Witam.

Szukalem jakiegos kompletnego rozwiazania jednak do wersji 2.3.3 oraz 2.5 (ktora jest juz wersja stabilna dostepna przez svn) nie udalo mi sie znalesc.
Jedynie do wersji 1.x.x cos bylo.

W zwiazku z czym mam pytanie czy ma ktos opracowana metode czy tez nikt sie jeszcze nie bawil w ukrywanie tych katalogow przed wszelkimi botami, ktore probuja wykorzystac znane dziury. Ukrywanie przez rewrite nie spelnia zalozen.

Plik robots.txt daje radę..

Kasia

Tu sie nie moge zgodzic.

Plik robots.txt ma jedna zalete i jedna wage.

Zaleza mozna zdefiniowac co chcemy ukryc przed wyszukiwaniem.
Wada: Kazdy moze zobaczyc co chcemy ukryc, wylaczyc z wyszukiwania.
np. to forum:

User-agent: *
Disallow: /index.php?act=Search
[...]
Disallow: /index.php?&act=
Disallow: /jscripts/
Disallow: /style_images/

User-agent: Fasterfox
Disallow: /

User-agent: Yeti
Disallow: /

Wracajac jednak do tematu. Ukrywanie katalogow, ktore podalem w temacie sluzy zabezpieczeniu przed wszelkimi robotami, ktore sprawdzaja sobie siec w poszukiwaniu oprogramowania w tym wypadku witryn, ktore korzystaja z okreslonych aplikacji webowych np. takiego wordpressa. Jezeli juz takiego znajda sprawdzaja pliku, ktore kiedys zawieraly dziury i wowczas mozesz miec wlam na strone.

Mam nadzieje, ze rozumiesz teraz o co mi chodzi np. jezeli mamy wodpressa z dziurawym /wp-admin/admin.php wowczas taki bocik jezdzi po sieci szukajac:
http://example.com/wp-admin/admin.php jak znajdzie pozniej kolejny probuje zrobic na nim jakis exploid i mamy problem. Jezeli bysmy mieli zamiast wp-admin np. pw-nimda. Robot tego juz nie znajdzie.

Ten post edytował Kasia79 11.3.2008 - 12:25

Pod warunkiem, że nie znajdzie linku d takowego, bo może są jakieś sprytne roboty omijające to zabezpieczenie.
W każdym razie, wydaje mi się, że zamienienie '/wp-admin/' na '/abjsdasd/' powinno wystarczyć, chociaż może spowodować trochę problemów. Istnieją programy do hurtowego wyszukiwania w plikach i zamiany tekstu. Trzebaby spróbować

Witam.

Nikt jeszcze nie przedstawil rozwiazania, wiec na szybko zrobilem i przetestowalem jedno rozwiazanie.

Mysle, ze mozna pewnie zrobic to z jakiegos zaawansowanego edytora tekstu jednak polecam basha.

Kilka uwag:
- Przed rozpoczeciem zmian, robily pelen backup katalogu z wordpressem.
- Ustawiamy odpowiednia sciezke dostepu do katalogu
- Ustawiamy nowa nazwe dla katalogu wp-admin pamietajac ze znaki \/ pozostaja bez zmian.

Przetestowalem dzialania na wordpress 2.5 zaciagane z svn dziala sprawnie.

Potrzebne rzeczy: linux, dostep do basha, odpowiednio ustawione prawa i wczesniejszy backup jakby cos nie poszlo.

#######################################

#!/bin/bash

# definujemy sciezke do naszego katalogu z Wordpressem
SCIE="/www/wordpress";

# definiujemy czego nie tykamy:
NOGREP=".jpg|.jpeg|.png|.bmp|.gif";

for plik in `grep -R -l "wp-admin\/" $SCIE | egrep -v "$NOGREP"`
do

echo "Znalazlem: $plik"
echo " ";
echo " ";
echo "Obrabiam: $plik"
cat $plik > /tmp/content.txt;
cat /tmp/content.txt | sed 's|wp-admin\/|noadmin\/|g' > $plik

done

# Usuwamy plik roboczy
rm -f ./tmp/content

# Zamieniamy nazwe katalogu
mv $SCIE/wp-admin $SCIE/noadmin


#######################################

A ja mam takie pytanko. Po co to wszystko?
Każdy upgrade to zabawa od nowa. Każda wtyczka, skórka, która korzysta z katalogu wp-admin/wp-includes/wp-content, musi zostać przerobiona, by działała.. Poza tym nazwy dwóch ostatnich i tak można zazwyczaj sprawdzić zaglądając do źródła strony...
A sytuacja wyglada tak.. Mamy taki sobie WordPress. Zainstalowany na kilkunastu setkach tysięcy stron. Włamanie na kilka stron powoduje *alarm* w środowisku użytkowników (oczywiście pod warunkiem, że właściciel strony się zorientuje), przegląd sytuacji i (jeśli potrzebne) wypuszczenie *łatki*.
Chyba lubisz dodawać sobie roboty .

Kasia

Kasiu wszystko to po to, aby zapewnic podstawowe minumum bezpieczenstwa.
Kazdy update zawsze jest dodatkowa zabawa poniewaz trzeba zainstalowac sprawdzic poprawnosc i gdy mamy pewnosc ze wszystko jest ok, wowczas dopiero przenosimy to na strony produkcyjne.
Przerobienie kazdego pluginu o ile zostal prawidlowo napisany, nie stanowi wiekszego problemu, co nawyzej odpalenie uprzednio przygotowanego skryptu.

Co do zrodelek masz racje, ale i na to jest zawsze metoda



Masz racje, wlamia sie tu, wlamia sie tam i wychodzi poprawka, ale jak trafi na ciebie to juz nie bedzie tak wesolo.

Ja uwazam, ze zawsze nalezy zachowac przynajmniej minimum jezeli chodzi o bezpieczenstwo.

Dziękuje pięknie za wyjaśnienia. Znowu się czegoś nauczyłam .
Ale i tak uważam, że zmiana nazw tych folderów daleko wykracza poza "podstawowe minumum bezpieczenstwa".

Kasia

PS. Czy znasz jakąś stronę na silniku WP, która faktycznie ma zmienione nazwy tych katalogów? Bo ja jeszcze nigdy takowej nie spotkałam (a przynajmniej pośród tych, którym zaglądałam w kod źródłowy ).

A dziekuje :) Moze i wykracza, ale jak juz cos robic to dobrze, a nie pobierznie.



Mam kilka typow, ale nie jestem stanie tego potwierdzic, co by nie promowac podam tylko ze chodzi o dwa plotkatskie serwisy, na ktore niedawno trafilem poszukujac jakis informacji i rzucilo mi sie w oczy jakby byl to wordpress i miminum pluginow i powycinanym czym sie da (wszelkimi identyfikatorami).

P.S wczoraj troche sprawdzalem i da sie calkowicie usunac katalogi wp-content i przez to da sie jeszcze bardziej ukryc na czym stoi site, ale jest to juz pracochlonne.

Jak bede mial troche wiecej czasu postaram sie zrobic taki demo site, ktory bedzie na wordpress 2.5 jednak bedzie calkowicie mial zamaskowane oznaczenia i sciezki.

ale po co nie lepiej zamaskować ścieżki w htaccess ?? dodatkowo oczywiście zabezpieczając ten plik przed odczytem ??

chodzi ci o rewrite?

Dokładnie tak i nie trzeba się wtedy martwić o notatnik z funkcją wyszukiwania oraz o aktualizacje - najprostsze metody są najlepsze

West, udostępniłbyś jakiegoś gotowca?.