Úgy tűnik ebből egy cikk sorozat lesz, bár nem így indult. De most nem szeretnék egyszerre sok információt átadni.

Először egy-két biztonsági alap dolgot fogok firtatni. Majd a wp-admin könyvtár biztonságát érintő bővítményeket, és tippeket.

A cikk következő részében a content, azon bellül is a bővítmény és sablonok könyvtárak védelmét nézzük át. A harmadik rész pedig a 2.6 újdonságait mutatja majd be a biztonságra nézve, valamint az SSL támogatást és a biztonságos Cookie kezelés mikéntjét.

Általános dolgok

Frissítés

Nem győzzük hangsúlyozni a frissítések fontosságát. A WordPress fejlesztői nem a saját szórakoztatásukra adnak ki újabb és újabb verziókat. Vagyis annak érdekében is, de főleg hibajavító verziók érzkeznek újabban, annak érdekében, hogy kritikus réseket befoltozzanak.

Biztonsági mentés

Ennek a szerepéről is sokat beszélünk, de kevésbé alkalmazzuk, legalábbis ez a tapasztalatom. Te mikor csináltál utoljára teljes adatbázis mentést a blogodon található bejegyzésekből? És ezt utoljára mikor mentetted át külső adathordozóra, külső gépre?

Tudjátok nem is volt olyan régen az, amikor az egyik nagy szolgáltató szerver termében a szerverek nagyrésze a tápig vízben állt… Vajh, ha a te blogod egy olyan szerveren lett volna, mikor állhatott volna újra üzembe?

Adatbázis mentéshez használahatod a WordPress Database Backup névre hallgató bővítményt.

Nálam rendszeres, napi adatbázis mentés fut, de tanácsos időnként, mondjuk egy WordPress kompatibilis XML-be is akár kimenteni az adataidat, és ilyenkor könnyen importálható marad. Én néha be szoktam importálni a teljes blogom egy-egy WordPress MU alapú blog szolgátatóhoz, mint például a PirateBay blog szolgáltatása a BayWords.com.

Biztonságos kapcsolat

Amikor csak lehetőségünk van rá, a blogunkra SFTP-n vagy SCP-n keresztül töltsünk fel háttéranyagot, bővítményeket, új sablonokat. Mivel a sima FTP protokollon keresztül küldött adatok titkosítatlanul folynak. Oké, nem te vagy a NASA, hogy arra legyen kiváncsi bárki is, hogy milyen adatot töltesz fel. De mivan, ha mégis?

Egyébként tudtad, hogy a blogod admin felülete a 2.6-os verzió óta képes HTTPS alapon is működni? Erről bővebben majd a harmadik részben, fogok írni.

Fájl jogosultságok

Először is tanuljuk meg, mit jelentenek a unix rendszerek fájl jogosultsági maszkjai, utánna pedig nézzük meg, hogy a blogunk lényges fájljai milyen jogosultságokkal rendelkeznek.

Ha nem dedikált szerverünk, vagy dedikált VPS-ünk van, akkor ez különösen fontos. Természetesen egy szolgáltatónak minden tőle telhetőt meg kell tennie, az ügyfelek adatainak eszakálása érdekében, de mi is tegyük meg a magunkét, és állítsuk be megfelelően a fájlok és könyvtárak jogosultságát.

Admin könyvtár védelme

Az első és kézenfekvő megoldás, a .htaccess alkalmazása IP címre, tartományra szűkítéssre, amennyiben ez megoldható. Nyilván nem járható út, ha az internet szolgáltatód mindig más IP tartományból oszt neked IP-címet.

(Két évvel ezelőtti tapasztalataim alapján a T-onlány képes volt egymás után kiosztani olyan IP-címet, amiben nem volt közös tag. Azaz minden tartomány különbözött, ilyenkor ez a megoldás nem alkalmazható.)

A htaccess fájlok használatának a lehetőségét a szolgálattód tudja engedélyezni, erre nem létezik “meghekkeljük phpből” jellegű megoldás.

