WordPress – nedroša platforma


Grave savā rakstā “Kādēļ es nevēlos lietot WordPress” min vairākus iemeslus kāpēc WordPress platforma ir nedroša.

Nu ko, es piekrītu tam, ko Grave raksta un domāju, ka viņš runā nevis par kaut kādiem mazsvarīgiem sīkumiem, bet gan par nopietnām problēmām, kas raksturīgas pilnīgi VISIEM WordPress dzītiem blogiem.

Lai arī es sevi nevaru saukt par drošības speciālistu, taču man ir kaut blāva nojausma par to, kas ir droši un to, kas ir pagalam nedroši. Un es saprotu, ka droša ir tā sistēma par kuru no malas neko daudz nevar uzzināt. WordPress platforma šeit ir pavisam kliba. Uzstādot blogu ar visām tā noklusētajām vērtībām mēs iegūstam blogu, kas principā (ja ir vajadzība) ir viegli uzlaužams, jo..

  • Uzbrucējs zina, kur meklēt administratora lapu, visiem WP blogiem tā ir meklējama šeit: http://bloga_nosaukums.lv/wp-login.php. Tas ir tāpat kā visās iespējamajās vietās Internetā/pilsētā izkārt paziņojumus, ka es dzīvoju tādā mājā, tādā dzīvoklī. WordPress nepiedāvā nekādus rīkus, lai labotu šo situāciju. Ar rociņām to pielabot ir diezgan laikietilpīgi, lai neteiktu vairāk. Ja pieturamies pie ideoloģijas, ka apmeklētājiem pēc iespējas mazāk ir jāzina tas, kas viņiem nav paredzēts, tad bloga administrēšanas lapai būtu jābūt paslēptai aiz trejdeviņām mapēm un ar nosaukumu my_ordinary_post.zum. Atceros kā Laacz savulaik bija asprātīgi iestrādājis lietotāja/paroles ievadi sava bloga headerī.. ;)
  • OK, mēs (lasīt, uzbrucējs) tagad zinām, kur jāraksta administratora parole un tas jau ir daudz. Nākamā WordPress muļķība.. Pēc noklusējuma pirmais tiek izveidots lietotājs ar nosaukumu admin un es pieņemu, ka 99% gadījumu lietotājs to nenomaina uz citu, jo.. WordPress nemaz nepiedāvā šādu iespēju. Vienīgā izeja ir līst datubāzē un ar roku (vai skriptu) mainīt lietotāja nosaukumu. Bet ar to nekas daudz nebūs līdzēts, jo te WordPress izceļas ar MEGA idiotisku/debilu/… “asprātību”.. Ja ievadam nepareizu paroli, WP pasaka, ka parole ir ievadīta nepareizi, ja ievadam nepareizu lietotāju, WP pasaka, ka ir nepareizi ievadīts lietotājs. Nu kamōn.. Kurš WP autoriem ir šādi mācījis realizēt drošības lietas? Es saprotu, ka tas ir ērti lietotājam, taču varbūt šādi upurēt uz drošības rēķina nevajadzētu. Tātad, tagad jau ļaundaris zina kur mēs dzīvojam un kā mūs sauc, laiks pievīlēt atslēgas (piemeklēt paroles)..
  • Secunia un SecurityFocus labprāt tieši un konkrēti pastāstīs kādas ievainojamības ir kādiem produktiem. WordPress, protams, nav izņēmums – katrai versijai ir papilnam ievainojamību, kuras pārvērst veiksmīgos uzbrukumos var būt gaužām vienkārši. Tā.. mums tikai atliek dabūt blogera Anša izmantotās WP versiju. Tas ir paveicams vienkāršāk par vienkāršu. Atliek vien paskatīties Page source un turpat augšā – pirmajās rindās WP lepni paziņo, ka lieto tādu un tādu versiju. Versija rokā, brienam uz iepriekšpieminētajām drošības lapām un piemeklējam ievainojamības jau pēc savas gaumes un ieskatiem. Ak, džīziņ, ko lai tagad dara? :D WordPress autori iesaka savu tēmu templeitos izvākt rindiņu, kur tiek pieminēta bloga versija. Tas ir īzī paveicams, taču problēmu tas nelikvidē. Atliek vien apskatīties RSS padeves source kodu un arī tur WP lepni izmuldās par savu versiju, taču šoreiz jau to izlabot nav tik vienkārši – jāparakājas pa kodu, ko, protams, tikai retais darīs. Interesanti, ka pat, ja tiek izmantotas FeedBurner RSS padeves, tik un tā source kodā redzams, ka informācija ir nākusi no tādas lūk versijas WP bloga.

