Securizarea unui site WordPress

wordpress logo

Scop

WordPress reprezintă o platformă de gestionare a conținutului perfectă pentru un blog personal, un site de prezentare corporativ, portal informativ, magazin online, rețea socială, forum sau chiar scopuri mai complexe.

E un lucru foarte neplăcut cînd site-ul pe care îl aveți este spart și, în loc de interfața cunoscută, vă apare o muzică stranie cu inscripții deocheate gen „Hacked by #Bangladeshi Hacker”, iar urmările pot fi foarte triste – de la pierdere de timp, pînă la pierderea irecuperabilă a site-ului. Același rezultat îl pot avea și alte cauze: ștergerea sau modificarea datelor de către utilizator, defecțiunea serverului de găzduire, ne-prelungirea la timp a serviciul de găzduire și ștergerea lui automată, erori în timpul actualizării sistemului de administrare a conținutului (CMS) sau a modulelor, etc.

Pentru a preveni sau a minimaliza daunele cauzate de aceste și alte probleme, este nevoie DIN TIMP de a lua anumite măsuri de securitate. Să le analizăm pe rînd.

Chestiuni preliminare

Înainte de a lansa un site, trebuie să decideți unde va fi găzduit. Când veți alege un provider, atrageți atenția la mai multe aspecte:

  • reputația prestatorului de servicii;
  •  de cît timp activează;
  • dacă are servere proprii sau este doar un reseller;
  • modul de oferire a asistenței tehnice și monitorizarea serverelor;
  • disponibilitatea serviciilor adiționale și a setărilor personalizate pentru găzduire;
  • limitele de utilizare a resurselor și posibilitățile de mărire a pachetului de găzduire (în caz că site-ul dumneavoastră va cunoaște o creștere vertiginoasă a popularității);
  • locația serverului (dacă site-ul dumneavoastră se adresează publicului din Republica Moldova, ar fi indicat ca și găzduirea să fie în Moldova sau într-o țară de aproape – România, Germania); etc.
  • condițiile legale de prestare a serviciilor;

Un provider mare, în majoritatea cazurilor, are sistemul complet automatizat, multiple posibilități de plată. Un provider mic va fi mult mai flexibil și mai mult orientat spre client, dacă prestatorul este un antreprenor individual – aveți posibilitatea de a comunica direct cu persoana responsabilă.

Relația cu cel care va elabora site-ul dumneavoastră este și ea foarte importantă. Înainte de a începe orice lucrări, trebuie să vă înțelegi asupra sarcinilor ce urmează a fi realizate, cît va costa, cît timp va dura și ce va include elaborarea, cum veți realiza schimbările ulterioare (erori apărute sau modificări în principiul de lucru) și cît vor costa. În caz că persoana sau compania ce vă construiește site-ul nu va asigura întreținerea lui ulterioară, identificați o persoana căreia aceștia îi vor explica modul de lucru, de adăugare a materialelor și alte funcționalități ale site-ului.

Dacă cunoștințele dumneavoastră nu sînt suficiente pentru a gestiona un site WordPress, găsiți un specialist. Acesta va putea să vă ajute atunci cînd veți avea nevoie și va putea asigura actualizarea sistemului.

Măsuri de securitate

Pentru a minimaliza pericolele ce țin de funcționarea site-ului, este nevoie să luați în calcul anumite măsuri de securitate:

– asigurați-vă că providerul efectuează copii de rezervă în regim automat, le stochează în diferite locații, aflați cît timp sînt păstrate și în ce mod se poate face restabilirea;
– dacă nu sînteți sigur de gestionarea copiilor de rezervă de către prestator, sau în cazul cînd serviciul nu presupune copiere de rezervă – efectuați dumneavoastră periodic copii de rezervă;
– înainte de a face careva modificări în site (modificare de conținut, actualizări ale motorului și a modulelor adiționale) – faceți o copie de rezervă;
– folosiți o parolă complexă (minim 8 caractere, litere mari și mici, cifre și caractere speciale, evitați cuvintele de dicționar) pe care să o schimbați periodic;
– nu folosiți în calitate de nume de utilizator numele domeniului. Schimbați ID-ul utilizatorului în altul decît 1 ( se poate face cu ajutorul modului iThemes Security, care anterior se numea Better WP Security);
– setați pentru toate mapele drepturile de acces 755 și pentru fișiere 644 (prin FTP sau SSH);
– folosiți un modul pentru a ascunde adresa de autentificare în panoul de administrare (iThemes Security);
– setați blocarea automată după IP, pentru încercările de autentificare eșuate (iThemes Security);
– țineți actualizările sistemului și a modulelor la zi;
– nu folosiți module nesigure sau învechite;
– ștergeți modulele și temele care nu le folosiți;
– activați autentificarea în panoul de control doar prin HTTPS (dacă configurările serverului permit, redirecționare .htaccess sau iThemes Security);
– permiteți autentificarea în panoul de control doar de la anumite adrese IP – dacă nu e o piedică pentru activitatea site-ului (de acasă, de la serviciu, din alte locații sigure) și dacă providerul de internet vă oferă o adresă IP statică (.htaccess sau iThemes Security);
– modificați adresa de autentificare în panoul de control (iThemes Security), în loc de wp-admin și wp-login.php setați o adresă personală;
-monitorizați încercările de autentificare eșuate (iThemes Security) și blocați-le (WordPress Fail2ban, necesită setăți la nivel de sistem);
– monitorizați erorile 404;
– dacă panoul de administrare a găzduirii oferit de prestator vă permite, verificați periodic erorile care le generează web-serverul (apache, nginx) sau limbajul scripturilor (php, perl), cantitatea de trafic care o generează site-ul și încărcătura asupra serverului fizic;
– folosiți un serviciu de monitorizare a disponibilității serverului, de exemplu http://host-tracker.com/.

Ultima redactare: 24 noiembrie 2015.

Despre rețea, internet și Internet

Un articol despre principiile de funționare, topologii, tipuri și exemple de rețele, despre ce este o adresă IP și de care adrese există, despre schimbul de date și organizarea unei rețele.

internet rețea

Articolul precedent din această serie: Despre calculator.

Principii generale

În timpurile de demult, înainte de a deveni „personal”, calculatorul era un sistem de dimensiuni enorme, încît putea ocupa o clădire cu două etaje, implicînd un număr considerabil de specialiști ce asigurau întreținerea mașinăriei. Pe atunci au apărut conceptul și noțiunile de „server” – calculator performant cu ajutorul căruia se procesează un volum mare de date și „client” – calculator cu performanță redusă, care asigură conexiunea spre un server. Cu timpul această relație „client-server” a suferit modificări, astfel încît un anumit calculator poate fi și server (dacă alte calculatoare folosesc resursele și datele lui) și client în același timp (dacă el folosește resursele și datele altui calculator din rețea), însă ca noțiune rămîne valabilă și astăzi, mai ales în cazul conceptualizării interacțiunii calculatoarelor în rețea.

Prelucrarea datelor pentru a fi transmise în rețea între două noduri (dispozitive din rețea) are loc în mai multe trepte, la fiecare etapă fiind aplicate anumiți algoritmi de împărțire a datelor în entități mai mici, astfel încît la final să ajungă a fi impulsuri electrice, optice sau electromagnetice. Acest model ierarhic de comunicare a fost standardizat, fiind numit modelul ISO-OSI. Dispozitivul fizic atașat sau integrat unui calculator care permite conectarea la o rețea este un modem (GSM, DialUP) sau o placă de rețea (Network Interface Card).

Cea mai răspîndită tehnologie de interconectare a calculatoarelor la moment este Ethernet, care își trage originea încă din 1973, suferind ulterior multiple îmbunătățiri, încît de la viteza inițială de 3 Mb/s să ajungă pînă la 100 Gb/s în curent și nu se oprește aici, în următorii ani va fi depășită viteză de 1Tb/s! Avantajul acestei tehnologii constă în posibilitatea de a opera independent de mediul fizic în care sînt transmise semnalele (cablu telefonic, cablu coaxial, cablu torsadat, fibră optică, unde electromagnetice), principiul simplu și eficient de interconectare a nodurilor în rețea (fiecare nod în rețea primește o adresă MAC unică, orice pachet de date transmis conține informație despre sursă și destinație), scalabilitatea (indiferent de viteza de operare a unei porțiuni a rețelei, schimbul de date se realizează prin același mecanism).

Mai multe calculatoare interconectate formează o rețea de calculatoare. Adresele MAC sînt valide doar în interiorul unei singure rețele. Pentru a conecta două sau mai multe rețele a fost implementat protocolul IP (există și alte protocoale mai puțin răspîndite și avînd aplicabilitate specifică), acesta prevede cîte o  adresă IP unică pentru fiecare nod într-o rețea, cel puțin un nod pentru interacțiunea cu alte rețele legate și o mască de rețea pentru a putea împărți o rețea fizică în mai multe rețele logice.