Az IP címre szűkítés egyébként ideális lehet, egy fix irodai IP-címmel rendelkező szerkesztőségnek bejegyzéseket írni a céges blogra. Ennek a mikéntje annyiban merül ki, hogy a wp-admin könyvtár gyökerében létrehozunk egy .htaccess fájlt, hasonló tartalommal:

Order deny,allow
Deny from all
allow from xx.xx.xx.xx

Nyilván a xx.xx.xx.xx cseréljük a pontos IP-címünkre.
Használhatóak még a következő formák is:

- 10.1.0.0/16
- 10.1
- nitro.glicer.in
- nsa.gov
- .gov

AskApache

Az admin hozzáférés korlátozására nyilván vannak még más módja is. Talán az egyik legismertebb, az AskApache bővítmény, amit arra szokás használni, hogy egy plusz biztonsági szintet emeljen a login oldal elé, vagyis, már a login oldalra bejutáshoz is egy standard HTTP authentikáción kell átmennünk.

De ennél jóval többet tud az AskApache, tartalmaz nyilvános proxyk elleni védelmet, különböző spam filter modulokat (referer ellenőrzés, trackback spam szűrés, UserAgent ellenőrzés, Content-Length vizsgálat, Content-Type vizsgálat…), exploit elleni védelmek (directory traversal, illegális karakter formázások, nem standard HTTP parancsok…), valamint tárolja a jelszó fájlok korábbi állapotait. Ugye milyen kis aranyos?

WP Security Scan

Az All-in-One SEO Pack jelenlegi karbantartójának egy régebbi bővítménye, ami átvizsgálja a fájl és könyvtár jogosultságokat, a jelszavakat, és az adatbázist gyenge pontok után kutatva. Valamit segít elrejteni a szoftver verzióját, és eltávolítja a Generator META tagot az oldal fejlécéből.

Login LockDown

Arra szokás használni, hogy megakadályozza az esetleges brute force jellegű támadásokat a login oldal ellen. Az alap beállításban 5 percen bellül 3 sikertelen bejelentkezési kísérlet után 1 óra bünti jön, és csak utánna próbálkozhatunk újra belépni, miután felkeltünk a sarokból a kukoricán térdelésből.

A sikertelen bejelentkezési kísérleteket ezen kívül még naplózza is.

Nos, ma eddig jutottunk, hamarosan (valószínűleg a jövőhéten) folytatás következik.

phpMyAdmin

Amennyiben rendelkezünk phpMyAdmin hozzáféréssel, akkor ide jelentkezzünk is be, a wp-config.php-ban megadott adatbázis elérési adatokkal. Válasszuk ki azt az adatbázist, amelyben a blogunkat telepítettük, a bal oldalon listázott elérhető adatbázisok közül.

Majd, itt válasszuk ki a felhasználói adatokat tartalmazó táblát, amely valószínűleg wp_users, de mivel egyéni prefix beállítására is lehetőség van telepítés közben, így ismét a wp-config.php fájl, $table_prefix nevű változója tud felvilágosítást adni arról, hogy milyen előtag szereplet a users megnevezés előtt.

A tábla kiválasztása után a Tartalom fülre kattintva keressük meg a nekünk kellő felhasználót, ami valószínűleg az első sor lesz és ahol az ID oszlop egyes (mivel normál körülmények között ezt a felhasználói fiókot nem lehet törölni.)

Majd, kattintsunk rá ebben a sorban a ceruzát formázó, és szerkesztést jelentő ikonra. Ez után valami hasonló kép fog fogadni minket. A három lényeges tulajdonság eredeti színekkel van ábrázolva, minden mást ami a lényeg szempontjából számunkra teljesen lényegtelen, ki szürkítettem:

Szóval a user_pass mezőnél válasszuk ki az MD5 funkciót, semmi más nem jó, (tehát sem PASSWORD, sem ENCRYPT, sem SHA1). Majd mellé az érték mezőből töröljük ki a benne lévő adatot, és írjuk bele az új jelszavunkat.

Ezután a táblázat láblécében lévő végrehajtás gombra taposva, a beállítást végre is hajtódott.

Kézi SQL

Ha nem phpMyAdmint használunk, hanem valami natív SQL elérést (MySQL Administrator, SQLyog, stb.), esetleg saját szkriptet szeretnénk írni, amig nem készül el a javítás, akkor a következő SQL utasítást kell eldurrantanunk:


UPDATE `blog`.`wp_users` SET `user_pass` = MD5('valamijelszo') WHERE `wp_users`.`user_login` =`admin` LIMIT 1;


Szerencsés bejelentkezés után a blogmotorunk a jelszót átkonvertálja a phpass metódussal egy biztonságosabb titkosítású karaktersorozattá.

