Posts Taged wordpress

Vulnerabilitate in plugin-ul de WordPress – WP – Accelerated Mobile Pages

Recent s-a descoperit o vulnerabilitate a plugin-ului WP – Accelerated Mobile Pages acesta fiind conceput pentru a asigura o incarcare mai rapida a site-urilor pe dispozitive mobile. Astfel site-urile WordPress care au instalat acest plugin au fost exploatate in mod activ . Aceasta vulnerabilitate permite unui utilizator neautorizat sa modifice orice optiune de plugin inclusiv sa injecteze cod personalizat si sa obtina drepturi de admin . 

Vulnerabilitatea plugin-ului AMP 

Vulnerabilitatea a fost cauzata de folosirea incorecta a functiilor WP nonces si current_user_can () astfel pentru diverse forme administrative a versiunilor mai vechi a plugin-ului nu s-a verificat in mod corespunzator daca utilizatorul a avut permisiunea de a efectua actiunea. Neexistand validarea rolului utilizatorului a fost posibila injectarea scripturilor/codurilor malware si preluarea drepturilor de admin asupra conturilor. 

Concluzia

Pentru a evita posibile atacuri si compromiterea site-urilor este extrem de important sa se efectueze update-urile necesare contului  (aduse la ultimele versiuni a CMS-urilor) insa si a plugin-urilor sau a temelor, indiferent de platformele folosite (wordpress, prestashop, joomla, etc.), imediat ce acestea sunt disponibile pentru eliminarea gaurilor de vulnerabilitate.

 

Referinte

Mai multe informatii cu privire la vulnerabilitatea plugin-ului AMP puteti consulta si urmatoarele articole existente pe alte bloguri de securitate : 

https://hotforsecurity.bitdefender.com/blog/hackers-target-critical-wordpress-plugin-flaw-to-install-backdoors-and-create-admin-accounts-20597.html

https://www.bleepingcomputer.com/news/security/vulnerability-in-amp-for-wp-plugin-allowed-admin-access-to-wordpress/

https://www.wordfence.com/blog/2018/11/xss-injection-campaign-exploits-wordpress-amp-plugin/

Solutii optimizare WordPress – Litespeed Cache (Update)

Dorim sa prezentam un nou caz in care instalarea si activarea plugin-ului LiteSpeed Cache for WordPress impreuna cu activare optiunii Power Boost au dus la scaderea semnificativa a consumului de resurse si cresterea vitezei de raspuns a site-ului.

In acest caz site-ul este unul public cu un trafic foarte ridicat care foloseste solutia noastra de hosting ExtremeSSD.

Evolutia consumului de CPU

Evolutia consumului de memorie RAM

Evolutia consumului de Procese

Mai multe detalii privind functionalitatiile si modul de instalare a plugin-ului LiteSpeed cache for WordPress sunt disponibile AICI.

Solutia LiteSpeed Cache pentru WordPress este disponibila pentru toate pachetele din categoria Entry SSD, Business SSD si Extreme SSD.

Hostvision la WordCamp Bucuresti 2017

Echipa Hostvision a luat parte si a sustinut anul acesta WordCamp Bucharest 2017, eveniment care s-a desfasurat in Bucuresti pe o perioada de doua zile.

 

Echipa Hostvision la WordCamp Bucuresti

WordCamp este o conferinta destinata WordPress-ului cuprinzand o varietate de subiecte printre care subiecte legate de tehnici eficiente de utilizare a acestei platforme soft, pugin-urile si temele incluse dar si informatii despre tehnici avansate si despre securitate.

 

 

In prima zi a evenimentului iubitorii de WordPress au avut oportunitatea de a participa la cele 14 prezentari sustinute de Alex Denning, Ionut Neagu, Alexandra Anghel, Vassilena Valchanova, Alexandra Draghici, Vineet Talwar, Ivelina Dimova, Remkus de Vries, Ulrich Pogson, Ivana Cirkovic, Mircea Tihu, Cristian Antohe, Valentin, Liviu Taloi acestia fiind contribuitori  sau developers WordPress, specialisti in Marketing sau Social Media.