Pentru a construi o rețea izolată este suficient un dispozitiv de comunicare numit comutator de rețea (network switch). Pentru a conecta două rețele este necesar un ruter (router). Deseori un ruter are incorporat și un switch, permițînd a folosi un sigur dispozitiv pentru ambele funcții (interacțiune în rețea, interacțiunea între rețele). La configurarea unui nod în rețea se indică obligatoriu adresa ruterului, care va fi folosită pentru a comunica cu dispozitive din afara rețelei (Poartă implicită, Default Gateway). Ruterul cel mai des implică capacitatea de a securiza conectarea între rețele (Paravan de protecție, Firewall).

Tipuri de rețele

Topologia care definește o rețea de calculatoare poate fi diversă, în dependență de numărul de noduri și distribuția lor. Istoric au existat topologii standarde pentru rețele locale (magistrală, inel, stea), rețele mari reprezintă o topologie mixtă.

În dependență de aria de acoperire, rețelele se împart în mai multe tipuri:

  • Rețea personală (PAN, Personal Area Network) – o rețea în raza a cîțiva metri, formată din dispozitive proprii unei persoane (telefon mobil, scanner, imprimantă, etc) conectate la un calculator; conexiunea se bazează pe fire, bluetooth, infraroșu, etc;
  • Rețea locală (LAN, Local Area Network) – o rețea constituită în raza unui apartament, oficiu sau bloc, formată dintr-un număr mic de calculatoare; o rețea locală fără fir se numește WLAN (Wireless LAN); conexiunea se bazează pe cablu torsadat sau Wi-Fi;
  • Rețea metropolitană (MAN, Metropolitan Area Network) – o rețea extinsă, la nivel de cartier sau oraș; conexiunea se bazează pe cablu optic, cablu telefonic, cablu coaxial, tehnologii CDMA, GSM, WiMax;
  • Rețea de arie largă (WAN, Wide Area Network) – o rețea cu o întindere mare, la nivel de regiune,țară sau continent; conexiunea se bazează pe cabluri optice cu capacitate de transfer înaltă;
  • Rețea globală (GAN, Global Area Network) – rețeaua globală.

Legătura dintre cîteva rețele locale se numește internetwork sau pe scurt internet (se scrie cel mai des cu minusculă). Rețeaua globală poartă numele de Internet (se scrie cel mai des cu majusculă).

În dependență de numărul și specificul destinațiilor, se disting mai multe raporturi de legătură:

  • Unicast – un singur destinatar concret (pentru conexiuni ce presupun un singur traseu posibil);
  • Anycast – un singur destinatar oarecare(pentru conexiuni ce presupun mai multe trasee posibile);
  • Multicast – mai mulți destinatari;
  • Broadcast – toate nodurile din rețea sînt destinatari;
  • Geocast – destinatarii reprezintă o arie geografică.

Așa cum o rețea locală presupune ca toate calculatoarele să aibă adrese IP unice, la fel și rețeaua Internet presupune ca toate nodurile conectate direct să aibă adrese unice. La nivel global, responsabilă de gestiunea domeniilor de adrese IP este compania IANA (The Internet Assigned Numbers Authority), supusă companiei private americane ICANN (The Internet Corporation for Assigned Names and Numbers). Deci juridic Internetul este gestionat de o companie privată, aflată sub jurisdicția SUA.

La nivel de țară, există mai mulți Furnizori de servicii Internet (ISP, Internet Service Provider) care obțin în gestiune domenii de adrese IP, pe care le folosesc ulterior pentru propria infrastructură și pentru a fi alocate clienților ce beneficiază de serviciile lor.

Implementare

În prezent sînt în uz două standarde pentru adresele IP: versiunea 4 (IPv4) și versiunea 6 (IPv6).

În cazul IPv4, o adresă este formată din patru numere cu valoare între 0 și 255 (primul număr între 1 și 255) despărțite prin puncte. Masca de rețea (uneori i se mai spune și mască de subrețea) definește porțiunile care sînt rezervate pentru definirea rețelei și porțiunea pentru noduri. Într-o rețea locală cel mai des se folosește masca de 24 de biți (primele 3 numere rezervate pentru rețea, ultimul număr rezervat pentru noduri) ce are forma: 255.255.255.0, de exemplu pentru rețeaua 192.168.0.0/24 cu masca 255.255.255.0 porțiunea 192.168.0 este fixă și se numește rețea, iar ultima cifră este diferită pentru toate dispozitive de rețea, numite noduri, ea variază de la 0 la 255. Într-o rețea, prima și ultima adresă IP sînt rezervate pentru sistem, 192.168.0.0 și 192.168.0.255 în cazul dat, deci într-o rețea de 24 de biți pot opera pînă la 254 de noduri.