(A bejegyzés Ryan McCue angol nyelvű cikke alapján készült)

Körülbelül ennyi bevezetőnek, a honlapja angol nyelven íródott, hogy a világ minden tájáról érkezők is nagyjából megértsék, de persze van magyar aloldal is. Nincs még minden oldal kész, igyekszem! Örleteknek és visszajelzéseknek nagyon örülnék!

Akkor tehát a honlap: http://styx.kreative-labs.com

Remélem sokatoknak tetszeni fog és majd minél többen fogjátok használni

2. Admin hírek oldal
Ha a hírek oldalon a bejövő linkeknél és a híreknél furcsa karakterek (pl: ĂĽ) jelennek meg az ékezetes betűk helyén akkor a következő javítást kell letöltened majd felülírnod vele az index-extra.php fájlt, ami a wp-admin könyvtárban van.
http://word-press.hu/letoltesek/javitasok;/index-extra.zip;index-extra javítás;
3. Értesítő emailek
Ha az új megjegyzés érkezéséről szóló email feladójában látod a 2. pontban jelentkező rendellenességet, akkor a töltsd le a következő javítsát és írd felül a pluggable.php fájlt, ami a wp-includes könyvtárban található
http://word-press.hu/letoltesek/javitasok;/pluggable.zip;pluggable javítás;

1. Adatmentés
   Frissítés előtt minden adatot mentsünk el a biztonság kedvéért.
   Az adatbázisunk lementéséhez használjuk a phpmyadmin-t vagy egy külső MySQL adatbáziskezelő szoftvert.
   A régi fájlainkat is mentsük le egy FTP program segítségével
   Töltsük le a karbantartást jelző fájlt, tömörítsük ki, majd másoljuk fel az FTP tárhelyünkre.
   Ha eddig mindent jól csináltunk akkor a blog helyén csak egy tájékoztató szöveg lesz.
2. Pluginek kikapcsolása
   Lépjünk be az admin felületre és a pluginek menüpont alatt kapcsoljunk ki minden engedélyezett plugint
3. Régi WP törlése
   Töröljünk le az FTP ről minden fájl a következőek kivételével:
   • wp-config.php fájl
   • wp-content könyvtár
   • wp-images könyvtár
   • wp-includes/languages könyvtár
   • .htaccess fájl
   • robots.txt fájl
4. Új WP feltöltése
   Tölsük fel az új WordPress 2.1 fájlait az FTP tárhelyre
5. Frissítés
   Futtassuk le a frissítő scriptet (/wp-admin/upgrade.php)
6. Pluginek bekapcsolása
   Lépjünk be az admin felületre és aktiváljuk az plugineket

Dragon Zoltán kiegészítése:
Csak a feltöltés során ügyeljünk, hogy a törölni nem kívánt fájlokat nehogy felülírjuk!!!

Egy valami még mindig kimaradt
A karbantartást jelző fájlt a végén töröljük le.

Az ismertetésre kerülő plugin automatikusan kigenerálja az oldaltérképünket és egyből el is küldi a google részére.

Miért hívják ezt a formátumot Google Sitemap -nek?
Az XML-Sitemap formátumot 2005-ben fejlesztette ki a Google, majd 2006-ban adaptálta a Yahoo és az MSN Search.
Szóval ezért hívják így…

Mit tud ez a plugin?

• WordPress 1.5 és 2.x kompatibilis
• Támogatja az Ultimate Tag Warrior plugint
• Nem kell programozói tudás hozzá
• Rendelkezik egy adminisztrációs felülettel ahol a fontosabb beállításokat egyszerűen meg tudjuk adni
• 16 nyelven áll rendelkezésre (magyarul még nem tud)
• Statikus XML fájlt generál a blogod gyökérkönyvtárába (a fájlnevet meg tudod változtatni a beállítások között)
• GZip tömörített változatot is képes generálni
• Indexeli a kezdőoldalad, a statikus lapjaid, a bejegyzéseid, a kategóriáig és az arhívumodat
• Prioritásokat számol a bejegyzéseidhez (alapbeállításként a kommentek számából határozza meg a prioritást, de képes együtt működni a Popularity Contest nevü pluginnel is)
• Az XML fájl minden változtatás után automatikusan újra generálódik
• A Google-Ping -en keresztül értesíti a keresőt a változásokról
• Fel tudsz venni külső oldalakat is a listára, melyeket nem lát a plugin
• Megadhatod a minimális prioritás értéket, mellyel felül tudod definiálni a kiszámolt értéket
• Rendelkezik egy WP filterrel melyen keresztül más pluginek által generált oldalak is bekerülhetnek az oldaltérképbe
• Beépített naplozás segít a hibakeresésben

A plugin alapvetően ingyenes felhasználású, de PayPal-on keresztül támogathatod a fejlesztést.

