WordPress

DomPDF lisaosa ja 500 Error

Eelmise nädala lõpus toimus automaatne süsteemiuuendus, kus sai turvapaigad/uuendused ka libxml. Selle nädala algusest on osad kliendid meid teavitanud, et DomPDF lisaosa ei suuda enam normaalselt PDF faile genereerida vaid annab enamus juhtudel veateate “500 – Server Error”. Serveri veaga siinkohal tegemist siiski ei ole vaid tegemist on DomPDF enda funktsionaalsuse tõrkega. Selle kohta on […]

Summer-of-Pwnage ehk hea näide selle kohta, miks peaks sisuhaldusi uuendama

Summer of Pwnage (ehk S0P) – on nö. vabakutseliste turvaekspertide ja häkkerite “rahvaüritus” (nende oma sõnutsi alates algajatest kuni “1337 h2xX0r173N1” välja), mis on korraldatud Hollandi firma Securify poolt. Antud ürituse eesmärk on 30 päevaga leida mittefataalselt vigu WordPress (WP) sisuhalduses ja selle pluginates ning raporterida need vastavate rakenduste autoritele. Ehk tegu on siis 30 […]

Massiline rämpspostirobotite liiklus teie veebilehe tagasisidevormil?

Mida aeg edasi, seda rohkem on näha rämpspostirobotite tõusnud aktiivsust erinevatel veebilehtedel. Viimase paari kuu jooksul on hakatud ründama/spämmima massiliselt vanemate sisuhaldustega või vananenud tagasiside pluginatega veebilehtesid. Statistiliselt oleme enamus katseid (kus ründe käigus saadetakse avatud tagasiside vormi kaudu kuni 5000 e-maili) näinud vanematel Joomla versioonidel (a’la 1.5 jms.) ja erinevatele (ka vanematele) WordPressi pluginatele. […]

WordPressi optimeerimine

Osa kasutajaid on pöördunud meie poole murega, kus juba mõnda aega kasutuses olnud WordPress (WP) install, mida kasutatakse ka e-poena (toimub pidev andmete import/export) või millel vahetatakse tihti pluginaid, on jäänud justkui aeglasemaks või aeglaseks – mida teha edasi?

Suur WordPressi (WP) XSS viga – Uuendage WP lisad!

Aprillis kirjutas Sucuri Security veast, mis võimaldab XSS ründeid WP lehtedele. Kuigi oleme rangelt soovitanud klientidel lubada automaatsed uuendused oma sisuhaldussüsteemidel või uuendada/uurida igapäevaselt oma sisuhaldussüsteeme, leidub endiselt sisuhalduseid, mida ei ole uuendatud õigel ajal. Sucuri security poolne teave ning selgitus antud ründe kohta on välja toodud lehel (inglisekeelne): https://blog.sucuri.net/2015/04/security-advisory-xss-vulnerability-affecting-multiple-wordpress-plugins.html Antud viga hõlmab järgmiseid WP […]

Turvalisuse lisa WP ja Joomla

1. WP 2. Joomla

Captcha ja re-Captcha – kuidas ja miks kasutada

Sobimatu reklaam kodulehe tagasiside vormidest ja späm on olnud olemas peaaegu esimeste tagasisidevormide leiutamisest saadik. Kui vanasti ei olnud nii palju probleeme nendega, siis tänapäeval üritatakse automaatpostitustega pea iga sekund kuskil kedagi “kiusata”. Antud postitus on mõeldud Captcha laadsete turvalisuspluginate põgusaks täiendavaks tutvustuseks. Laialdasem kirjeldus ja info Capthca kohta on leitav http://captcha.net/ (ei uuendata) ja […]

WordPress Lisaturve – Sucuri Security

Sucuri Security poolt on loodud WP täiendavaks turbeks üks tore ja asjalik rakendus: Sucuri Security – Auditing, Malware Scanner and Hardening Antud rakendus on tasuta ning “tavakasutajale” lihtne kasutada. Antud rakendus annab piisavaid turvasoovituse WP täiendava turbe tagamiseks ning suudab neid ka rakendada kui kasutaja seda soovib. Samuti on võimalik määrata teavitused maili teel, kui […]

WordPress (WP) lisaturve ver.2

Viimasel ajal on muutunud aktuaalseks ka WordPress platvormide DDos ja muud ründed. Siia teema alla üritan kokku koguda soovitusi ja nõuandeid täiendavaks turbeks. 1. WP API XML-RPC “ärakasutamine” Viimasel ajal on näha olnud kasvavat trendi WP blogide ärakasutamisega pahalaste poolt, kus WP API XML-RPC funktsionaalsust kasutatakse teiste lehtede DDos rünnakutes. Samuti on selle kohta, peale […]

Kas / Miks minu veebilehed on aeglased?

