wordpress élményeim

Sziasztok,

úgy alakult, hogy 11 napja feltettem életem első WP oldalát, mármint elkezdtem kalapálni, még sokára lesz publikálva. Infra üzemeltetőként ez inkább egy hobbi, vagy is inkább szívesség egy havernak. Szóval beállítottam neki egy A rekordot, létrehoztam egy üres adatbázist, beállítottam az apache-ot, letöltöttem a telepítőt, majd pár perc elteltével az admin oldal fogadott. Eddig pipa. Sok minden szokatlan nekem, 15 éve csináltam a havernak egy xoops alapú weboldalt, ahhoz képest ez nagyon más, bizonyos dolgokban sokkal bénább, pl acl-ek beállítása.

A másik negatív tapasztalatom, hogy szinte mindegyik (!) bővítmény és téma csak minimál dolgokat enged beállítani, ha teljes tudásra vágyunk, zsebbe kell nyúlni a pro változatokért :-( A nyílt forráskódú szoftverek világában én nem ehhez szoktam hozzá.

Végül a 3. dolog, amit nem is értek. Este feltettem a sucuri plugint, majd elkezdtek ömleni a hibás bejelentkezési próbálkozásokról szóló levelek, amiben az a fura, hogy a legtöbb usernév nem az admin volt, hanem az msandor felhasználó, amit rajtam kívül senki sem tudhat. Megnéztem az oldal forrását, nincs benne az msandor kifejezés, mégis honnan szedték ezt a nem elhanyagolható információt? Csak arra tudok gondolni, hogy az egyik plugin szivárogtatta ki...

Hozzászólások

Erdemes eloszor a www-data user altal inditott outgoing NEW connectionokat permanensen eldobni + logolni, majd egyesevel engedelyezni a valid iranyokat. Meglepik johetnek :)

Error: nmcli terminated by signal Félbeszakítás (2)

Sőt, gyakran a szivárogtatások/hazatelefonálások frontend oldalról mennek, a kliens böngészőjéből valami berántott 3rd party js-en keresztül. Ezeket kivédeni elég nehéz, bele kell mélyedni a CORS policy-k lelkivlágába. Mindenesetre egy F12-t megér a böngészőben kicsit megnézegetni, hogy miket és honnan szedeget össze. Esetleg plugin telepítés előtt-utáni állapotot összehasonlítani.

(Disclaimer: nem adminoltam sosem WP-t, tapasztalatok máshonnan valók - amint lejjebb olvasom a usernév leakelésnek megvan a konkrét oka)

Régóta vágyok én, az androidok mezonkincsére már!

Szerintem érdemes elmenni a wordpress.com -ra, és rájuk bizni az egész mizériát biztonsági támogatással, backuppal, lófütyivel együtt.

Bocs a kérdésért, de miért hegesztgetsz ilyesmit, ha van rá profi szolgáltatás?

Lesz rá időm. Most azt akarod mondani, hogy a pénzért hostolt wordpress oldalnak más a kódja? Mert ha nem, akkor én is pont úgy fogom hostolni, mint ők. Írtam, hogy üzemeltető vagyok, sok céges weboldat üzemeltetek munkaidőben, csak nem én raktam össze az oldalakat.

Érv lehet az is hogy megtanulom megreszelgetni, szeretek hackelni, szeretek tevékenykedni, stb - stb (én is amúgy), csak ha bármiféle tétje van a dolognak és van rá havi egy ebéd ára, akkor én szolgáltatást rendelnék a tilitoli helyett.

Rengeteg aprósággal kell foglalkozni, és a vége általában az szokott lenni hogy rommá törnek valamin keresztül, amire nem is gondolsz.

Ezt most komolyan nem értem, mit akartál mondani?

Volt egy probléma, az /author/1 elárulta az admin user usernevét. A fent említett pluginnal átállítottam, hogy minden user neve egy hash legyen, így ebből nem fejtik vissza a valódi usernevet, valamint az /author/1 már a 404-es oldalra visz, tehát az én olvasatomban befoltoztam ezt a lyukat.

Szóval miről is beszéltetek?

Mert valódi segítséget senki sem adott, de azt mindenki bebüfögte, hogy bele se vágjak, mert rajtam keresztül törnek fel mindenkit. Ma több fórumot átolvastam (nem itt), és valódi segítséget kaptam, amikkel már most biztonságosabb a félkész weboldalam, mint az oldalak 99 %-a.

A másik negatív tapasztalatom, hogy szinte mindegyik (!) bővítmény és téma csak minimál dolgokat enged beállítani, ha teljes tudásra vágyunk, zsebbe kell nyúlni a pro változatokért :-( A nyílt forráskódú szoftverek világában én nem ehhez szoktam hozzá.

A nyílt mióta jelent free-t?

Jut eszembe, hogyan tudnak a belépéssel próbálkozni, ha tettem Google reCHAPTCHA-t a login oldalra? Vagy nem is botok, hanem emberek próbálkoznak belépni?