Din perspectiva noastra prezentarile  Life after being hacked, Improve code through automation, How To Know For Sure You Can Trust A Plugin, The Magic of Advanced Debugging si An MVC approach to WordPress theme development au atras, in mod special, atentia participantilor.

Pentru ultima zi a evenimentului organizatorii ne-au oferit 2 workshopuri si anume Community, Theme Review & Polyglots astfel participantii inregistrati au lucrat in ehipe coordonate de Milan Ivanovic, Remkus de Vries, Ulrich Pogson si Ivelina Dimova.

 

 

LiteSpeed Cache pentru hosting WordPress – solutia avansata pentru accelerarea WordPress

LiteSpeed Cache pentru WordPress este o solutie complet customizabila de cache la nivel de server, creata pentru a creste viteza site-urilor dezvoltate pe WordPress. Prin realizarea cache-ului la nivel de server se obtine un raspuns mai eficient si rapid fata de alte solutii de cache. Aceasta este o solutie excelenta pentru toti cei care doresc sa-si optmizeze pagina web creata in WordPress.

Combinand performanta, scalabilitatea si usabilitatea fara precedent a Serverului Web Litespeed cu LiteSpeed Cache pentru WordPress se pot atinge rezultate exceptionale in accelerarea site-urilor care folosesc aceste solutii.

Beneficiile utilizarii LiteSpeed Cache pentru WordPress

1. Acuratete: LiteSpeed cache va livra de fiecare data pagina actualizata. De fiecare data cand pagina e modificata, cache-ul este notificat automat si astfel nu vor fi livrate versiuni vechi ale paginii.

2. Usurinta in utilizare: Activate and Go! Setarile default sunt optimizate sa functioneze cu majoritatea instalarilor standard WordPress. Orice configurari suplimentare sunt usor de realizat din panoul de administrare al pluginului in WordPress.

3. Viteza: Prin realizarea cache-ului la nivel de web server, continutului site-ului este livrat mult mai rapid.

4. Customizare: Daca aveti pagini care nu doriti sa fie livrate din cache sau teme diferite pentru desktop sau mobil le puteti seta din pagina de setari a pluginului de WordPress

5. Compatibilitate: LiteSpeed Cache este compatibil cu instalarile single si multisite cat si cu majoritatea pluginurilor, cum ar fi : WooCommerce sau bbPress

viteza wordpress

optmizare wordpress

 

In acest moment solutia LiteSpeed Cache pentru WordPress este disponibila pentru pachetele Entry SSD, Business SSD si Extreme SSD.

Pentru utilizare va trebui sa instalati in panoul dumneavoastra WordPress pluginul Litespeed Cache disponibil pentru instalare pe platforma WordPress. Poate fi descarcat de aici.

 

Nota: informatii furnizate de LiteSpeed Tech. Este posibil ca in anumite combinatii folosirea LiteSpeed Cache for WordPress sa nu functioneze conform informatiilor furnizate.

WordPress sau Joomla

O mare parte din website-urile care exista in prezent sunt create prin intermediul unui content management system(CMS), astfel incat dezvoltarea unui site a devenit un proces mai facil si mai rapid. Printre cele mai folosite sunt WordPress si Joomla iar aceste platforme va pot ajuta in construirea unui website perfect in functie de dorintele personale prin intermediul unor pasi simpli.

Existenta mai multor CMS-uri poate ingreuna factorul decizional in privinta construirii unui site, insa acum discutam de doua dintre cele mai utilizate platforme si anume de WordPress si Joomla care, desi sunt platforme foarte similare, intre acestea exista anumite diferente care pot determina alegerea CMS-ului potrivt in dezvoltarea site-ului.

WordPress este probabil cel mai utilizat dar si cel mai popular CMS de pe piata la momentul actual. A inceput ca o simpla platforma de blogging, insa treptat a evoluat, devenind astfel unul dintre cel mai performat si flexibil program de construit si dezvoltat pagini web. Aceasta este o platforma ideala pentru incepatori, iar faptul ca exista un numar foarte mare de tutoriale si forumuri dedicate WordPress ajuta la solutionarea viitoarelor probleme care pot aparea in dezvoltarea site-ul personal.