Šeit es pieminēju tikai trīs nopietnus drošības robus, taču to ir vēl papilnam. WordPress autori piedāvā palasīties rakstu Hardening WordPress, taču es uzskatu, ka tas viss ir ūdens, silts un viegli sāļgans ūdentiņš. Vai tiešām WP autori sava produkta lietotājus uzskata par tādiem aunapierēm, ja jau raksts ir tāds nekāds, drošības tēmas ir apskatītas ļoti virspusēji un ir tikai kāds viens vai divi reāli izmantojami risinājumi. Taisīt backupus? Kāds sakars tam ar lietotāju? Par to, lai atbild hostinga provaideris.
Tagad jau WordPress blogi ir vienkārši uzstādāmi un tos lieto liels skaits tādu cilvēku, kam nav pilnīgi nekādas sajēgas par drošību un te akmens izstrādātāju lauciņā, jo viņiem ir jābūt tiem, kas cenšās savā produktā nodrošināt drošības mehānismus. Tomēr interesanti, ka vismaz pagaidām neesmu dzirdējis par masveidīgu WordPress blogu fakošanu (uzlaušanu). Laikam jau tas nevienam tā īsti nav vajadzīgs. Tikpat labi es uzskatu, ka, ja kādam radīsies reāla vajadzība uzlaust kādu blogu, tad to varēs izdarīt. Es pieturos pie uzskatiem, ka pilnīgi viss, ko cilvēks ir uzbūvējis, ir uzlaužams. Tas ir tikai laika un resursu jautājums. Vienīgais, ko var darīt, tad tas ir lūkoties, lai vienmēr tiktu veidotas sava darba rezerves kopijas un censties, lai pēc iespējas mazāk lietotājam nevajadzīgas (uzlauzējam noderīgas) informācijas tiktu parādīts.

Es iesaku raksta autoram Grave pārtulkot savu rakstu angļu mēlē, pievienot vēl kāda roba aprakstu un pabazūnēt par šo lietu inglišspīking pasaulē. Kas zin, varbūt WordPress autori piedomās par šīm lietām vairāk savās nākamajās relīzēs.

Diskusijas par šo tematu raisās arī @ digg.lv.

P.S. Jā, esmu nomainījis jūzerneimu un visu nobekapojis.. :D :D :D Gulēšu mierīgu sirdi.. :D :D

Print FriendlyRaksta drukas versija

Iesaku izlasīt:
 

Raksta autors: Kristaps Skutelis

Kristaps (krizdabz) ir aizrautīgs jauno tehnoloģiju fans kā Internetā, tā ārpus tā. Ikdienā strādā par datorsistēmu administratoru un interesi par šo arodu neierobežo darba stundas. Internetā aktīvi darbojas veidojot blogu krizdabz.lv, tā mazāko brāli mini.blogeris.lv, kā arī pieskata urbānās vides baudītāju projektu bradajumi.lv. Pēdējā laikā aizrāvies ar Google aizsākto mobilo ierīču platformu Android un tāpēc veido resursu androids.lv. Brīvdienās iespējams viņu satikt kādā no Rīgas klubiem spēlējot un promoutējot dubstep mūziku - kopā ar domubiedriem uztur dubstep.lv. Viņa ikdienas gaitām var sekot līdzi Twitterī.


  • http://www.skakri.net SkaKri

    Mazliet gan (60-70%) atsit orģinālautora rakstu. Bet tas nu tā. Paldies par info! :)

  • MikusR
  • http://mfz.lv Mfz

    Bet tad rodas jautājums, kāpēc tad viņš ir tik populārs?

  • grave

    krizdabz:
    Es aizmailoju WordPress veidotājiem privāti. Nogaidiju 4 dienas pirms kautko publicēju, bet nekādu nesaņēmu. Tulkot angliski neko nav vērts, brīnumainā kārtā diezgan sinhroni ar mani sāka bļaut arī daudzi angliski runājošie.

    Izteikšu minējumu… lietotājvārdu nomainiju uz krizdabz :]

    Mfz:
    Ne viss ir zelts kas spīd.

  • http://murgonis.bmx.lv Murgonis

    Un taa visi viena diena ataapas ka peeknji vinja ir nedrausha..

    Atskjiriba ir tur ka tad nebija tada raksta un tagat ir :)

    bababaaaaaa

  • http://krizdabz.lv krizdabz

    Mfz: populārs WordPress, manuprāt, ir tāpēc, ka tas ir ērti lietojams, tam ir plašas customizēšanas iespējas, kas cilvēkiem arī patīk. Tā kā lielākā daļa WordPress blogu saimnieku neko daudz no drošības lietām necērt, tad arī visiem patīk.

    Slikti vēl ir tas, ka katra updeitošanās ir kā naglu dzīšana pakaļā – nedrošs pasākums un nekad nevar zināt kas pēc tam strādās un kas, nē. Būtu jauki, ja WordPress autori izveidotu jēdzīgu apdeitu sistēmu. Piemēram, administrācijas panelī parādītos info kādas jaunas versijas ir pieejamas un kuras no tām ir obligātas. Un tad nospiežam Update pogu un blogs tiek atjaunots.. Pašlaik tas viss ir jādara ar rociņu, atveram blogu caur FTP un kopējam failiņus pa virsu..

  • http://etc.blogiem.lv Arnolds

    Izsargāties var iemetot iekš wp-admin direktorijas .htaccess failu

    deny from all
    allow from 123.123.123.123

    un vsjo.

