Προς το περιεχόμενο

security measures wordpress

geobalc

Από τον geobalc
στο Web Design - Development

 Share

Προτεινόμενες αναρτήσεις

geobalc Newbie

geobalc

Δημοσ.
Δημοσ. (επεξεργασμένο)

να αναφέρω ότι ό,τι έχω μάθε το έχω μάθει μόνος μου και με βοήθεια από ai και πολύ διάβασμα online.

Όποιος έχει όρεξη να ρίξει ιδέες, το blog βγαίνει με quic cloud cdn, όλο το traffic από όλες τις ηπείρους μπλοκαρισμένο,  εκτος από ελλάδα και φυσικά allow τα google bots. server litespeed. 

από plugins ενεργά τα wp security και wordfence (σε autopretend και τα δυο)

disable search, edit author slug, yoast seo, wp security και wordfence. τίποτε αλλο. 

ας θεωρήσουμε δεδομένο ότι ο host είναι ασφαλής.

αυτές είναι οι σημειώσεις μου τις παραθέτω αυτούσες; - τι αλλο που δεν γνωρίζω δεν μπορώ να σκεφθώ

 

Security Measures Wordpress

wp-config.php move outside root and make permissions to 400 only

Install Wordfence, activate 2fa and install captcha
----------------------------------------------------
----------------------------------------------------

Prevent Search

<IfModule mod_rewrite.c>
RewriteEngine On
RewriteBase /
RewriteRule ^index\.php$ - [L]
RewriteCond %{QUERY_STRING} s= [NC]
RewriteRule ^ - [F,L]
</IfModule>

-----------------------------------------------
Force HTTPs for admin, disallow file edit
--------------------------------------------------

define('FORCE_SSL_ADMIN', true);
define( 'DISALLOW_FILE_EDIT', true )

---------------------------------------------------------------------------
Disable wp cron.php access, htaccess and set permissions of htaccess to 600
---------------------------------------------------------------------------


<Files wp-cron.php>
    Order Allow,Deny
    Deny from all
</Files>

<Files ~ "^\.ht">
    Require all denied
</Files>

--------------------------------------------------------------------------
protect wp-admin directory (htaccess in wp-admin directory)
--------------------------------------------------------------------------

<RequireAll>
    Require ip χχχχχχχ/16
    Require ip χχχχχχχχχχ/16
    Require all denied
</RequireAll>

---------------------------------------------------------------------------
disable php scripts in wp-content/upload folders and all others
---------------------------------------------------------------------------
 <FilesMatch "\.(php|html|htm)$">
    Order Allow,Deny
    Deny from all
</FilesMatch>

Options -ExecCGI
AddHandler cgi-script .php .pl .py .jsp .asp


and this in main .htaccess
<FilesMatch "^wp-content/uploads/.*$">
    ForceType application/octet-stream
</FilesMatch>


---------------------------------------------------------------------------------
---------------------------------------------------------------------------------
----------------------------------------------------------------------------------
php ini editor
---------------------------------------------------------------------------------
----------------------------------------------------------------------------------
----------------------------------------------------------------------------------

espose_php Off
allow_url_fopen off
session.cookie_secure on
session.cookie_httponly on
display_errors = Off

κάποιο από τα παρακάτω όταν τα απενεργοποίησα δεν μου επέτρεπε να συνδεθώ απλα δεν εχω προλάβει να κανω δοκιμές ακόμη πιο μπορεί να φταίει.

exec,system,passthru,shell_exec,proc_close,proc_open,dl,popen,show_source,
posix_kill,posix_mkfifo,posix_getpwuid,posix_setpgid,posix_setsid,posix_setuid,
posix_setgid,posix_seteuid,posix_setegid,posix_uname,pcntl_exec,expect_popen, 

mysql_list_dbs, ini_alter, dl, symlink, link, chgrp
leak, popen, apache_child_terminate, virtual, mb_send_mail


currently active (αυτά είναι ενεργά την τρέχουσα στιγμή)
eexec,system,passthru,shell_exec,proc_close,proc_open,dl,popen,show_source, posix_kill,posix_mkfifo,posix_getpwuid,posix_setpgid,posix_setsid,posix_setuid, posix_setgid,posix_seteuid,posix_setegid,posix_uname,pcntl_exec,expect_popen

 

 

Επεξ/σία από geobalc
sylvester30 Newbie

sylvester30

Δημοσ.
Δημοσ.
Στις 6/5/2025 στις 9:44 ΜΜ, geobalc είπε

να αναφέρω ότι ό,τι έχω μάθε το έχω μάθει μόνος μου και με βοήθεια από ai και πολύ διάβασμα online.

