- msandor blogja
- A hozzászóláshoz be kell jelentkezni
Hozzászólások
Erdemes eloszor a www-data user altal inditott outgoing NEW connectionokat permanensen eldobni + logolni, majd egyesevel engedelyezni a valid iranyokat. Meglepik johetnek :)
Error: nmcli terminated by signal Félbeszakítás (2)
- A hozzászóláshoz be kell jelentkezni
Sőt, gyakran a szivárogtatások/hazatelefonálások frontend oldalról mennek, a kliens böngészőjéből valami berántott 3rd party js-en keresztül. Ezeket kivédeni elég nehéz, bele kell mélyedni a CORS policy-k lelkivlágába. Mindenesetre egy F12-t megér a böngészőben kicsit megnézegetni, hogy miket és honnan szedeget össze. Esetleg plugin telepítés előtt-utáni állapotot összehasonlítani.
(Disclaimer: nem adminoltam sosem WP-t, tapasztalatok máshonnan valók - amint lejjebb olvasom a usernév leakelésnek megvan a konkrét oka)
Régóta vágyok én, az androidok mezonkincsére már!
- A hozzászóláshoz be kell jelentkezni
En egyszer egy -meg nem mondom melyik- composer csomagnal talaltam forgalmazast. Nem voltam tul boldog...
Error: nmcli terminated by signal Félbeszakítás (2)
- A hozzászóláshoz be kell jelentkezni
Szerintem érdemes elmenni a wordpress.com -ra, és rájuk bizni az egész mizériát biztonsági támogatással, backuppal, lófütyivel együtt.
Bocs a kérdésért, de miért hegesztgetsz ilyesmit, ha van rá profi szolgáltatás?
- A hozzászóláshoz be kell jelentkezni
+1
Én is mindenkit oda küldök.
- A hozzászóláshoz be kell jelentkezni
Ennek számos oka van, jobb szeretem a dolgokat magamnak megcsinálni.
- A hozzászóláshoz be kell jelentkezni
És van időd/energiád ugyanolyan minőségben megcsinálni, mint akik ezzel foglalkoznak teljes állásban?
Ha nincs, akkor ne is lepődj meg, hogy a manapság kötelező spamszűrés, privacy, security stb. dolgokban érni fognak meglepetések.
- A hozzászóláshoz be kell jelentkezni
Lesz rá időm. Most azt akarod mondani, hogy a pénzért hostolt wordpress oldalnak más a kódja? Mert ha nem, akkor én is pont úgy fogom hostolni, mint ők. Írtam, hogy üzemeltető vagyok, sok céges weboldat üzemeltetek munkaidőben, csak nem én raktam össze az oldalakat.
- A hozzászóláshoz be kell jelentkezni
Nem, ugyanaz a kódja, de a beállítások, rendelkezésre állás, security, monitoring témában hozzátesznek sokat. Ezt tudod biztosítani? Egy website rendelkezésre állása, biztonsága nem csak a weboldal kódjából áll.
- A hozzászóláshoz be kell jelentkezni
Tudod zongora fekete feher billentyuk es azoknak megfelelo utemben valo nyomkodasa...
- A hozzászóláshoz be kell jelentkezni
Érv lehet az is hogy megtanulom megreszelgetni, szeretek hackelni, szeretek tevékenykedni, stb - stb (én is amúgy), csak ha bármiféle tétje van a dolognak és van rá havi egy ebéd ára, akkor én szolgáltatást rendelnék a tilitoli helyett.
Rengeteg aprósággal kell foglalkozni, és a vége általában az szokott lenni hogy rommá törnek valamin keresztül, amire nem is gondolsz.
- A hozzászóláshoz be kell jelentkezni
Főleg, hogy nem a sajátja: "vagy is inkább szívesség egy havernak."
- A hozzászóláshoz be kell jelentkezni
Nagy tétje nincs a dolognak, ha rommá törik (amire kicsi az esély), akkor visszaállok mentésből, és befoltozom a lyukat, tehát tanulok az esetből.