Telepítés
Egyszerűen töltsd le a plugint, tömörítsd ki, majd másold fel a blogod wp-content/plugins/ könyvtárába, majd az admin felületeden engedélyezd a működést. Ezután a beállítások menüpont alatt létrejött egy új menüpont Sitemap néven. Itt tudod beállítani a főb paramétereket. Menj bele ebbe a menüpontba és nyomj rá a Rebuild Sitemap nevü gombra, hogy kigeneráld az első oldaltérképed.

Letöltés
Google Sitemap Generator 2.7
Google Sitemap Generator 3.0b4 WP 1.5
Google Sitemap Generator 3.0b4 WP 2.x
UTW Tags Addon Plugin
Ultimate Tag Warrior
Popularity Contest
Kapcsolódó hivatkozások
Google Sitemap Generator 2.7
Google Sitemap Generator 3.0b4
UTW Tags Addon Plugin
Ultimate Tag Warrior
Popularity Contest

XML-Sitemap
Google
Yahoo
MSN Search

Ezért felbuzdultam és elkezdtem kutakodni a neten, hogy hogyan lehetne ezt megcsinálni az én kicsi birodalmamban

Kettő képszolgáltatót találtam a neten, amihez létezik WP plugin is.
http://www.snap.com/
http://www.websnapr.com/

A WebSnapr telepítése egyszerűbb, de szerintem a Snap gyorsabb

Snap
Első lépésben le kell töltenünk a Snap Preview Anywhere plugint.
A plugint a szokásos módon felmásoljuk a blogunk plugins könyvtárába.
Ezután engedélyeznünk kell az adminisztrációs felületünkön a telepített plugint.
Ha mindent jól csináltunk akkor a beállítások között meg fog jelenni egy SPA nevü menüelem. Itt kell beállítanunk a szolgáltatást. Meg kell adnunk az SPA kulcsunkat. A kulcsot a következőképpen lehet beszerezni:
Látogassunk el a http://www.snap.com/about/spa1A.php címre, majd nyomjunk a Get it FREE now gombra.
A megjelenő űrlapon megadjuk a blogunk URL-jét, a képen látható karakterhalmazt, az email címünket és természetesen elfogadjuk a felhasználási feltételeket, majd elküldjük az űrlapot.
A következő oldalon látunk egy szövegmezőt, amiben egy JavaScript kód található.
Ennek az utolsó sorában (src= -vel kezdődik) keressünk meg key= részt és másoljuk ki a mögötte található 32 karakteres kulcsot (az & jel már nem kell).
Menjünk vissza a blogunk admin felületére. Keressük meg a Beállítások -> SPA részt. A szövegmezőbe illesszük be az imént kimásolt kulcsunkat.
Itt még van lehetőségünk pár apró beállítás elvégzésére (Sorrendben):
- Snap Képkereső megjelenítése az előnézet alatt
- Minden linken legyen előnézet (ha nem pipáljuk be akkor a HTML szerkesztőben a linknek meg kell adni a snap_preview classt)
- A belső hivatkozásokon is legyen előnézet (csak akkor működik ha az előző négyzetet is bepipáltuk)
- JS beszúrása a láblécbe (Ezt mindenképpen jelöljük be)

WebSnapr
Töltsük le az XSD Snapr plugint, majd a másoljuk fel a blogunk plugins könyvtárába.
Lépjünk be a blogunk admin felületébe majd engedélyezzük a telepített plugint.
A plugin aktiválása utána beállítások között meg fog jelenni egy új Snapr feliratú menüpont. Itt tudjuk beállítani, hogy minden linkek aktív legyen e ez a funkció vagy csak azokon melyek rendelkeznek a previewlink class-szal.

Sok sikert, kellemes blogolást!