Όποιος έχει όρεξη να ρίξει ιδέες, το blog βγαίνει με quic cloud cdn, όλο το traffic από όλες τις ηπείρους μπλοκαρισμένο,  εκτος από ελλάδα και φυσικά allow τα google bots. server litespeed. 

από plugins ενεργά τα wp security και wordfence (σε autopretend και τα δυο)

disable search, edit author slug, yoast seo, wp security και wordfence. τίποτε αλλο. 

ας θεωρήσουμε δεδομένο ότι ο host είναι ασφαλής.

αυτές είναι οι σημειώσεις μου τις παραθέτω αυτούσες; - τι αλλο που δεν γνωρίζω δεν μπορώ να σκεφθώ

 

Security Measures Wordpress

wp-config.php move outside root and make permissions to 400 only

Install Wordfence, activate 2fa and install captcha
----------------------------------------------------
----------------------------------------------------

Prevent Search

<IfModule mod_rewrite.c>
RewriteEngine On
RewriteBase /
RewriteRule ^index\.php$ - [L]
RewriteCond %{QUERY_STRING} s= [NC]
RewriteRule ^ - [F,L]
</IfModule>

-----------------------------------------------
Force HTTPs for admin, disallow file edit
--------------------------------------------------

define('FORCE_SSL_ADMIN', true);
define( 'DISALLOW_FILE_EDIT', true )

---------------------------------------------------------------------------
Disable wp cron.php access, htaccess and set permissions of htaccess to 600
---------------------------------------------------------------------------


<Files wp-cron.php>
    Order Allow,Deny
    Deny from all
</Files>

<Files ~ "^\.ht">
    Require all denied
</Files>

--------------------------------------------------------------------------
protect wp-admin directory (htaccess in wp-admin directory)
--------------------------------------------------------------------------

<RequireAll>
    Require ip χχχχχχχ/16
    Require ip χχχχχχχχχχ/16
    Require all denied
</RequireAll>

---------------------------------------------------------------------------
disable php scripts in wp-content/upload folders and all others
---------------------------------------------------------------------------
 <FilesMatch "\.(php|html|htm)$">
    Order Allow,Deny
    Deny from all
</FilesMatch>

Options -ExecCGI
AddHandler cgi-script .php .pl .py .jsp .asp


and this in main .htaccess
<FilesMatch "^wp-content/uploads/.*$">
    ForceType application/octet-stream
</FilesMatch>


---------------------------------------------------------------------------------
---------------------------------------------------------------------------------
----------------------------------------------------------------------------------
php ini editor
---------------------------------------------------------------------------------
----------------------------------------------------------------------------------
----------------------------------------------------------------------------------

espose_php Off
allow_url_fopen off
session.cookie_secure on
session.cookie_httponly on
display_errors = Off

κάποιο από τα παρακάτω όταν τα απενεργοποίησα δεν μου επέτρεπε να συνδεθώ απλα δεν εχω προλάβει να κανω δοκιμές ακόμη πιο μπορεί να φταίει.

exec,system,passthru,shell_exec,proc_close,proc_open,dl,popen,show_source,
posix_kill,posix_mkfifo,posix_getpwuid,posix_setpgid,posix_setsid,posix_setuid,
posix_setgid,posix_seteuid,posix_setegid,posix_uname,pcntl_exec,expect_popen, 

mysql_list_dbs, ini_alter, dl, symlink, link, chgrp
leak, popen, apache_child_terminate, virtual, mb_send_mail


currently active (αυτά είναι ενεργά την τρέχουσα στιγμή)
eexec,system,passthru,shell_exec,proc_close,proc_open,dl,popen,show_source, posix_kill,posix_mkfifo,posix_getpwuid,posix_setpgid,posix_setsid,posix_setuid, posix_setgid,posix_seteuid,posix_setegid,posix_uname,pcntl_exec,expect_popen

 

 

Λειπουν πολλά ακόμα.

Αλλαγή του wp-config.php σε αλλο ονομα  Αποτροπή πρόσβασης στο wp-config.php

προστασια απο επιθέσεις xss sql ktl Απαγόρευση ανέβασμας εκτελέσιμων αρχείων 

αλλαγή του wp-admin wp-login.php εισοδος μονο απο συγκεκριμενες ip. προστασια απο bruteforce προστασια με .htaccess .htpassword

Διαφορετικό display name apo login name δηλαδή να είσαι ο χρήστης geobalc αλλα να συνδεεσαι με ενα ξεχωριστο αλλο ονομα πχ. giannis με το οποιο δεν θα φαινεται πουθενα ουτε στη βαση δεδομενων και δεν θα μπορει να βρεθεί.

