Każda strona w Internecie jest narażona na ataki. Dlatego szukając dobrych sposobów na zabezpieczenie swojego bloga, skompilowałem listę kilku najciekawszych porad, które w znacznym stopniu zwiększą bezpieczeństwo świeżo zainstalowanego Wordpressa.

Nie ma powodu dla których można by ignorować bezpieczeństwo Twojego bloga. O ile szansa, że ktoś celowo będzie próbował hackować Twoją stronę, nie jest zbyt duże, to z większym prawdopodobieństwem można spodziewać się wizyty różnych spambotów. Przeczesują one Internet w poszukiwaniu potencjalnych możliwości włamania. W najgorszym przypadku Twój blog może zostać wykorzystany jako farma linków lub jako bramka do wysyłania spamu.

1. Zawsze używaj najnowszej wersji Wordpressa. Z dużym prawdopodobieństwem można stwierdzić, że posiada ona najmniej błędów (przynajmniej wszystkie te, znane z poprzednich wersji były naprawione). O ile to możliwe, dobrze jest aktualizować zarówno silnik jak i zainstalowane wtyczki.
2. Zabezpiecz swój katalog wp-admin. To tam siedzą najwazniejsze pliki w Twoim blogu. Najprościej użyć pliku .htaccess. Możesz to zrobić na kilka sposobów, np. pozwalając na dostęp do tego katalogu tylko dla Twojego adres IP AuthUserFile /dev/null
AuthGroupFile /dev/null
AuthName "Administracja"
AuthType Basic
order deny,allow
deny from all
# dopuść adres z domu
allow from 132.120.168.12
# dodaj mój adresy z pracy
allow from 66.143.114.201
# itd...
   Jak sprawdzić swoje IP? Na przykład tutaj lub tutaj . Takie zabezpieczenie nie zadziała jednak, gdy mamy zmienne adresy IP. Wtedy możesz dodać na przykład zabezpieczenie w postaci hasła:
   AuthName "Administracja"
AuthType Basic
# ścieżka do pliku z hasłem np.
AuthUserFile /home/johny/.htpasswd
Require valid-user
   W pliku .htpasswd powinny się znaleść login i hasło (można wyklikać np. tutaj) w postaci: username:password
3. Jeśli ktoś nie lubi ręcznej zabawy z plikiem .htaccess, można skorzystać z wtyczki AskApache Password Protect. Automatycznie zatroszczy się ona o zabezpieczenia plików i katalogów w Twojej instalacji Wordpressa. Niestety, nie odmawia współpracy z moim obecnym hostingiem. W najbliższych dniach planuję jednak przenieść się na lepszy serwer, więc później napiszę może jeszcze trochę o jej możliwościach.
4. Zabezpiecz Twój katalog z pluginami. Wtyczki do Wordpressa pozwalają rozszerzyć możliwości Twojego bloga. Tworzone przez społeczność skupioną wokół wordpressa mogą przecież zawierać błędy. W WP domyślnie, katalog z wtyczkami jest niezabezpieczony. Potencjalny włamywacz mógłby sprawdzić jakich wtyczek (lub ich wersji) używasz, a następnie wykorzystać znane w nich luki do próby włamania. Nie daj takiej szansy. Wystarczy że do katalogu /wp-content/plugins/ umieścisz pusty plik index.html aby uniemożliwić wyświetlenie zawartości takiego katalogu. Albo możesz użyć pliku .htaccess: Options -Indexes
5. Nie używaj defaultowego loginu: admin. Zmieniając domyślny login, w prosty sposób dodasz kolejne zabezpieczenie. Hakerowi będzie trudniej odkryć (złamać) Twoją kombinacje login/hasło. Jeśli nie zrobiłeś tego na samym początku, nie szkodzi.  Utwórz nowego autora z prawami administratora, a następnie usuń starego przypisując jednocześnie jego rzeczy (posty i linki) do nowego konta.
6. Wtyczka Login Lockdown pozwoli zabezpieczyć Twój login przez atakami brute force. Jeśli zły login/hasło pojawia się zbyt często plugin chwilowo blokuje możliwość logowania.
7. Zmodyfikuj template z nagłówkiem Twojej strony. W sekcji <head> nie musisz wyświetlać wersji Wordpressa, której używasz. Może to potencjalnie dać szansę na wykorzystanie luk bezpieczeństaw występujących w konkretnych wersjach. Ponieważ string z generatorem jest dodawany automatycznie przez Wordpressa, należy w pliku functions.php dla aktualnie używanego szablonu dodać linijkę: remove_action('wp_head', 'wp_generator');
   Jeśli chcesz zostawić informacje o Wordpress możesz ręcznie w nagłówku strony wstaw wiersz <meta name="generator" content="Powered by Wordpress" />
8. Jeśli na swojej stronie kontaktu używasz formularza, to upewnij się że jest dobrze zabezpieczony. Niezabezpieczone formularze do wysyłania poczty stanowią często bramkę do wysylania spamu. Możesz skorzystać z wtyczki Secure Form Mailer, która pomoże stworzyć Ci bezpieczny formularz kontaktu.
9. Na koniec – nigdy do końca nie ufaj zabezpieczeniom. Zrób kopie zapasową Twojej bazy danych. Zainstaluj plugin wp-database-backup i skonfiguruj codzienne backupy Twojej bazy.

