe site-ul plugin-ului suntem avertizaţi că acesta este încă în dezvoltare, deci putem spera. Plugin-ul este oferit spre descărcare aici.

image

WP Security Scan este un plugin mai complex şi mai activ “vizual”, deci imediat după instalare şi activare îl puteţi urmări şi controla din bara de meniuri a WP. Sunt oferite informaţii mult mai detaliate despre activitatea sistemului (vezi captura). Tabul Security din bara de administrare trimite la un scanner (semnalează eventuale vulnerabilităţi), la un indicator de securitate al parolei folosite şi la un serviciu de schimbare a prefixului wp_ din baza de date (din nou o breşă de securitate pe care mulţi nu o iau în serios). Plugin-ul îl puteţi descărca de aici.

O altă modalitate de testare a securităţii unui blog a fost prezentată de Radu într-un articol din anul trecut, BlogSecurity, serviciu care din păcate se pare că nu a mai evoluat de atunci.

La finalul acestui articol ofer un link spre un articol recent (în limba engleză) care prezintă alte 9 plugin-uri de protecţie WordPress (pe al 10-lea l-am prezentat în acest articol).


Apreciază articolul:

1 stea2 stea3 stea4 stea5 stea (Neevaluat încă)
Loading ... Loading ...

0 comentarii


Lasă un răspuns

Adresa ta de email nu va fi publicată. Câmpurile necesare sunt marcate *

Poți folosi aceste etichete HTML și atribute: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>