- A hozzászóláshoz be kell jelentkezni
Aha.... Rommá törik és más is megszívja miattad:
* akinek szívességet tettél
* akiket a rommá tört szaron keresztül megtámadnak
- A hozzászóláshoz be kell jelentkezni
+ a hosting, akinem az IP tartománya kerülhet szépen blacklistre
- A hozzászóláshoz be kell jelentkezni
"visszaállok mentésből, és befoltozom a lyukat" - ha tudod, min és hogy törtek rommá...
- A hozzászóláshoz be kell jelentkezni
Találtam egy cikket, talán ez megmagyarázza az admin név szivárgást: https://blog.2createawebsite.com/2017/07/31/wordpress-username-security/
Az egyik kommentelő javasolta az edit author slug plugin telepítését, már nem msandor-ként jelzi a cikkeimet, kíváncsi leszek az audit logokra.
- A hozzászóláshoz be kell jelentkezni
Ha nem írod át a user ID-ját, akkor nehéz lesz megvédeni, simán visszaadja egy GET /?author=1
https://www.wpwhitesecurity.com/wordpress-administrator-user-account-se…
- A hozzászóláshoz be kell jelentkezni
Az edit author slug plugin ezt megoldotta, már egy hash-t mutat helyette.
- A hozzászóláshoz be kell jelentkezni
Erről beszéltünk :D
De ha neked nem gond, jó szórakozást:)
- A hozzászóláshoz be kell jelentkezni
Ezt most komolyan nem értem, mit akartál mondani?
Volt egy probléma, az /author/1 elárulta az admin user usernevét. A fent említett pluginnal átállítottam, hogy minden user neve egy hash legyen, így ebből nem fejtik vissza a valódi usernevet, valamint az /author/1 már a 404-es oldalra visz, tehát az én olvasatomban befoltoztam ezt a lyukat.
Szóval miről is beszéltetek?
Mert valódi segítséget senki sem adott, de azt mindenki bebüfögte, hogy bele se vágjak, mert rajtam keresztül törnek fel mindenkit. Ma több fórumot átolvastam (nem itt), és valódi segítséget kaptam, amikkel már most biztonságosabb a félkész weboldalam, mint az oldalak 99 %-a.
- A hozzászóláshoz be kell jelentkezni
Jól csinálod amit csinálsz. A kérdés hogy érdemes-e csinálni. Ha szerinted igen, akkor hajrá.
- A hozzászóláshoz be kell jelentkezni
A másik negatív tapasztalatom, hogy szinte mindegyik (!) bővítmény és téma csak minimál dolgokat enged beállítani, ha teljes tudásra vágyunk, zsebbe kell nyúlni a pro változatokért :-( A nyílt forráskódú szoftverek világában én nem ehhez szoktam hozzá.
A nyílt mióta jelent free-t?
- A hozzászóláshoz be kell jelentkezni
Jut eszembe, hogyan tudnak a belépéssel próbálkozni, ha tettem Google reCHAPTCHA-t a login oldalra? Vagy nem is botok, hanem emberek próbálkoznak belépni?
- A hozzászóláshoz be kell jelentkezni
Egész jó hatásfokkal (60%) megoldható géppel is a "rekacsa".
- A hozzászóláshoz be kell jelentkezni
elsőre recskának olvastam :-)
- A hozzászóláshoz be kell jelentkezni
Ha üzemeltető vagy, akkor első lépés legyen az xmlrpc.php letiltása és http auth a wp-login.php + /wp-admin/ könyvtárra (kivéve ajax.php) - ennyi a feltörő robotok 99 százalékát megfogja.
Sucuri és egyéb vicces php izék csak eszik az erőforrásokat - ha fizetsz akkor kapsz egy tűzfalat, de akkor inkább az ingyenes cloudflare - ott meg .cn .sg .ru .ua .tor kitiltása, wp-login.php-ra egy javscript check, egy rakat useragentet is érdemes vele tiltani.