A nagy vállalati honlapok és portálok mögött komoly cégek állnak, akik folyamatosan pénzt és időt áldoznak szakemberekre, külső cégekre, hogy oldaluk a keresőkben minél előkelőbb helyezést érjen el. Egy blogolónak ritkán adódik meg az a lehetőség, hogy a keresők számára tökéletes oldala legyen. A következő cikk ebben próbál segíteni.

Smink választás
Az optimalizálást a smink vagy téma megválasztásánál kell kezdenünk. Ezzel akár halálra is ítélhetjük a blogunkat. Mindenképpen valid XHTML témát válasszunk. Ezt általában feltüntetik a téma leírásában is. Az XHTML oldalak felépítése az XML leíró nyelvre épült. Az XML-t pedig rendkívül egyszerűen tudják olvasni a keresőrobotok. Az ilyen sminkek elkészítésekor a készítők megpróbálják maximálisan kihasználni a HTML tagok adta lehetőségeket, mely tovább segíti a vakok és gyengénlátók tájékozódását valamint a keresők is több hasznos infomációhoz jutnak az oldalunkkal kapcsolatban.

Bejegyzés írása
A bejegyzés címének mindig olyan mondatot, szóösszetételt válasszunk ami fedi az adott bejegyzés tartalmát. A megfelelően választott smink ugyanis a címet fejléc szövegként definiálja amit nagyobb hangsúllyal vesznek figyelembe a keresők.
A fontos tartalmi részeket emeljük ki félkövérre. Ez az apró trükk nem csak a díszítést szolgálja. A modern keresőrobotok megpróbálják “emberi” szemmel olvasni az oldalt. A félkövér szöveg hangsúlyosabb és ezt a keresők is tudják.
Próbáljunk rendszeresen írni, hogy folyamatosan új tartalmat találjon a kereső. Egy rendszeresen frissített oldal nagyobb eséllyel kerül a listák elejére.

Meta tagok
A meta tagok a weboldal tetején helyezkednek el. A látogató semmit nem lát belőle, hiszen a keresőknek és a böngészőknek szól. Ezeken az elemeken keresztül tudjuk utasítani a robotot. A keresőknek 3 fő tagot hoztak létre. Van olyan mellyel utasítani tudjuk, hogy hány nap múlva látogasson vissza az oldalunkra. Az egyik legnépszerűbb tag segítségével egy rövid leírást definiálhatunk az oldalunk számára, mely a találati listán is meg fog jelenni az oldal címe alatt. Régebben nagy népszerűségnek örvendett a kulcsszavak definiálására való tag. Sokan olyan kulcsszavakat helyeztek el itt, melyekre rendkívül sokan kerestek, de nem jellemzőek az oldalukra. Emiatt a keresők jó ideig figyelmen kívül hagyták. Ebből kifolyólag eltűntek az oldalakból az ilyen jellegű csalások. Most már a keresők újra figyelik az oldal kulcsszavait. Igaz még bizalmatlanul kezelik, de már bizonyítottan újra van szerepe a kulcsszavaknak.
A meta tagok kitöltésére és a kulcsszavak definiálására a legegyszerűbb módszer ha telepíted a GWP – MetaAdmin nevü saját fejlesztésű plugint a WordPress-ed alá.

http://blog.phpheaven.hu;/gwp_meta_12.txt;GWP – MetaAdmin;

Linkek, blogroll
Fontos, hogy ne hagyjuk ki oldalunkból a linkek és a blogroll részt. Ezzel egyfajta kapcsolati hálót tudunk kialakítani (olyasmit mint az iwiw-en a térkép). Ez szintén pozitívan befolyásolja a helyezésünket.
Regisztráljuk magunkat a linkgyüjteményekbe (pl: lap.hu) valamint ismerőseinket oldalát helyezzük el a linkjeink között és kérjük meg őket, hogy linkeljenek vissza.

Ping
Ma már nem csak általános keresők léteznek. Már hazánkban is több blogkereső szolgáltatás van jelen. Ezek általában rendelkeznek ping funkcióval. Ennek segítségével tudjuk értesteni a keresőt, hogy új bejegyzést publikáltunk.
A ping beállításáról bővebben a miner.hu-ról szóló cikkben olvashattok.

Kérdéseiteket és javaslataitokat bátran írjátok meg.