  • http://e-lietas.lv Viesturs

    Reizēm ir vērtīgi paraksties pa datubāzi un tur viskautko samainīt (un nevis sačakarēt.). Un vēl uztaisīt pāris sīkumus, lai tas, kurš lauž, domā, ka lauž, bet pati ielogošanās lapa ir fake un tikai fiksē IP adreses, no kurām kāds sadomājis mēģināt uzminēt tavu paroli :D

  • http://krizdabz.lv krizdabz

    Arnolds: Ieteikums, protams, spēcīgs un savā ziņā lielisks, taču nedzīvoju es mūžīgi bunkurā ar nemainīgu IP adresi. Ko darīt, ja ir nepieciešamība ielogoties no citas vietas? Slēgties klāt caur FTP un pielabot to .htaccess failu? :) Šur tur pavīdēja idejas par to, ka varētu lietot SSL admin panelim, taču reāli strādājošu risinājumu man neizdevās atrast.

  • cirks

    jaa.. krisdabz laikam neko nav nekad dzirdeejis par .htaccess, kaa arii taada lieta prieksh apache kaa “mod_security” arii laikam pilniigi neko neizsaka.
    principaa veciit, saac mekleet citu bloginga softu, shitais tak ir viens milziigs caurums. :D

  • http://versatile.six.lv versatile

    jakodee pasham.
    ar sleeptu login lapu, pashdomatu db strukturu, paroles jaglabaa shifreta formaa.
    un vsjo.

  • http://krizdabz.lv krizdabz

    cirks: es neesmu speciālists šajā jomā un par .htaccess un mod_security tik tiešām maz ko zinu, bet manuprāt tas vairāk attiecas uz tiem, kas uztur serveri – hostētājiem. Bet nu, labprāt uzklausīšu Tavu stāstu par šīm lietām..

  • http://e-lietas.lv Viesturs

    Vispār jau jā. Kāpēc neuzlikt wp-admin direktorijai paroli?

  • grave

    1. htaccess ir neērti tiem, kas nesēž uz 1 ip, ja griež pēc adresēm, vai stulbums ja liek paroli priekšā.
    2. jāvada 2 paroles (htaksesa un wp-admiņa)
    3. mod_security uz dalītā hostinga parasti nav
    4. ļoti reti gan, bet ir hostingi kas neļauj htaksesu
    5. cik no jums privātajiem serveru turētājiem zin, kā apieties ar mod_security? (no offence)
    6. šie visi papildinājumi prasa pietiekami daudz laika, lai sāktu nopietni domāt par sava dzinēja kodēšanu.

    Protams neviens ar to negrib ķēpāties, tapēc lieto Wordpresus un citus dzinējus, un liek ielāpu uz ielāpa

    Teiksim tas pats krizdabz (neņem pie sirds), bet nu johaidī ar ārā, cik drošāks tu jūties nomainijis lietotājvārdu no admin uz krizdabz?

  • http://krizdabz.lv krizdabz

    grave: Paldies par iepriekšējo komentāru, labi visu izskaidroji. A par to userneimu ir tā.. ka ne gluži nomainīju kaut kādas drošības dēļ (drošību nepanāksi, kamēr WP izpļāpājas, ka nepareizs username vai parole), bet gan drīzāk tāpēc, lai būtu kārtība. Iepriekš biju biki meklējis kā to defaulto admin nomainīt uz ko citu, bet tā i neatradu nekur iekš WP paneļa. Tagad izlasīju, ka to vaig iekš to db mainīt. Toreiz es nemācēju lietot phpMyAdmin, tagad šādas tādas iemaņas ir – nomainīju.

    Klau.. es te vēl meklējos pa WP failiem, kur nomainīt to, lai WP nesaka, ka nepareiza parole/username, bet tā īsti neatradu. Vēl jau ideja ir pameklēt tos stringus iekš DB. Var jau principā joka pēc apmainīt vietām tos msg vai izdomāt ko jautrāku..

    Vēl vakar pamēģināju to SSL spraudni, taču man nekas prātīgs nesanāca. Nav man īsti saprašanas par šīm lietām. Es domāju, ka būtu labi, ja Tu uzrakstītu kādu rakstu par to vai vnk man te komentos/uz meilu apstāstītu kas un kā.. Jo viena lieta norādīt uz problēmām, cita – palīdzēt tikt ar tām galā.. :)

  • grave

    Es tavā vietā uzliktu lietotājvārdu kautkaslala, bet vārdu kas rādās kā autora uzliktu uz krizdabz.

    wp-includes/pluggable.php apm 239 rinda

    Ar to SSL būs baigais čakars, kā jau lasiji, tad man viņu izdevās piedabūt kautcik normāli strādāt tikai komplektā ar mod_rewrite. + tas spraudnis man bija jāpielabo ar rokām, jo kautkas nepatika ar konkrēto php versiju. + vēl šādas tādas lietas.

    Vēl vienu rakstu par WordPress nerakstīšu, jo viņu vairs nelietoju :]
    Šoto piepalīdzēt paķimerēt varu, tik ja gribi 100% mani noķert, tad sūti e-pastu.

  • http://krizdabz.lv krizdabz

    Paldies par norādēm. Ja būs jautājamais, rakstīšu!

Previous post:

Next post: