Securitate pentru Wordpress.
Continut Platit
Acest articol nu este disponibil gratis.
Detalii mai jos :
Incepand de asta noapte am operat cateva modificari la modul in care Trilema livreaza articole. Sistemul cel nou e oarecum complex, asa ca sa-l explicam pe indelete.
Fiecare cititor (inteles in termeni de IP) poate citi cate trei articole diferite in fiecare zi (24 de ore). Odata cele trei epuizate, in locul articolului solicitat va primi o pagina care-i explica c-a depasit numarul de articole gratuite pe ziua respectiva, si-i ofera un link pentru mai multe detalii. In principiu eu scriu cam cate trei articole pe zi, plus-minus, asa incat ar trebui sa fie fix destul pentru a urmari Trilema in continuare fara probleme. De asemenea conversatiile n-ar trebui sa fie tulburate, cititorul poate lasa oricate comentarii doreste la cele trei articole pe care si le-a ales pentru ziua respectiva, si de asemenea poate citi de oricate ori pofteste comentariile lasate de altii. De notat ca termenul de 24 de ore curge subiectiv, functie de accesarile cititorului, nu exista o ora fixa pe server la care toata lumea isi reprimeste creditele.
Toate IP-urile noi (adica acele IP-uri care incarca pentru prima oara o pagina pe Trilema, de la introducerea acestui sistem) primesc un bonus de 24 de incarcari suplimentare. Asta inseamna ca pot incarca, pe langa cele 3 articole zilnice, inca 24 in total. Deci, citind azi 4, maine 10, poimaine 19 am ajuns la 0, si de-acum suntem limitati la cele 3 zilnice. De notat ca sistemul nu retine decat ultimele trei articole vizitate, si ca atare e posibil sa epuizati creditul incarcand doar 4 articole in ordine, 1,2,3,4,1,2,3,4 etc. In acest exemplu se uzeaza cate o unitate pe ciclu. De asemenea de notat ca odata plata realizata si creditul alocat sunteti identificat strict prin IP, daca ISP-ul aloca IP-ul dvs altcuiva tocmai ce v-a pagubit de niste incarcari suplimentare.
Paginile (precum de exemplu ), indecsii categoriilor (precum de exemplu http://polimedia.us/trilema/category/3-ani-experienta/) si arhivele (precum de exemplu http://polimedia.us/trilema/2010/08/) sunt accesibile fara restrictii, nefiind in nici un fel incluse in acest sistem.
Cititorii care nu doresc sa fie astfel limitati pot sa plateasca 5 euro, (puteti plati cu orice card Visa, nu-i nevoie sa aveti sau sa va faceti cont) in schimbul carora primesc 5000 de incarcari suplimentare. Avand in vedere ca la ora actuala Trilema are putin peste 1300 3000 de articole in total, 5000 de incarcari suplimentare ar trebui sa ajunga o vreme. Puteti de asemenea plati cu bitcoin : trimiteti un email care sa contina adresa dvs, dupa care trimiteti plata pe adresa 1JPvucRfu3ZzEvfBUQTJwsxMrZjeTqD6zR. Veti primi un numar de credite egal cu cantitatea de bitcoin trimisa x cursul BTCEUR x 1000.
Cititorii care nu doresc sa fie limitati dar nici nu doresc (sau nu pot, din orice motiv) sa plateasca in bani pot sa-si faca un cont pe fain, unde, dupa ce aduna 1000 de karma pot sa vanda 500 in schimbul incarcarilor suplimentare (specificati in email).
Cititorii care nu doresc nici sa fie limitati, nici sa plateasca si nici sa munceasca pot sa foloseasca un proxy, sa incarce Trilema de pe calculatorul prietenilor sau pe wireless-ul cafenelelor etcetera. Solutii sunt probabil multe, chiar daca m-ar mira sa merite.
In final, imi face placere sa anunt ca un numar de comentatori activi si inteligenti primesc 1000 de credite ex oficio. Lista, in ordine alfabetica : adi ; Anonimosu ; ByREV ; calmogen ; cipslim ; costin ; dAImon ; Diana Coman ; Dr.A ; F ; factor ; Florin ; Ionut ; krossfire ; Lucian ; Luka D ; Mari ; Marius ; McGogoo ; Mihai ; Porcul de York ; spyked. Lista ramane in principiu deschisa la dispozitia mea.
Uite ca pana la urma n-o fost chiar asa de complex. Sa ne auzim sanatosi dara. Pentru comentarii incercati aici.
Luni, 17 August 2009
Problema aici e că mulți vor să își permită libertatea aia de a scrie de unde îi taie pe ei capul (adică și din Cluj și din Iași și din București). Ar fi fain ca mașina cu IP-ul din listă să poată fi accesată cumva remote (VNC, RDP) și să se poată face publicarea direct de pe ea, dar nu știu câți se complică la așa ceva.
Ar mai fi și alte variante (https, blocarea IP-ului care insistă un număr de ori fără succes), dar nu știu în ce măsură pot fi aplicate la wordpress.
Luni, 17 August 2009
Bun, stii, cine dracu merge in Italia dar nu stie ca va merge in Italia ? Daca e, pui acolo Allow from 87 sau cat are Italia, si-ti lasa toata clasa A.
Marti, 18 August 2009
Așa mai bine faci deny la Rusia și China și ai rezolvat trei sferturi din problemă.
Marti, 18 August 2009
Pai da, da’ daca esti rapit in miezul noptii de agenti KGB si dus intr-o barca pescareasca la Novosibiirks, intr-o inchisoare secreta de unde reusesti sa evadezi cu ajutorul blondei Katja si al surorii ei gemene Tanja, mai tanara cu 2 ani si cu sani mai fermi, si iei legatura cu CIA dar ei au nevoie sa-ti confirme identitatea si tu nu te poti loga in wordpress ? Hm ? HMM ?
Marti, 18 August 2009
:))
I got your point, e foarte bun de folosit pe cazuri particulare, da’ eu mi-am exprimat punctul de vedere în ideea că sunt mulți indivizi care nu au cum să se logheze de pe IP fix, dintr-un motiv sau altul. Dacă dai allow la clase, deja ajungi de unde ai plecat. Pentru un atac targetat, individul se conectează prin proxy și tot dă în tine, poate doar la frecvență mai mică.
Părerea mea de nespecialist în rețelistică e că securizarea trebuie să se creeze la alt nivel. Atacuri vin nu numai pe http, ci și pe alte căi. De-aia există iptables și log-uri de acces. Altfel n-am mai pune parolă la wordpress, ci am crea sesiune automat pentru adresa x, idee foarte bună în teorie, dar rea în practică, din cauză că http-ul e prăpăstios de felul lui și n-a fost proiectat tocmai pentru scopurile în care e folosit web-ul astăzi.
Marti, 18 August 2009
:P Si uite asa am scris un scenariu de film de actiune, pe ecrane cel mai probabil in 2012.
Eu am creat solutii de securizare bazate in parte pe IP locking, si s-au dovedit solide. Cred sincer in combinatia IP restriction + parola pentru orice sistem de identificare a utilizatorului, din aceleasi motive fundamentale pentru care cred sincer in combinatia achizitie analogica date + proceduri randomizare pentru orice generator de numere aleatorii.
Sigur, atacuri asupra sistemului pot aparea din tot felul de surse, http e doar o mica felie. Dar toate atacurile asupra identitatii utilizatorilor se bazeaza pe ambiguitatea sursei. Atata timp cat aceasta ambiguitate nu este absoluta, solutii de atac scalabile devin cvasi-imposibile.
Marti, 18 August 2009
Mă gândesc că soluția blocării e destul de bună în contextul în care dau un Allow pe rețeaua locală pentru wp-admin.php și mă strecor apoi pe mașina de acasă printr-un VPN dacă sunt în altă parte.
Ce m-a deranjat mereu la wordpress e imposibilitatea de a scăpa de userul “admin” fără a-i modifica numele din baza de date. În momentul în care schimb user-ul din “admin” în “terente”, atacatorului îi va veni destul de greu să ghicească dacă există sau nu un user terente pe wordpress-ul respectiv, caz în care eu sunt în mare măsură în siguranță, asta dacă nu există un backdoor în wordpress.
Marti, 18 August 2009
Bun, dar gandeste-te : intre user ionel pw 12345 si user admin pw 1234567890 nu exista o diferenta reala de securitate, cryptografic vorbind. Deci nu conteaza chiar asa mult.
Marti, 18 August 2009
Criptografic vorbind nu, practic contează. Fiind user default (și imposibil de schimbat din interfață), un atac bazat pe dicționar (unde admin poate fi chiar singurul user din dicționar) are șanse considerabil mai mari de reușită. Dacă folosesc și diacritice în numele user-ului, contul va fi practic imposibil de spart, doar dacă nu se gândesc cumva crackerii că pe românul nostru îl cheamă “pârțoșel” (exemplu ales special pentru cele trei diacritice).
Ăsta este motivul pentru care administratorii de sisteme unix blochează de obicei accesul direct la contul de root. Încă 5-6 caractere în plus la complexitate se simt. În plus, schimbarea parolei odată la câteva luni e un rău necesar, considerându-se că o parolă e mai ușor de schimbat decât o broască de la ușă.
O tehnică și mai interesantă e păstrarea unui cont “admin”, dar cu privilegii 0. Contul respectiv va fi doar o momeală pentru cei însetați de spargeri. În orice caz, se constată că un sistem bine securizat va fi atacat la greu (ceea ce îl poate încărca destul de mult, mai ales în cazul wordpress-ului), poate chiar mult mai mult decât unul cu o securitate mai laxă, caz în care se preferă folosirea unor astfel de momeli, pentru a le da hecărilor de lucru.
Joi, 8 Octombrie 2009
Ha!Ha!Ha!
Meseriase comentariile.
Super site-ul dvs “crai de ghinda”.
Daca tot va pricepeti ceva ptr blogger:)))), ar fi bine venite, mai ales pentru blonde:)))
aaaaaaaaa si nu schema logica/html, ci pur si simplu poze + instrumente de utilizare (a pozelor evident):))))))
o zi buna iti doresc
multumesc ptr vizita!
Joi, 8 Octombrie 2009
Sa traiesti. Sa notez un fapt oarecum amuzant : la cateva zile dupa ce-am facut eu aceasta modificare, s-a descoperit un bug in wordpress care ingaduia mismasuri folosind exact scriptul de autentificare. Ceea ce a dus la un update de urgenta (care a acoperit gaura doar in parte, asa incat a fost urmat de inca un update de urgenta).
Evident, respectivele hack-uri erau in lucru cu putin timp inainte de-a fi descoperite, deci eu m-am blindat cu ore, poate minute inaintea construirii exploit-ului de catre hackeri. Copil inspirat divin ce mi-s.