- A hozzászóláshoz be kell jelentkezni
első lépés legyen az xmlrpc.php letiltása
megvolt
http auth a wp-login.php + /wp-admin/ könyvtárra (kivéve ajax.php)
a wp-login.php-t átneveztettem (pontosabban a forgalmát 404-re küldtem, és másik -kitalált- url-t irányítottam át loginra, a http authon még gondolkodom, reggel óta nullára csökkent a téves loginok száma
Sucuri és egyéb vicces php izék csak eszik az erőforrásokat
ezt nem tapasztaltam, annyiban hasznos az ingyenes verziója is, hogy figyeli a wp core fájlokat, rinyál, ha bármelyik eltér a gyáritól (teszteltem), és volt pár (3) javaslata számomra, amit be kellett szúrni a .htaccess-be.
A mai guglizásom alapján még pár dolgot sikerült fixálnom, egyet viszont vissza kellett vonnom, mert beállt tőle a weboldal:
Header always set Content-Security-Policy script-src 'self'
Lementettem a nyitóoldalt, majd kigreppeltem az összes külső hivatkozást, de akkor se javult meg az oldal, így "csak" "A" kategóriás lettem "A+" helyett.
Kösz a tippeket, bárcsak hamarabb írtad volna.
- A hozzászóláshoz be kell jelentkezni
Egy elég népszerű (napi szinten elég sokszor TOP100-on belül vagyunk a Gemiusnál) , WP alapú hobbi oldal egyik "tulajaként" 10+ év tapasztalatai (kis történelem: indulás wordpress.com oldalon, rövid ideig self-hosted WP oldal, visszatérés wordpress.com oldalra, megint self-hosted WP oldal [5-6 év, közben háromszor hosting váltás], megint visszatérés wordpress.com oldalra):
- minél kevesebb plugin, annál jobb, nekünk most 12 van bekapcsolva, de ennek is a fele olyan, hogy teljesen háttér dolog (pl. klasszikus szerkesztő, timezone [hogy az időzítések rendben működjenek], WP importáló, Jetpack, Akismet spam...), ami kimegy a nagyközönség felé is, az a WP Polls, a Disqus és a Tablepress
- bár le tudtam én is frissíteni a szervert, php-t, stb..., de sokkal kényelmesebb a WP.com ebből a szempontból, hogy nem kell ezekkel törődni, a self-hosted oldalon a cache pluginnel néha voltak gondok (pl. frissítése kinullázta a beállításokat, mi meg elsőre nem értettük, hogy miért döglik le az oldal, van egy ismert problémája, hogy nem menti el némelyik beállítást, csak parancssorból lehet mókolni, a fejlesztő meg azt mondja, hogy ez feature...), WP.com-on nincs ilyen problémám sem
- sosem észleltem, hogy megtörték volna, itt utalnék vissza az első pontra, a WP.com-on a frissítés is kvázi automatikus, a saját oldalt nem szabad hagyni "elrohadni", ha sok plugin van, ott a veszély, hogy valamelyiket nem tartják karban és a frissítések után használhatatlan lesz
- negatív, hogy kicsit drága (mi a business planben vagyunk), de összeadva a self-hosted oldal költségeit, nem voltunk sokkal beljebb, miközben néha lebegett a mikor fog bedögleni a VPS kérdés (hobbi oldal, a gépházzal nem sok idő volt törődni)
- a saját oldalnál Cloudflaret használtam, a login/admin oldal URL-je pedig módosítva, felhasználók a szerkesztőkön kívül nem voltak, most sincsenek, ők a külső hozzászólási rendszerben dagonyázhatnak
- A hozzászóláshoz be kell jelentkezni
a WP.com-on a frissítés is kvázi automatikus, a saját oldalt nem szabad hagyni "elrohadni", ha sok plugin van, ott a veszély, hogy valamelyiket nem tartják karban és a frissítések után használhatatlan lesz
a frissítések maguktól felmennek itt is, ott is, ebben nincs különbség, ha szar a plugin frissítés után, az a wp.comon is szar lesz
Az említett havernak van egy VPS-e, rajta több másik weboldal, levelezés, így a wp-nek már nincs plusz költsége.