Există mai multe rețele de adrese IP rezervate pentru diferite scopuri. Domeniile de adrese 10.0.0.0 – 10.255.255.255 (10.0.0.0/8), 172.16.0.0 – 172.31.255.255 (172.16.0.0/12), 192.168.0.0 – 192.168.255.255 (192.168.0.0./16) și 169.254.0.0 – 169.254.255.255 (169.254.0.0/16) sînt rezervate, pot fi folosite în cazul LAN și nu pot fi folosite pentru noduri conectate la internet. Domeniul de adrese 127.0.0.0/8 (adrese valide între 127.0.0.1 și 127.255.255.254) este folosit pentru funcționalitățile interne ale calculatorului (localhost). Rețeaua 224.0.0.0/4 este folosită pentru gestionarea infrastructurii Internetului.

Mai există un domeniu de adrese rezervate: 240.0.0.0/4 care are o istorie interesantă. Aceste adrese IP (248 de milioane de adrese unice!) au fost rezervare în zorii adoptării IPv4 pentru „Utilizare în viitor”. La moment este un deficit mare de adrese IPv4 și ar fi cazul să fie atribuite și aceste adrese, dar aproape toate dispozitivele de rețea au fost programate să nu accepte adresele din acest interval drept valide, astfel pentru a fi funcționale, ar fi necesar un efort enorm al tuturor producătorilor și posesorilor de dispozitive ca să rescrie și să implementeze „permisiunea” de a folosi aceste adrese pe toate dispozitivele vechi și noi, ceea ce este practic imposibil.

Pentru a depăși această limită de puțin peste 4 miliarde adrese IPv4 unice în rețeaua Internet, încă din 1996 a fost elaborat standardul IPv6, care oferă 1015 (340 miliarde de miliarde de miliarde de miliarde!) adrese IPv6 unice.

Acest standard presupune flexibilitate și securitate mult mai înalte decît standardul precedent. În IPv6 adresa IP cel mai des este reprezentată ca 8 grupuri de cîte 4 cifre hexazecimale (de exemplu: 2001:0db8:85a3:08d3:1319:8a2e:0370:7334). Spre deosebire de IPv4, în IPv6 reprezentarea poate avea lungime variabilă, datorită faptului că grupurile ce sînt formate din patru zerouri pot fi omise (omiterea se face o singură dată), astfel 2001::2001, 2001:0000::0000:0000:0000:2001 și 2001:0000:0000:0000:0000:0000:0000:2001 reprezintă aceeași adresă.

Aplicație practică

Haideți să analizăm și cîteva exemple practice.

Rețea locală izolată (fără conexiune la alte rețele).

Cel mai ușor mod de conectare a două sau mai multe calculatoare constă în a folosi un comutator de rețea. În acest caz toate calculatoarele se vor conecta la comutator prin cabluri torsadate. Fiecărui calculator îi vor fi setate adrese IP diferite, dar din aceeași rețea, masca de rețea va fi identică pentru toate calculatoarele, implicit 255.255.255.0. De exemplu, pentru rețeaua 192.168.0.0/24, primul calculator va avea adresa 192.168.0.1, al doilea 192.168.0.2, al treilea 192.168.0.3, etc. În asemenea caz interacțiunea dintre oarecare două calculatoare din rețea depinde doar de aceste calculatoare, comutator și cablaj, alte calculatoare din rețea nefiind implicate în schimbul de date.

Două sau mai multe calculatoare pot fi conectate și fără un comutator, în acest mod unul sau mai multe calculatoare din rețea vor rolul de punte pentru calculatoare (regimul punte presupune că un calculator are două sau mai multe interfețe de rețea, conectate la nivel de program astfel încît sînt percepute de sistem ca o singură interfață și avînd o singură adresă IP). Acest mod de conectare face ca schimbul de date între două calculatoare să depinde de toate calculatoarele intermediare.

Rețea locală cu acces la altă rețea sau Internet.

În acest caz, pe lîngă rețeaua descrisă anterior, mai este nevoie de un ruter (sau ca unul din calculatoare să îndeplinească această funcție) pentru comunicarea în afara rețelei. La toate calculatoarele din această rețea va fi nevoie de a seta Poarta implicită (adresa IP a ruterului). Pentru comoditate practică, cel mai des ruterului i se atribuie prima sau ultima adresă validă din rețeaua dată (în cazul nostru ar fi 192.168.0.1 sau 192.168.0.254).

În următorul articol din această serie voi scrie despre Rețeaua WWW.