Osad kliendid on pöördunud meie poole murega et see ja see veebileht on aeglased – kas me saame midagi ette võtta ning kas meie serverid on aeglased või tuleneb see millestki muust. Siinkohal üritan lahti seletada kus,mis ja miks ehk millest oleneb veebilehtede aeglus. 1. Internetiühendusest Olgem ausad – üle mobiilse interneti “Edge/GPRS” (tavaline modemikiirus) […]

Pahavara ja kontode sulgemine

Alates 22.05.2014 hakkab Radicenter täiendavalt sulgema ette teavitamata domeene/veebilehti/kasutajakontosid kasutajatel, kes ei ole reageerinud pahavara teavitustele ja/või kelle lehtedel sisaldub mõni pahavara ohtlikum variant (Pahavara ohtlikkuse üle on õigus otsustada Radicenteril), tagamaks kliendikontode täiendavat turvalisust ning hoidmaks ära võimalikke tulevasi probleeme. Toimingu eesmärgiks on: – Takistada pahavara edasist levikut kasutajakonto piires – Takistada kasutajakonto kasutamist […]

Veebirakendused ja spämmerid

Kuna viimasel ajal on massiliselt hakatud ründama erinevaid veebirakendusi/sisuhalduseid (Joomla, WP, phpBB jne.) on kasutajatel suureks mureks olnud nende turvamine ja spämmeritega võitlemine. Siia teema alla üritan koondada enamus soovitusi kuidas oma veebirakendust turvata. Joomla Joomla kohta leiab lisainfot SIIT WordPress (WP) WordPressi kohta lisainfot SIIT phpBB phpBB vanemate versioonide kui 3.0.5 kohta leiab infot […]

WordPressi (WP) turvalisus/lisaturve

(Updated: 30.11.2014 – Kristjan) Viimasel ajal on paljud kasutajad pöördunud meie poole murega, kuidas oma WP baasil ehitatud kodulehte turvalisemaks muuta. Siinkohal üritan anda müned lihtsad soovitused: WordPress Codexis on selle kohta eraldi artiklid, mis on leitavad SIIT Olen soovitanud kasutada järgmisi plugineid: – Akismet (Spämmi blokeerija kommenteerimisvormidele) – Limit login attempts (Limiteerib valesti sisselogimist) […]

MySQL slow query teade

Osa kasutajaid on küsinud et kui nad kasutavad sisuhaldustarkvara siis miks nad saavad teate nö “aeglaste päringute” kohta. Radicenteri kasutajalepinguga on reglementeeritud kui palju päringuid ning mis aja jooksul ja kaua kestvaid võib olla. 16.03.2014 seisuga tagasiulatuvalt on see säte: Keelatud on: * jooksutada 100 või rohkem üle 3-sekundilist MySQL päringut 24-tunnise perioodi jooksul. Näide: […]

Joomla/WordPress haldusliides (/administrator , /wp-admin/ wp-login.php) küsib kasutajatunnust ja parooli

(NB! Allolev tekst pädeb ainult DirectAdmin serveritel olevate WP ja Joomla CMS installide kohta!) Seoses viimastel aegadel sagenenud rünnakutega sisuhaldustarkvara kasutavate lehekülgede vastu (rünnatakse halduspaneelide logimislehekülgi ja püütakse selle kaudu pääseda sisuhaldusesse), võtsime ennetava abinõuna kasutusele lisa logimisfiltri, mis takistab “robotitel” sisuhalduse parooli lahtimurdmist. Seetõttu küsitakse kasutajalt enne haldusliidese logimislehele pääsemist täiendavat kasutajatunnust ja parooli. […]