- A hozzászóláshoz be kell jelentkezni
Veled vagyok msandor. Azon IT-sok akik kerülik a felelősséget és a kényszert tanulásra nem követendő példák. Ők kárognak itt. Ha mindenki olyan lenne mint ők, akkor senki sem tanulna semmit, mindenki csak fizetne érte valakinek akire rátolhatja a felelősséget és a tanulási kényszert. De ki lenne az aki elvállalná?
- A hozzászóláshoz be kell jelentkezni
Nem arról van szó, hogy az ember kerüli a tanulást. Hanem arról, hogy mindent megtanulni nem lehet, és nem is kell.
Te sem értesz mindenhez. Vagy esetleg saját magad műtöd magadat otthon? Saját magadnak szereled a gázkazánt? Saját magad termeled meg minden élelmiszered?
Arról van szó, hogy vannak területek, amelyek annyira komplexszé váltak az évek során, hogy van, amikor nem éri meg nekiállni vele foglalkozni, mert időben és pénzben mások jobban meg tudják csinálni.
Te is ebből élsz, hogy olyan dolgot csinálsz, amit másoknál jobban tudsz, ezért ezt a tudást és a vele gyártott terméket el tudod adni a piacon.
Nem arról van szó, hogy senki ne tanuljon semmit, hanem arról, hogy amire már vannak kész megoldások, ott nem kell feltalálni a kereket újra, csak akkor, ha a kerékről akarunk tanulni valamit. Ha megoldás kell, akkor meg kell venni azt, ami készen van.
Ha például a kenyérsütésről szeretnék tapasztalatot szerezni, akkor nekiállnék otthon sütni kenyeret. De csak azért, hogy egyek kenyeret, nem kell nekem tudnom kenyeret sütni.
- A hozzászóláshoz be kell jelentkezni
Mikor IT-s lettél már voltak IT-s emberek.
- A hozzászóláshoz be kell jelentkezni
Viszont én IT-t akartam tanulni. Nem IT szolgáltatást akartam használni, hanem IT-t akartam tanulni.
Ha OP haverja elvan azzal, hogy OP most tanulja ki a Wordpress hosztolást, ám legyen - van, aki hajlandó ezt időben/pénzben kifizetni.
Van,a kinek meg üzembiztos megoldás kell.
A cégek sem szeretnek kitaníttatni másokat IT-s ismeretekre, hanem olyanokat vesznek fel, akik már rendelkeznek ilyen ismeretekkel.
- A hozzászóláshoz be kell jelentkezni
Ők kárognak itt.
OMFG. Barátunk élesbe kitett vmit amihez nem ért és élesben tanulgatja, ha meg majd feltörik nem baj, visszarakja mentésből.
Nem 2000-et írunk, amikor a net egy érdekes játszótér volt, lelkes amatőrökkel. Tanulja meg saját laborjában telepíteni (nem kell más, csak egy sima VM), hardenelni, adminolni, próbálja jól ismert módokon megtámadni és utána mehet élesbe a netre, ha már magabiztosan megy a dolog.
Na _az_ lenne egy tanulási folyamat, nem az, hogy adott esetben úgy viszik el a cuccot, hogy még csak észre sem veszi.
mindenki csak fizetne érte valakinek akire rátolhatja a felelősséget
Adott esetben a nyugodt alvás illetve a feleslegesen elbaszott szabadidő bőven megéri annak a költségét, amibe egy profi szolgáltatás díja kerül.
De ki lenne az aki elvállalná?
Majd pl. msandor, ha már tudja, hogy miről beszél és nyugodt magabiztossággal tud pl. WP-t adminolni.
- A hozzászóláshoz be kell jelentkezni
Mivel hobbi és belefér a leállás szerintem az ilyen fajta tanulás is belefér.
A te általad vázolt út a végtelen labor útja.
- A hozzászóláshoz be kell jelentkezni
Ha mindenki olyan lenne mint ők, akkor senki sem tanulna semmit,
Sapka? :)
- A hozzászóláshoz be kell jelentkezni
Nem értem.