Mai jos avem o parte din beneficiile prezente in utilizarea platformei WordPress

Wordpress resetare parola

 

a) Foarte usor de instalat
WordPress poate fi implementat foarte usor. Instalare dureaza foarte putin si mai mult decat atat puteti avea site-ul activ in mai putin de 10 minute. Prin intermediul Softaculous, un software de dezolvare prezent pe serverele noastre, instalarea poate fi efectuata prin intermediul unor simple click-uri.

b) Usor de personalizat
Platforma WordPress are mii de theme si plug-in-uri care fac ca personalizarea site-ului sa fie un proces foarte usor si accesibil. Datorita popularitatii pe care o are programul respectiv, foarte multi dezvoltatori aleg ca plugin-urile si themele create de acestia sa fie distribuite gratuit, astfel va ofera oportunitatea de crea un site profesional cu un buget egal cu zero.

c) O comunitate mare
Daca intampinati probleme la crearea sau personalizarea site-ului, exista o comunitate formata din milioane de oameni care va pot ajuta in rezolvarea dificultatiilor intampinate. Mai mult decat atat, aproape toate themele si plugin-urile pe care le folositi au o echipa de dezvoltatori in spate care ofera suport utilizatorilor, astfel este usor sa luati legatura cu acestia in solutionarea problemelor aparute. 

Joomla este un CMS extrem de flexibil si este folosit drept pilon pentru unele din cele mai mari website-uri de pe internet. Este considerat a fi cel de-al doilea cel mai utilizat CMS dupa WordPress. Prin intermediul acestei platforme pot fi construite o serie de caracteristici puternice pentru un site, insa daca nu aveti cunostinte minime de codare, ar fi indicat sa utilizati alt program de creeare a unui site.

Mai jos avem o parte din beneficiile prezente in utilizarea platformei Joomla

jcomplete-premium-tee_design

a) Se poate crea o retea sociala
Prin Joomla aveti posibilitatea de a dezvolta o retea sociala de la zero. Si prin intermediul altor CMS-uri este posibila constuirea unei retele sociale, insa nu este la fel de rapid si usor.

b) Se poate crea usor un magazin online(eCommerce)
Pe langa posibilitatea de a crea o retea sociala, aceasta platforma ofera suportul necesar in crearea unui magazin online. Si prin intermediul WordPress-ului creare un magazin online este posibila
prin diferite metode, insa prin Joomla dezvoltarea unui astfel de site este mult mai usor de realizat.

c) Necesita un nivel mediu de abilitati tehnice
Joomla ofera un suport avansat in p
osibilitatea de a personaliza site-ul, insa nu necesita un nivel de cunostinte tehnice foarte ridicat. Chiar daca are cerinte tehnice mai ridicate decat in utilizarea WordPress, nu trebuie sa evitati folosirea acestei platforme.

Nu putem determina concret care platforma este mai buna dintre cele doua prezentat deoarece totul depinde de ce anume se potriveste cel mai bine dorintelor personale in dezvoltarea site-ului dorit. Important este sa va analizati cerintele si sa stiti concret ce site doriti sa dezvoltati, usurand asadar procesul de selectare a unui CMS potrivit.

Daca nu aveti o serie minima de cunostiinte tehnice si doriti sa creati un blog sau un site de prezentare atunci cel mai indicat este sa utilizati WordPress, insa daca aveti cunostinte tehnice si doriti sa creati o mica retea sociala sau un magazin online ar fi o recomandat sa utilizati Joomla.

Failed to connect to jetpack.wordpress.com Connection timed out

jetpack-connection-timed-outZilele trecute ne-am lovit de o problema la pluginul JetPack de la WordPress. Pentru finalizarea configurarii modulului JetPack este necesara accesarea contului wordpress, aici apare o eroare de conexiune, probabil un bug sau o problema temporara.

Eroarea poate sa fie 500 Request Timeout daca serverul opreste rularea scriptului sau:
Jetpack could not contact WordPress.com: register_http_request_failed. This usually means something is incorrectly configured on your web host. Failed to connect to jetpack.wordpress.com port 80: Connection timed out

Connecting to jetpack.wordpress.com|192.0.78.26|:443… failed: Connection timed out.
Connecting to jetpack.wordpress.com|192.0.78.27|:443… failed: Connection timed out.