W manifeście możemy przeczytać między innymi:

#2 odnośniki w treści wpisów wzbogacają wartość wpisów, dając możliwość rozszerzenia informacji zawartych na blogu i nie powodują odpływu czytelników, wręcz przeciwnie: powodują, że czytelnicy będą na bloga chętniej wracać

Podpisuje się pod tą akcją rękami i nogami. Dużo ciekawiej czyta się posta, gdzie nazwiska są połączone ze stronami (blogami) autorów, gdzie nazwy serwisów prowadzą bezpośrednio do nich. Odnośniki stanowią integralną część sieci – ba, nawet można powiedzieć, że to one ją tworzą. Nie bójmy się więc linkować:

Najpoważniejszym zmianom uległ interfejs użytkownika. Redesign panelu administracyjnego został przeprowadzony przy współpracy ze studiem Happy Cog (studio Jeffreya Zeldmana) i w oparciu o uwagi użytkowników Wordpressa.

Startowy dashboard ma być bardziej przejrzysty, szybszy i dużo prostszy w customizacji. W dashboardzie możemy znaleźć teraz na przykład listę stron, które linkują do naszego bloga, a za pomocą widgetów możemy dostosować praktycznie całą zawartość tej strony (muszę tylko odkryć jeszcze w jaki sposób). Zakładki do zarządzania notkami i komentarzami zyskały nowy wygląd, dodano wyszukiwarkę wpisów oraz możliwość edycji tagów. Poprzedni układ admina był według mnie całkiem w porządku ale zmiany, które teraz wprowadzono są jak najbardziej na plus.

Zmieniono także (dodano?) zarządzanie galeriami multimediów. Teraz upload, dodawanie zdjęć, filmów albo klipów audio ma być łatwiejsze i bardziej intuicyjne. Zobaczymy – ja nie umieszczam jakoś szczególnie wielu plików graficznych, żeby być zainteresowany tymi zmianami i osobiście wolę samodzielnie uploadować sobie obrazek i ręcznie wstawić go do wpisu – ale nie neguje tych zmian. Mam nadzieję, że okażą się pomocne.

Poza tym trochę zmian w źródle: optymalizacja bazy danych, zwiększone bezpieczeństwo haseł i jeszcze kilka innych zmian zaproponowanych przez społeczność Wordpressa. Więcej o zmianach można przeczytać na blogu Wordpressa we wpisie Matta poświęconemu temu wydaniu.

Przy okazji delikatnej przeróbce uległa też główna strona wordpress.org – jest schludna, czytelna i fajnie zrobiona. Bardzo lubię taki styl.

Ogólnie, bardzo mi się podoba ten release. Wprowadza dużo ciekawych zmian i otwiera (w mojej opinii) długą i żmudną drogę do wersji 3.0. A przy okazji tych zmian, ja muszę wreszcie pomyśleć nad dokończeniem kilku detali w moich szablonach.

Techcrunch wspomina o krótkiej dyskusji przeprowadzonej na FoWA w Miami. Kilka znanych osób próbowało w ciągu 40 minut brainstormingu sworzyć idee killer aplikacji. Ostatecznie pomysł stworzył Kevin Rose – sugerując aplikację, która pomoże rozwiązać problem z nadmiarem maili.

Pod nazwą FoWA kryje się konferencja Future of Web Applications, na której poruszane są aktualne trendy i tematy związane z rynkiem aplikacji i serwisów Web2.0. Wielu ciekawych i znanych gości, duże i atrakcyjne firmy, prezentacje, dyskusje… – wydaje mi się, że bardzo będę się starał, żeby być na następnej konferencji.