Ha üzemeltető vagy, akkor  első lépés legyen az xmlrpc.php letiltása és http auth a wp-login.php + /wp-admin/ könyvtárra (kivéve ajax.php) - ennyi a feltörő robotok 99 százalékát megfogja.

Sucuri és egyéb vicces php izék csak eszik az erőforrásokat - ha fizetsz akkor kapsz egy tűzfalat, de akkor inkább az ingyenes cloudflare - ott meg .cn .sg .ru .ua .tor kitiltása, wp-login.php-ra egy javscript check, egy rakat useragentet is érdemes vele tiltani.

első lépés legyen az xmlrpc.php letiltása

megvolt

http auth a wp-login.php + /wp-admin/ könyvtárra (kivéve ajax.php)

a wp-login.php-t átneveztettem (pontosabban a forgalmát 404-re küldtem, és másik -kitalált- url-t irányítottam át loginra, a http authon még gondolkodom, reggel óta nullára csökkent a téves loginok száma

Sucuri és egyéb vicces php izék csak eszik az erőforrásokat

ezt nem tapasztaltam, annyiban hasznos az ingyenes verziója is, hogy figyeli a wp core fájlokat, rinyál, ha bármelyik eltér a gyáritól (teszteltem), és volt pár (3) javaslata számomra, amit be kellett szúrni a .htaccess-be.

A mai guglizásom alapján még pár dolgot sikerült fixálnom, egyet viszont vissza kellett vonnom, mert beállt tőle a weboldal:

Header always set Content-Security-Policy script-src 'self'

Lementettem a nyitóoldalt, majd kigreppeltem az összes külső hivatkozást, de akkor se javult meg az oldal, így "csak" "A" kategóriás lettem "A+" helyett.

Kösz a tippeket, bárcsak hamarabb írtad volna.

Egy elég népszerű (napi szinten elég sokszor TOP100-on belül vagyunk a Gemiusnál) , WP alapú hobbi oldal egyik "tulajaként" 10+ év tapasztalatai (kis történelem: indulás wordpress.com oldalon, rövid ideig self-hosted WP oldal, visszatérés wordpress.com oldalra, megint self-hosted WP oldal [5-6 év, közben háromszor hosting váltás], megint visszatérés wordpress.com oldalra):

- minél kevesebb plugin, annál jobb, nekünk most 12 van bekapcsolva, de ennek is a fele olyan, hogy teljesen háttér dolog (pl. klasszikus szerkesztő, timezone [hogy az időzítések rendben működjenek], WP importáló, Jetpack, Akismet spam...), ami kimegy a nagyközönség felé is, az a WP Polls, a Disqus és a Tablepress

- bár le tudtam én is frissíteni a szervert, php-t, stb..., de sokkal kényelmesebb a WP.com ebből a szempontból, hogy nem kell ezekkel törődni, a self-hosted oldalon a cache pluginnel néha voltak gondok (pl. frissítése kinullázta a beállításokat, mi meg elsőre nem értettük, hogy miért döglik le az oldal, van egy ismert problémája, hogy nem menti el némelyik beállítást, csak parancssorból lehet mókolni, a fejlesztő meg azt mondja, hogy ez feature...), WP.com-on nincs ilyen problémám sem

- sosem észleltem, hogy megtörték volna, itt utalnék vissza az első pontra, a WP.com-on a frissítés is kvázi automatikus, a saját oldalt nem szabad hagyni "elrohadni", ha sok plugin van, ott a veszély, hogy valamelyiket nem tartják karban és a frissítések után használhatatlan lesz

- negatív, hogy kicsit drága (mi a business planben vagyunk), de összeadva a self-hosted oldal költségeit, nem voltunk sokkal beljebb, miközben néha lebegett a mikor fog bedögleni a VPS kérdés (hobbi oldal, a gépházzal nem sok idő volt törődni)

- a saját oldalnál Cloudflaret használtam, a login/admin oldal URL-je pedig módosítva, felhasználók a szerkesztőkön kívül nem voltak, most sincsenek, ők a külső hozzászólási rendszerben dagonyázhatnak

a WP.com-on a frissítés is kvázi automatikus, a saját oldalt nem szabad hagyni "elrohadni", ha sok plugin van, ott a veszély, hogy valamelyiket nem tartják karban és a frissítések után használhatatlan lesz

a frissítések maguktól felmennek itt is, ott is, ebben nincs különbség, ha szar a plugin frissítés után, az a wp.comon is szar lesz

Az említett havernak van egy VPS-e, rajta több másik weboldal, levelezés, így a wp-nek már nincs plusz költsége.

Veled vagyok msandor. Azon IT-sok akik kerülik a felelősséget és a kényszert tanulásra nem követendő példák. Ők kárognak itt. Ha mindenki olyan lenne mint ők, akkor senki sem tanulna semmit, mindenki csak fizetne érte valakinek akire rátolhatja a felelősséget és a tanulási kényszert. De ki lenne az aki elvállalná?

