sql injection και wordpress

VN:F [1.9.22_1171]
Rating: 5.0/5 (2 votes cast)
FavoriteLoadingΠροσθήκη στα Αγαπημένα μου
22/10/2012 από
adavalas

SQL injections

Η εγκατάσταση στο WordPress απο μόνη της δεν αποτελεί πηγή προβλημάτων ασφαλείας αφού οι τελευταίες εκδόσεις πάντα έχουν προβλέψεις για το σημαντικό θέμα της ασφάλειας. Αναλόγως όμως της έκδοσης που θα χρησιμοποιήσετε οι αποκαλούμενες SQL injection (sql ενέσεις ) μπορούν να αποτελέσουν ένα πραγματικό πρόβλημα ασφαλείας.

Μια SQL injection είναι μια διαδικασία κατά την οποία ο επιτιθέμενος στον δικτυακό σας τόπο προσπαθεί να εμφιλοχωρήσει sql κώδικα μέσω μιας φόρμας της ιστοσελίδας σας ή μέσω ενός script που έχει τοποθετήσει ευελπιστώντας ότι αυτός ο κώδικας θα εκτελεστεί σαν προερχόμενος από τον κώδικα του ιστοτόπου σας και είτε θα ανακτήσει κάποια δεδομένα από την βάση δεδομένων (π.χ. τα στοιχεία σύνδεσης – usernames και passwords του διαχειριστή της ιστοσελίδας) είτε να προσθέσει ένα δεύτερο διαχειριστή και μέσω αυτού ακολούθως να πάρει τον έλεγχο του διαχειριστικού περιβάλλοντος του wordpress και άρα και τον έλεγχο του web site σας.

Εκτός από το προφανές θέμα ασφαλείας οι βασιζόμενες σε SQL επιθέσεις  είναι ιδιαίτερα ενοχλητικές γιατί ένας τρόπος για να έχετε το κεφάλι σας ήσυχο είναι να παίρνετε backup της βάσης σας σε καθημερινή βάση αν αυτό είναι δυνατόν. Αυτή η ενέργεια μπορεί να γίνει αυτοματοποιημένα (back up ) μέσα από περιβάλλοντα διαχείρισης που συνήθως προσφέρουν οι hosting providers όπως το cpanel , το plesk αλλά και πολλά άλλα. Με αυτόν τον τρόπο δεν θα απαιτείται να κάνετε εσείς χειροκίνητα κάθε ημέρα αυτή την διαδικασία αλλά θα γίνεται αυτοματοποιημένα και σε συστηματική βάση.

Ένας άλλος τρόπος για να αποφύγετε να πέσετε θύμα μιας παρόμοιας επίθεσης είναι να προστατέψετε τα αρχεία σας χρησιμοποιώντας δυνατότητες που σας παρέχει ο Apache web server απλά χρησιμοποιώντας τον ακόλουθο κώδικα σε ένα .htaccess file. Μην λησμονείτε ότι κομμάτι στην δημιουργία ιστοσελίδας είναι και η θωράκιση της από επίδοξους εισβολείς.
Απλά κάνετε copy paste τον ακόλουθο κώδικα σε ένα txt file και το ανεβάζετε μέσω ftp ή ενός απλού file manager μέσα απο το web hosting control panel σας ( plesk – cpanel ) και το μετονομάζετε σε .htaccess. Τόσο απλά.

<IfModule mod_rewrite.c>
RewriteEngine On
RewriteBase /
RewriteCond %{REQUEST_METHOD} ^(HEAD|TRACE|DELETE|TRACK) [NC]
RewriteRule ^(.*)$ - [F,L]
RewriteCond %{QUERY_STRING} \.\.\/ [NC,OR]
RewriteCond %{QUERY_STRING} boot\.ini [NC,OR]
RewriteCond %{QUERY_STRING} tag\= [NC,OR]
RewriteCond %{QUERY_STRING} ftp\:  [NC,OR]
RewriteCond %{QUERY_STRING} http\:  [NC,OR]
RewriteCond %{QUERY_STRING} https\:  [NC,OR]
RewriteCond %{QUERY_STRING} (\<|%3C).*script.*(\>|%3E) [NC,OR]
RewriteCond %{QUERY_STRING} mosConfig_[a-zA-Z_]{1,21}(=|%3D) [NC,OR]
RewriteCond %{QUERY_STRING} base64_encode.*\(.*\) [NC,OR]
RewriteCond %{QUERY_STRING} ^.*(\[|\]|\(|\)|<|>|ê|"|;|\?|\*|=$).* [NC,OR]
RewriteCond %{QUERY_STRING} ^.*("|'|<|>|\|{||).* [NC,OR]
RewriteCond %{QUERY_STRING} ^.*(%24&x).* [NC,OR]
RewriteCond %{QUERY_STRING} ^.*(%0|%A|%B|%C|%D|%E|%F|127\.0).* [NC,OR]
RewriteCond %{QUERY_STRING} ^.*(globals|encode|localhost|loopback).* [NC,OR]
RewriteCond %{QUERY_STRING} ^.*(request|select|insert|union|declare).* [NC]
RewriteCond %{HTTP_COOKIE} !^.*wordpress_logged_in_.*$
RewriteRule ^(.*)$ - [F,L]
</IfModule>