To naprawdę imponująca liczba. Oczywiście nie jest to równe liczbie używtkowników. Ja sam pobierałem Firefoxa kilkadziesiąt razy – w domu, na uczelni albo u znajomych.

Najważniejszy jest jednak fakt, że ta opensource’owa przeglądarka stała się alternatywą dla pozostającego w tyle, dziurawego, ciągle-nie-do-końca-zgodnego-ze-standardami Internet Explorera. I to alternatywą bardzo poważną.

Dla nieuświadomionych (jeśli są jeszcze tacy):

Firefox to przeglądarka internetowa o otwartym kodzie źródłowym, darmowa i publicznie dostępna. Jest bezpieczniejsza i dużo bardziej zgodna ze standardami niż Internet Explorer. Dzięki systemowi rozszerzeń możesz dostosować Firefoksa do własnych preferencji… Od czytników RSS, menadżerów zakładek przez dodatki przydatne do tworzenia stron takie jak Firebug czy Webdeveloper Toolbar aż po wbudowany odtwarzacz muzyki – to wszystko i tysiące innych dodatków możesz zainstalować w Firefoksie.

Jeśli jeszcze nie używasz Firefoxa – odkryj sieć na nowo – Get Firefox:

Microsoft has offered to buy the search engine company Yahoo for $44.6bn (£22.4bn) in cash and shares.

Microsoft zapłaci w gotówce i w akcjach aby przejąć firmę Yahoo! i aktywnie włączyć się do walki z Google o dominacje w Internecie. Techcrunch zamieszcza list jaki wystosował do zarządu Steve Ballmer.

Wow! To naprawdę gigantyczny transfer i mam nadzieję że przyniesie on korzyści przede wszystkim internautom, chociaż my nauczeni jesteśmy tego, żeby decyzje i produkty Microsoftu przyjmować z odpowiednią dozą podejrzliwości.

Jak wyjaśnia mBank na swoim Blogu:

Informujemy, że w wyniku błędnych danych przesłanych przez system rozliczeniowy Visa do banków w Polsce i na świecie, na rachunkach Klientów niewłaściwie zostały zaksięgowane rozliczenia transakcji kartowych wykonanych w bankomatach w dniu 14 stycznia br. Problem nie dotyczy wypłat gotówki w sieci bankomatów Euronet.
Wspólnie z Visa dokładamy wszelkich starań, aby jak najszybciej skorygować błąd i wprowadzić prawidłowe salda na rachunkach Klientów.

Ciekawe jak duża grupa użytkowników banków doświadczyła tego błędu. Mam nadzieję, że Visa szybko naprawi błąd i pieniądze wrócą na nasze konta.
A oto jak wyglądał mój rachunek dzisiaj rano:

1. Ten rok nie będzie ani rokiem wielkich debiutów, ani rewolucyjnych zmian. Internet trochę zwolni, a firmy i deweloperzy skoncentrują się raczej na poprawianiu i ulepszaniu swoich produktów.
2. Facebook pozostanie oczywiście gigantem na scenie social networking ale nie zostanie przejęty przez nikogo. Być może zadebiutuje na giełdzie.
3. Digg zostanie wreszcie sprzedany.
4. Google -hm… raczej nic ciekawego. OpenSocial, Android pozostaną w tle, tak jak to było z Google Checkout.
5. Mozilla i Firefox pokażą coś ciekawego… hm, zalążek web 3.0?
6. Blizzard ujawni nowy tytuł nad którym pracuje i będzie to prawdziwy nextgen.

W kraju:

1. Nasza-Klasa będzie kontynuować rozwój, stabilnie, bez większych zmian. Właściciele zmierzą się z problemem prywatności.
2. Powstanie też kilka klonów naszej-klasy…
3. Onet, Interia, O2 i Gazeta nadal będą głównie obracać się w około błysków fleszy i plotek. Nie będzie żadnych większych przejęć. WP na marginesie.
4. Apple otworzy sklep iTunes w Polsce, może doczekamy się też iPhone – i to może nawet w drugiej generacji.
5. Wystartuję z własnym startupem

Czy te przewidywania się sprawdzą? Sam jestem bardzo ciekawy. Pod koniec następnego roku zajrzę do tego wpisu i przeanalizuję te punkty. Tymczasem życzę wszystkim ciekawszego, pozytywnie zaskakującego i przede wszystkim lepszego Nowego Roku 2008!