Forum Debian Users Gang

No z tym skanem dowodu to faktycznie coś polecieli.

A te hostingi www odpadają? Tylko VPS mi zostaje, by się bawić tak jak chcę? xD

Tak sobie porównuję te oferty i wychodzi jednak, że ten VPS OVH jest o wiele tańszy. Jeszcze sobie rzuce okiem na HOME.

Ostatnio edytowany przez morfik (2016-07-18 18:26:07)

Ja chyba jednak wezmę ten VPS z OVH -- jest 2x tańszy i 2x lepszy gabarytowo w porównaniu do tych pozostałych. xD

[quote=morfik]Ja chyba jednak wezmę ten VPS z OVH — jest 2x tańszy i 2x lepszy gabarytowo w porównaniu do tych pozostałych. xD[/quote]
Dostęp do roota daje duże możliwości konfiguracyjne wpływające na bezpieczeństwo.

Np serwer (publiczny) www - polecam Nginxa, i interpreter PHP mogą mieć zablokowany zapis w folderach ze skryptami PHP,
(różni użyszkodnicy systemowi), do tego user do bazy od strony publicznej tylko SELECT w bazie, (ewentualnie zapis tylko w tabeli wp_post. i brak dostępu do tabeli wp_users), a backend administracyjny schowany za certyfikatem PKCS#12 na np Lighttpd - który miałby dostęp do zapisu w całej bazie i w skryptach - do aktualizacji i administracji.

W ten sposób ~95%  dziur w WP będziesz miał z głowy.

Przykładowy wp-config z opcją różnych userów do bazy (z różnymi uprawnieniami):

<?php

if (strstr($_SERVER["HTTP_HOST"], 'wpadmin.example.tld')) {
    if(strstr($_SERVER["SERVER_ADDR"], '127.0.0.1')) {


        define('DB_NAME', 'wordpress4');
        define('DB_USER', 'wordpress4admin');
        define('DB_PASSWORD', 'bardzostrasznehasełko');
        define('DB_HOST', 'localhost:/var/run/mysqld/mysqld.sock');
        define('FS_METHOD', 'direct');
        define('DB_CHARSET', 'utf8');
        define('DB_COLLATE', '');
    
  }    
}
elseif (strstr($_SERVER["SSL_CLIENT_VERIFY"], 'SUCCES')) {
    if(strstr($_SERVER["SSL_CLIENT_COMMONNAME"], 'EXAMPLE')) {

        define('DB_NAME', 'wordpress4');
        define('DB_USER', 'wordpress4admin');
        define('DB_PASSWORD', 'bardzostrasznehasełko');
        define('DB_HOST', 'localhost:/var/run/mysqld/mysqld.sock');
        define('FS_METHOD', 'direct');
        define('DB_CHARSET', 'utf8');
        define('DB_COLLATE', '');
    }
}


else
{    
         define('DB_NAME', 'wordpress4');
        define('DB_USER', 'wordpress4');
        define('DB_PASSWORD', 'innebardzostrasznehasełko');
        define('DB_HOST', 'localhost:/var/run/mysqld/mysqld.sock');
        define('FS_METHOD', 'direct');
        define('DB_CHARSET', 'utf8');
        define('DB_COLLATE', '');
}

User wordpress4 ma minimalne konieczne uprawnienia w bazie.

Przykłąd zawiera 2 userów i 3 przypadki, publiczny, zapis w bazie dla zwykłej adminki - wpisy, komentarze, i proxy na drugi serwer, który ma prawo zapisu w skryptach - aktualizacja, itp.
Do tego trzeba tylko taki drobiazg:

define( 'WP_CONTENT_URL', 'https://blog.example.tld/wp-content' );
define( 'UPLOADS', 'media/' );

Bo inaczej po dodaniu obrazka przez backend administracyjny będzie ten obrazek też schowany za certem PKCS#12, czyli niedostępny dla publiczności.

Uprawnieniami chmod na dwóch userów systemowych to chyba sobie poradzisz, mam taką skromną nadzieję. :D


Pozdro

Wp-cli znam i używam, ale to narzędzie jest bardzo odległe od doskonałości.

Jak miałem wg przepisu postu #8 ustawioną bazę z obciętymi upranwieniami, to wp-cli  usilinie brał użyszkodnika bazy takiego jak strona publiczna, i się wywalał z powodu braku zapisu do bazy,

Nie udało mi się tak przerobić konfigu, żeby wp-cli brał użyskodnika administracyjnego, albo żeby mu parametry do bazy podrzucić przez zmienną albo plik konfiguracyjny.

WP i wtyczki  zawsze miewają tyle podatności typu SQL-cośtam, że bezpieczeństwo bazy jest dla mnie ważniejsze niż ten skrypt.

Pozdro

swoją drogą linux mint miał już drugie włamanie w tym roku
przez dziury w wordpresie.

[quote=morfik]Ci z wp-cli nakierowali mnie jak przekazać ich narzędziu inne dane do bazy. Ostatecznie wyszło mi coś takiego:

if ( defined( 'WP_CLI' ) && WP_CLI ) {
    define('DB_USER', 'wp1');
    define('DB_PASSWORD', 'pass1');
} elseif (strstr($_SERVER["SSL_CLIENT_VERIFY"], 'SUCCES')) {
        if (strstr($_SERVER["SSL_CLIENT_COMMONNAME"], 'morfik')) {
        define('DB_USER', 'wp2');
        define('DB_PASSWORD', 'pass2');
    }
} else {
    define('DB_USER', 'wp3');
    define('DB_PASSWORD', 'pass3');
}

W skrócie 3 różnych użytkowników z różnymi prawami. Pierwszy ma najszersze i odnosi się do wp-cli. Później jest konto autora na blogu, które ma prawa do zapisu określonych tabel, no i na końcu jest zwykły user, który ma jedynie select. Także chyba to wystarczy. xD[/quote]
To spróbuję, może się przyda i u mnie.

Na wszelki wypadek dzięki z góry. ;)

Ostatnio edytowany przez Jacekalex (2016-07-20 18:40:50)

[quote=morfik]Ja właśnie skończyłem testować u siebie i działa, tylko trzeba było nieco rozszerzyć uprawnienia dla tego ostatniego użytkownika, bo widać chce: SELECT,INSERT,UPDATE,DELETE na wp_options i wp_postmeta . Dałem mu i póki co nie widzę, by coś tam w logu było zwracane odnośnie problemów z uprawnieniami. xD[/quote]
Która wersja Wordpressa, 4.4.2 czy 4.5.3?

Pytam, bo mam tu pod ręką Wp 4.4 z Woocommerce - ten ma zupełnie inną strukturę bazy, ale przy standardowym 4.4 zapis na publicznym potrzebny był tylko do komentarzy, wp-options sobie nie przypominam.

W weekend pobawię się 4.5.3.

Mam już domenę i VPSa, z OVH wszystko. Nie było żadnych problemów i pytań o dowody i inne takie. Nikt się ze mną nawet w ogóle nie kontaktował. Włączyli wszystko przed chwilą. Teraz tylko się wgrać tam. xD