Φυσικά αυτό το επίπεδο ασφάλειας θα σταματήσει ένα ερασιτέχνη οι οποίοι όμως είναι και η συντριπτική πλειοψηφία στο διαδίκτυο αφού απλά εξασκούν τις γνώσεις τους στον τομέα της ασφάλειας.  Ένας επαγγελματίας σιγουρα θα βρει πολλές άλλες τρύπες ασφαλείας για να διεισδύσει.

Δυστυχώς τον τελευταίο καιρό πολλές δικτυακές επιθέσεις γίνονται από newbies  που όπως προαναφέραμε απλά εξασκούν τις γνώσεις του σε θέματα ασφαλείας ή από spammers που απλά θέλουν να εκμεταλλευτούν το web site σας για την αποστολή spam αλληλογραφίας χρησιμοποιώντας scripts όπως PHP r57 ή Shell. Το να ελαχιστοποιήσετε όμως τα πιθανά προβλήματα που μπορεί να προκύψουν με τα δυο απλά προαναφερθέντα βήματα είναι κάτι που σίγουρα αξίζει τον κόπο γιατί στην δημιουργία ιστοσελίδας η ασφάλεια αποτελεί αναντίλεκτα ένα βασικό κομμάτι και μια πρόβλεψη την οποία ή θα πάρετε τώρα ή απλά θα εύχεστε στο  μέλλον να είχατε πάρει έγκαιρα.








Hide ↑

Aσφάλεια στο opencart

04 September 2014

Με το θέμα της διαδικτυακής ασφάλειας να γίνεται ένας ολοένα και μεγαλύτερης σημασίας ζήτημα κατά την

Read more...

Μαθήματα opencart - Αλλαγή του navigation bar

02 September 2014

To OpenCart αποτελεί μια από τις πιο διάσημες πλατφόρμες για την κατασκευή[…]

Read more...

WordFence. Ασφάλεια στο wordpress

01 September 2014

Το WordFence είναι ένα ιδιαίτερα δημοφιλές WordPress plugin που χειρίζεται πολλούς διαφορετικούς και κρίσιμους τομείς ασφαλείας τόσο[…]

Read more...






Σχόλια

Δεν υπάρχουν σχόλια ακόμα.

Αφήστε ένα σχόλιο

 






RSS για τα σχόλια σε αυτό το άρθρο.  |  TrackBack URL



 
 
 

Eταιρείες παροχής υπηρεσιών διαδικτύου




 

Το Όραμά Μας

3d2 3d2

Η νέα εποχή ξεκινάει…

Είστε έτοιμοι;

Παρά τις όποιες δυσκολίες συναντήσαμε, τελικά μετά από 1 χρόνο περίπου, καταφέραμε να συγκεντρώσουμε τις δυνάμεις μας και να βάλουμε τις σκέψεις μας στο σωστό μονοπάτι.

Ξεκινάμε μια νέα εποχή για τα Ελληνικά δεδομένα. Κοιτάμε μπροστά και οραματίζομαστε το μέλλον με αισιοδοξία σε μία πολύ δύσκολη εποχή!

Αν είστε digital artist (web designer. web developer, programmer, 3d animator, graphic designer κτλ)  δώστε λίγα λεπτά από τον χρόνο σας να διαβάσετε το παρακάτω άρθρο. Σίγουρα σας ενδιαφέρει

 
web design forum

  • Προσεγγίστε νέους αναγνώστες και φίλους
  • Αποκτήστε το δικαίωμα να προωθήστε την σελίδα σας μέσω διαφημιστικών banner στο web design forum
  • Αποκτήστε συνδέσμους και backlinks δωρεάν
  • Αυτόματη προωθηση του άρθρου σας, σε διάφορες ιστοσελίδες κοινωνικής δικτύωσης.