- A hozzászóláshoz be kell jelentkezni
Először panaszoltad hogy senki nem akar tanulni, aztán kissé negatív felhanggal megemlítetted, hogy "végtelen labor".
Van sapka, nincs sapka
- A hozzászóláshoz be kell jelentkezni
Nem. Ha élesben tanulhat tét nélkúl az gyorsabb. A labor vég nélküli, mert csomó olyan problémát old meg, amivel találkozni sem fog. Az éles esetén jóval intenzívebb és hatékonyabb a tanulás továbbá létező problémákat old majd meg.
- A hozzászóláshoz be kell jelentkezni
A tét nélkül élesben tanulás az, amikor tizenévesen csináltam egy weblapot a természetfotóimnak, amit kettő másodperc alatt megtörtek, ezért ment rá a shift-delete, és kezdtem elölről. Ha a haverodnak csinálsz valamit, akár csak szívességből, az már nem teljesen tét nélküli.
Ettől még semmi akadálya a dolognak, de csak attól, hogy nincs pénzmozgás, még nem biztos, hogy nem lesz belőle később fejfájás.
- A hozzászóláshoz be kell jelentkezni
A labor vég nélküli, mert csomó olyan problémát old meg, amivel találkozni sem fog.
Vagy de. Nyilván nem kell és lehet 150%-ra biztosítani egy rendszert, de igenis fel kell készülni a legvalószínűbb esetekre amik megtörténhetnek.
Az éles esetén jóval intenzívebb és hatékonyabb a tanulás továbbá létező problémákat old majd meg.
Ha 24x7-ben rá van dedikálva, semmi más dolga nincs és nem is unja meg egy idő után. Amíg élsben szórakozik, másokat veszélyeztet.
- A hozzászóláshoz be kell jelentkezni
Ha hobbi és leállás is belefér, akkor férjen bele az is, hogy kiszivárog az msandor felhasználónév és jönnek a kéretlen belépési kísérletek, nem kell rajta meglepődni.
- A hozzászóláshoz be kell jelentkezni
Ez a tanulási folyamat része. Ha jól láttam kipipálva.
- A hozzászóláshoz be kell jelentkezni
Szerintem ez egy durva biztonsági rés, hogy a WP hagyja kiszivárogni a felhasználóneveket, hogy a pontos verzió számot többször is megemlíti a headerben. Én ezt úgy oldanám meg, hogy alapból kikapcsolom ezeket a szivárogtató funkciókat, és akinek feltétlen kell, kapcsolja be magának a kockázatok ismertetése után.
- A hozzászóláshoz be kell jelentkezni
És még hány ilyen dolog lesz, ami majd szembejön...WordPress biztonságos üzemeltetésének is megvan a maga tanulógörbéje, van a haverodnak arra ideje, hogy ezt te megtanuld?
- A hozzászóláshoz be kell jelentkezni
Ez engem érdekel, én meg fogom tanulni. A haverom ideje hogy jön ide? Ha úgy érted, hogy arra van-e ideje, hogy én megtanuljam, akkor igen :-)
- A hozzászóláshoz be kell jelentkezni
Ezekket a bővítményeket érdemes átnézni, vagy az alternatíváit.
pl: wordfence - de sajnos sok tárhelyen nem lehet bekapcsolnia
iThemes Security (végig kell zongorázni)
Easy Updates Manager
404 To Homepage
Advanced noCaptcha & invisible Captcha
Ban Hammer
miniOrange 2 Factor Authentication
Proxy & VPN Blocker
Stop Web Crawlers
w3dev Ban Users
CDN használata (pl CloudFlare free)
"ha valakire rá kiabálunk, hogy rendszergazda akkor az is - szerződés, fizetés csak az átkos időkben kellett"
és 100 éve még boszorkányt is égettek
- A hozzászóláshoz be kell jelentkezni
Köszi a listát, egyiket sem ismerem, minden bajomra más plugint találtam, rájuk fogok nézni.
- A hozzászóláshoz be kell jelentkezni