Nem arról van szó, hogy az ember kerüli a tanulást. Hanem arról, hogy mindent megtanulni nem lehet, és nem is kell.

Te sem értesz mindenhez. Vagy esetleg saját magad műtöd magadat otthon? Saját magadnak szereled a gázkazánt? Saját magad termeled meg minden élelmiszered?

Arról van szó, hogy vannak területek, amelyek annyira komplexszé váltak az évek során, hogy van, amikor nem éri meg nekiállni vele foglalkozni, mert időben és pénzben mások jobban meg tudják csinálni.

Te is ebből élsz, hogy olyan dolgot csinálsz, amit másoknál jobban tudsz, ezért ezt a tudást és a vele gyártott terméket el tudod adni a piacon.

 

Nem arról van szó, hogy senki ne tanuljon semmit, hanem arról, hogy amire már vannak kész megoldások, ott nem kell feltalálni a kereket újra, csak akkor, ha a kerékről akarunk tanulni valamit. Ha megoldás kell, akkor meg kell venni azt, ami készen van.

Ha például a kenyérsütésről szeretnék tapasztalatot szerezni, akkor nekiállnék otthon sütni kenyeret. De csak azért, hogy egyek kenyeret, nem kell nekem tudnom kenyeret sütni.

Viszont én IT-t akartam tanulni. Nem IT szolgáltatást akartam használni, hanem IT-t akartam tanulni.
Ha OP haverja elvan azzal, hogy OP most tanulja ki a Wordpress hosztolást, ám legyen - van, aki hajlandó ezt időben/pénzben kifizetni.

Van,a kinek meg üzembiztos megoldás kell.

A cégek sem szeretnek kitaníttatni másokat IT-s ismeretekre, hanem olyanokat vesznek fel, akik már rendelkeznek ilyen ismeretekkel.

Ők kárognak itt.

 

OMFG. Barátunk élesbe kitett vmit amihez nem ért és élesben tanulgatja, ha meg majd feltörik nem baj, visszarakja mentésből.

Nem 2000-et írunk, amikor a net egy érdekes játszótér volt, lelkes amatőrökkel. Tanulja meg saját laborjában telepíteni (nem kell más, csak egy sima VM), hardenelni, adminolni, próbálja jól ismert módokon megtámadni és utána mehet élesbe a netre, ha már magabiztosan megy a dolog.

Na _az_ lenne egy tanulási folyamat, nem az, hogy adott esetben úgy viszik el a cuccot, hogy még csak észre sem veszi.

mindenki csak fizetne érte valakinek akire rátolhatja a felelősséget

Adott esetben a nyugodt alvás illetve a feleslegesen elbaszott szabadidő bőven megéri annak a költségét, amibe egy profi szolgáltatás díja kerül.

De ki lenne az aki elvállalná?

Majd pl. msandor, ha már tudja, hogy miről beszél és nyugodt magabiztossággal tud pl. WP-t adminolni.

A tét nélkül élesben tanulás az, amikor tizenévesen csináltam egy weblapot a természetfotóimnak, amit kettő másodperc alatt megtörtek, ezért ment rá a shift-delete, és kezdtem elölről. Ha a haverodnak csinálsz valamit, akár csak szívességből, az már nem teljesen tét nélküli.

Ettől még semmi akadálya a dolognak, de csak attól, hogy nincs pénzmozgás, még nem biztos, hogy nem lesz belőle később fejfájás.

A labor vég nélküli, mert csomó olyan problémát old meg, amivel találkozni sem fog.

Vagy de. Nyilván nem kell és lehet 150%-ra biztosítani egy rendszert, de igenis fel kell készülni a legvalószínűbb esetekre amik megtörténhetnek.

 

Az éles esetén jóval intenzívebb és hatékonyabb a tanulás továbbá létező problémákat old majd meg.

Ha 24x7-ben rá van dedikálva, semmi más dolga nincs és nem is unja meg egy idő után. Amíg élsben szórakozik, másokat veszélyeztet.

Szerintem ez egy durva biztonsági rés, hogy a WP hagyja kiszivárogni a felhasználóneveket, hogy a pontos verzió számot többször is megemlíti a headerben. Én ezt úgy oldanám meg, hogy alapból kikapcsolom ezeket a szivárogtató funkciókat, és akinek feltétlen kell, kapcsolja be magának a kockázatok ismertetése után.

Ezekket a bővítményeket érdemes átnézni, vagy az alternatíváit.

pl: wordfence - de sajnos sok tárhelyen nem lehet bekapcsolnia

iThemes Security (végig kell zongorázni)
Easy Updates Manager
404 To Homepage
Advanced noCaptcha & invisible Captcha
Ban Hammer
miniOrange 2 Factor Authentication
Proxy & VPN Blocker
Stop Web Crawlers
w3dev Ban Users
CDN használata (pl CloudFlare free)

"ha valakire rá kiabálunk, hogy rendszergazda akkor az is - szerződés, fizetés csak az átkos időkben kellett" 

és 100 éve még boszorkányt is égettek