Säker hemsida (wordpress)

Ska slänga upp en enkel blogg, men mina funderingar gäller kanske även allmän säkerhet (Webbplats)




Hemsida (i wordpress)

Finns som bekant att skapa gratis direkt via wordpress då dom driftar ,konfigurerar domänen etc samt har färdiga teman , sökmotoroptimerat.


För att lära mig mera, och förbereda för flera projekt i framtiden vill jag vara grundlig.
Min blogg ska inte kunna knytas till mig alls, att jag diskuterar den här är väl det enda misstaget måhända men utöver det vill jag även kunna testa en rad penetrationstester,stresstest mot min egna site för att förebygga hot mot kommande betydligt viktigare sidor. Dra lärdomar och diskutera säkerhet med er vore kul, citera gärna och fyll i era tankar.


Spontana tankar,Säkerheten om webbplatser?



Sätta upp ospårbar kommunikation, m m ?


Wordpress specifikt, plattform ,Övrigt ?

Kan du tala om vad för hosting du använder som tillåter dig att köra pentester och stresstester på deras maskiner? Mer sannolikt är att du kommer bli utkastad snabbare än du hinner säga "hoppsan" i det fallet.

Pen och stresstester får du nog sköta på din egen maskin i sådana fall, att sätta upp anonyma domäner finns det dessutom redan trådar om.

Okej.
Då omformulerar jag mig, som så att pentester främst sker på egen maskin som rullar offline.

Det man lärt sig dock, säkerhetshål mm kan man med fördel implementera på en annan
referens, dvs online siten. Om det tillåts såklart

Well...
Det handlar ju inte om anonym domän inledningsvis, jag vill resonera hur ett gratis-konto
på sajten ifråga (ex blogg) kan göras ospårbar till mig?

mvh

Bumpar mig själv...


Nåja,detta blir mina egna amatör-mässiga funderingar i en enda röra.
Allt från stort till smått

Vänligen kommentera och diskutera


1. Största säkerheten (hotet)bör ligga på den som hostar siten samt evt databasen.
Allt det här måste klaffa:

Anpassad brandvägg för wordpress
Anpassad uppdatering för wordpress (patchar,php, mysql)
Konto-isolering
Intrångskänning mfl triggers



2. Ha så få widgets,tillägg som möjligt.




3. Tillåt endast admin-login från specifika ipn (sina egna)

.htaccess file i \WordPress admin folder

dvs ganska bra att alltid använda 1 trusted enhet och via samma vpn hela tiden om man
måste eller råkar nyttja andra nät som publika Wifi mm.



4. I kombo med 2-faktors inloggning.
Frågan är om clef är säkert och vem vet om inte deras false-positive en dag spricker?
De verkar förlita sig på att en telefon-enhet är säker (men inte route!)
med RSA-kryptering som slumpar lösenord.




5. Diverse


Att ha ett admin-konto iht är ju oundvikligt när man skapar sin site.
Men sen bör man kanske se till att dagligt vanligt underhåll och publicering sker med en annan användare? Eller vad anser ni...Är det ens möjligt.




Jag tror chansen att råka ut för en målmedveten sakkunnig är mindre sannolik, därför är risken större att man drabbas av lite lata scanners som söker botnät etc på måfå.


wpscnitch & wpscan

Registrera dig anonymt på blogger.com eller wordpress.com (du kan ansluta eget domännamn), problemet löst. De erbjuder mycket bättre säkerhet än den du själv kan ordna. Dessutom är det gratis. blogger.com är inget man DDoSar hur som helst t.ex.

Vad exakt vill du göra och vad vill du uppnå?

Wordpress är inget man skaffar för säkerhetens skull om man säger så.

Om frågan är hur man håller sin wordpressinstallation så säker som möjligt så är det ju bara att googla, lol . Inga konstigheter.