συνδεση χωρις email 

φτιαξε σωστα τα HTTP headers

μπλοκαρε ολα τα scanner agents WPScan, nikto sql map etc

αλλαξε ονομα στον φακελο wp-content/plugins 

κρυψε ολα τα plugins

αλλαξε το ονομα του theme που χρησιμοποιεις

Κρυψε την εκδοση wordpress που τρεχεις απο καθε πιθανο σημειο

ελεγξε τον κωδικα της σελιδας για τα σχολια που αφηνουν τα plugins και τα διαγραφεις ολα πχ <!--.Yoast SEO

κανε Αφαίρεση του meta tag generator παλι απο τον κωδικα της σελιδας απο τα plugin για να μην φαινεται τι χρησιμοποιειες και ποιες εκδοσεις

χρησιμοποιησε ολα λιγοτερα plugin μπορεις.

απενεργοποιησε προσβαση σε /author η κανε αυτοματο redirect 

και παραααα πολλα ακομα!!

 

  • Like 2
geobalc Newbie

geobalc

Δημοσ.
  • Μέλος
Δημοσ.
13 ώρες πριν, sylvester30 είπε

 

Διαφορετικό display name apo login name δηλαδή να είσαι ο χρήστης geobalc αλλα να συνδεεσαι με ενα ξεχωριστο αλλο ονομα πχ. giannis με το οποιο δεν θα φαινεται πουθενα ουτε στη βαση δεδομενων και δεν θα μπορει να βρεθεί.

 

 

το έντονο πως ακριβώς μπορεί να γίνει? το edit author slug plugin δεν αρκεί προφανώς μάλλον;

sylvester30 Newbie

sylvester30

Δημοσ.
Δημοσ.
11 ώρες πριν, geobalc είπε

το έντονο πως ακριβώς μπορεί να γίνει? το edit author slug plugin δεν αρκεί προφανώς μάλλον;

με καθε επιφυλαξη. βαλε στο functions.php

Δηλαδή ο χρήστης Giannis συνδεεται σαν sylvester. κρατα backup

  

function login_with_alias_only($user, $username, $password) {
    $alias_map = [
        'sylvester' => 'Giannis',
    ];

    if (!isset($alias_map[$username])) {
        return new WP_Error('invalid_login', __('Σφάλμα σύνδεσης.'));
    }

    $real_username = $alias_map[$username];
    return wp_authenticate_username_password(null, $real_username, $password);
}
add_filter('authenticate', 'login_with_alias_only', 30, 3);


κατι παραπανω 

add_filter('authenticate', 'hardened_login_with_alias_only', 20, 3);

function hardened_login_with_alias_only($user, $username, $password) {
    // login
    $username = sanitize_text_field(trim($username));
    $password = trim($password);

    // extra protection
    if (preg_match('/[<>;"\'`|%$\\\]/', $username) || strlen($username) > 50) {
        return new WP_Error('invalid_username', __('Σφάλμα σύνδεσης.'));
    }

    // Alias map (μόνο από εδώ γίνεται login)
    $alias_map = [
        'sylvester' => 'Giannis',
    ];

    // Μην αποκαλύπτεις αν υπάρχει ή όχι
    $real_username = $alias_map[$username] ?? null;

    if (!$real_username || strtolower($username) === strtolower($real_username)) {
        sleep(2); // Μικρή καθυστέρηση για bots
        return new WP_Error('invalid_login', __('Σφάλμα σύνδεσης.'));
    }

    // Επαλήθευση με τον πραγματικό χρήστη
    $authenticated_user = wp_authenticate_username_password(null, $real_username, $password);

    if (is_wp_error($authenticated_user)) {
        sleep(2);
        return new WP_Error('invalid_login', __('Σφάλμα σύνδεσης.'));
    }

    return $authenticated_user;
}

 

  • Like 1

Δημιουργήστε ένα λογαριασμό ή συνδεθείτε για να σχολιάσετε

Πρέπει να είστε μέλος για να αφήσετε σχόλιο

Δημιουργία λογαριασμού

Εγγραφείτε με νέο λογαριασμό στην κοινότητα μας. Είναι πανεύκολο!

Δημιουργία νέου λογαριασμού

Σύνδεση

Έχετε ήδη λογαριασμό; Συνδεθείτε εδώ.

Συνδεθείτε τώρα
 Share
Προς την λίστα θεμάτων
  • Δημιουργία νέου...