N-am implementat foarte des wp, dar cand o fac, am grija sa folosesc minimul de pluginuri, fac tema custom, il tin updatat la zi.
Chestia e ca sunt ATATEA exploituri incat si daca il tii curat si la zi, de unele chestii tot n-ai cum sa te feresti.
Spre exemplu ieri in wp-ul unui client au inceput sa dea unii cu un brute force de pe o suita de masini. Toate requesturile mergeau in xmlrpc, pentru ca ala a fost vulnerabil pe la 3.6 sau ceva. Wp-ul fiind la zi, nu s-a intamplat mare damage, dar mizeria asta il putea scoate offline ca un dos attack daca avea un server mai slab.
Si instalarea saraca n-avea nici o vina. In conditiile astea mie-mi vine greu sa-l mai recomand, ca-mi fac de treaba.
Nu cred că pui problema corect. Orice sistem, în orice limbaj, este vulnerabil atacurilor dos.
Cât despre cât de sigur e wp: am avut probleme de două ori, de fiecare dată din cauza hostului. Și am tot prestat la site-uri de la sute de unici/zi la zeci de mii de unici/zi.
True, dar ce zice si @AdrianBasalic si ce am observat si eu de ceva vreme este ca WP este supus mult mai des atacurilor decat alte sisteme.
Am doua siteuri pe WP care sunt atacate zilnic de vreo 2 saptamani de IP-uri de China si Ucraina. Primesc o ploaie de emailuri de la pluginurile de securitate prin care ma anunta ca au banat un IP.
Insa intrebarea lui Adrian este una pe care mi-am pus-o si eu acum cateva zile si sunt in cautarea unei alternative pentru a limita incarcarea serverului cu atatea atacuri brute force.
Desigur am avut si o mica problema cu InfiniteWP, unde clientul lor a avut un bug ceva si era exploatat.
Daca chiar vrei ceva mai secure, poti incerca chestii gen WordFence, nu mi-am batut capul cu el, dar am auzit ca e bun, sunt adeptul a minimului de pluginuri.
Oricum, prefer un WordPress decat ceva manual, comoditate si daca cineva vrea ceva, mai mult ca sigur exista un plugin pentru probema.
PS: singura problema momentan este ca ăstia care fac pluginuri/teme si le vand pe evanto, nu stau sa integreze si un update automat chiar daca solutii sunt.
Mie nu mi se pare secure pentru ca si acum se poate face brute force pe wp-admin.
Think about it, userul admin e folosit cel mai des, si chiar daca nu e, se poate afla foarte usor daca studiezi putin structura URL-urilor pentru authors.
Eu am coborât drepturile utilizatorului admin la publisher (adică cel mai mic nivel ce permite publicarea de articole). Asta pe blogurile vechi, ce aveau deja articole publicate ca admin.
Pe blogurile noi, utilizatorul admin nici măcar nu există.
În ambele situații, administratorul are un user imposibil de ghicit, gen aksuiw9238737502j2k474. Plus parolă de minimum 15 chars cu simboluri, numere și majuscule. Plus un plugin ce limitează încercările de autentificare (și dacă nu reușești să intri din trei încercări trebuie să stai pe tușă 30 minute)
Am gasit de-a lungul timpului o combinatie de pluginuri si tricks care protejeaza Wordpress.
Administrez sau tin sub observatie undeva la ±50 de instalatii Wordpress.
Folosesc urmatoarele :
OSE Firewall - pentru firewalling - proiect recent redenumit Centrora (daca tin bine minte)
Better WP Security - set de recomandari pentru a rezolva unele vulnerabilitati core din Wordpress sau din mediul in care ruleaza
Wordfence - scanarea fisierelor din instalatia Wordpress
Automatic Updates - se intelege de la sine
On a personal note, Wordpress este vulnerabil doar daca nu este actualizat si “pus la punct” odata pe luna.
Orice CMS este vulnerabil, mai ales daca este folosit de peste 30-40% din creatorii de siteuri simple, “de prezentare”.
P.S. Am sa editez post-ul dupa ce fac un review la instalatii si fac o lista completa cu pluginurile sau fix-urile.