Pentru o remediere rapida puteti modifica adresa JETPACK__API_BASE pentru conectarea directa la jetpack.com (adresa implicita jetpack.wordpress.com nu poate fi accesata), sunt necesare urmatoarele modificari:

1. Va  logati in cPanel,  accesati  File  Manager
2. Intrati in  folderul wp-content -> plugins/jetpack
3. Editati  fisierul jetpack.php
4. Cautati linia: defined( ‘JETPACK__API_BASE’ ) or define( ‘JETPACK__API_BASE’, ‘https://jetpack.wordpress.com/jetpack.‘ ); si inlocuiti cu
defined( ‘JETPACK__API_BASE’ ) or define( ‘JETPACK__API_BASE’, ‘https://jetpack.com/jetpack.‘ );
5. Salvati fisierul.

Alternativ modificarea poate fi facuta si din wp-admin > Module > Jetpack de WordPress.com > Editează

connect-to-wordpress

 

Acum  ar  trebui sa  puteti sa va  conectati  la JetPack si sa activati modulul.

Cum ma protejez impotriva atacurilor Brute Force

dark-bruteIn ultima vreme atacurile distribuite de Brute Force s-au inmultit in special asupra platformelor WordPress si Joomla. Pentru protectia impotriva furtului de date/parole prin atacuri de tip Brute Force, este recomandata adaugarea unui nivel suplimentar de securitate. Mai jos am trecut exemple de cum pot fi securizate platformele WordPress si Joomla pentru a elimina posibilitatea hackerilor de rula atacuri Brute Force.

1. WordPress varianta Protectie IP
Protectia pe baza de IP ofera un grad ridicat de securitate dar nu este practica in cazul in care administrarea este facuta din multe locatii sau mai multi utilizatori cu IP-uri dinamice. Codul de mai jos (se adauga in .htaccess) blocheaza accesul la fisierul wp-login.php (bineinteles trebuie trecute IP-urile sau Clasele permise in loc de x-uri):

# Blocare wp-login.php
<Files wp-login.php>
allow from x.x.x.x
allow from x.x.x.
deny from all
</Files>

2. WordPress varianta Parola Suplimentara
Protejarea cu parola a fisierului wp-login.php aduce un nivel suplimentar de securitate. Parolarea folderului wp-admin/ nu e necesara, deoarece unele plugin-uri sau theme folosesc ajax (fisierul wp-admin/admin-ajax.php).

Autentificarea foloseste 2 fisiere .htaccess si .htpasswd. Mai jos am trecut pasii necesari acestei operatiuni si codul ce trebuie editat si inclus in .htaccess:
Pas 1. Modificati calea catre .htpasswd, se inlocuieste ‘usercpanel‘ cu locatia de radacina, in general userul cPanel
Pas 2. Creati fisierul .htpasswd in radacina contului /home/usercpanel/ astfel va fi in afara zonei publice (public_html/www)
Pas 3. Generati si salvati userul/parola in .htpasswd cu utilitarul https://www.htaccesstools.com/htpasswd-generator/
Pas 4. Modificati in .htacces ‘usersecret‘ cu userul creat la pasul 3.

# Protectie Parola wp-login.php / cod .htaccess
<Files wp-login.php>
AuthUserFile /home/usercpanel/.htpasswd
AuthName „Private access”
AuthType Basic
require user usersecret
</Files>

 1. Joomla varianta Protectie IP
Codul de mai jos se adauga in .htaccess din folderul administrator/ iar IP-urile sau Clasa trebuie adaugate in loc de ‘x.x.x.x’ cate unul pe linie:

# Blocare acces administrator/
allow from x.x.x.x
allow from x.x.x.
deny from all

2. Joomla varianta Parola Suplimentara
Parolarea in Joomla merge mult mai usor deoarece se poate folosi cPanel > Password Protected Directoires – se alege folderul administrator/ din instalarea Joomla. Pentru activarea protectiei se bifeaza Password protect this directory: si se salveaza. Mai jos se adauga/administreaza utilizatori  si parolele. Bineinteles se poate face si manual exact ca in exemplul WordPress de mai sus.