Kurs "WordPress: Pierwsze kroki" (bezpłatna lekcja)

Z kont „hostingowych” (m.in.) na LinuxPL korzystam już od kilku lat, i zazwyczaj wszystko jest OK, więc śmiało mogę polecić. Oczywiście czasem zdarzają się pady serwera, jakieś „od tak, bo możemy” blokady czy „inne udziwniacze” – i dziś będzie o jednym z takich „udziwniaczy”.

Dodatkowa ochrona logowania

Dziś podczas rutynowego logowania do panelu administratora WordPressa przywitał mnie nowy komunikat. W Firefoxie wygląda tak:

linuxpl-com_wp-admin_ff_201308

Podaj nazwę użytkownika i hasło

Witryna http://rembiejewski.pl prosi o podanie nazwy użytkownika i hasła.
Komunikat witryny:

„(Linuxpl.com: DODATKOWA OCHRONA LOGOWANIA, LOGIN i HASŁO: wpadmin )”

W Internet Explorerze tak:

linuxpl-com_wp-admin_ie_201308

Zabezpieczenia systemu Windows

Serwer rembiejewski.pl w lokalizacji (Linuxpl.com: DODATKOWA OCHRONA LOGOWANIA, LOGIN i HASŁO: wpadmin ) wymaga nazwy użytkownika i hasła.

Ostrzeżenie: ten serwer żąda wysłania Twojej nazwy użytkownika i hasła w
niezabezpieczony sposób (podstawowe uwierzytelnienie bez bezpiecznego
połączenia).

I do kompletu jeszcze Google Chrome:

linuxpl-com_wp-admin_chrome_201308

Wymagane uwierzytelnienie

Serwer http:// :80 wymaga nazwy użytkownika i hasła. Komunikat serwera: (Linuxpl.com: DODATKOWA OCHRONA LOGOWANIA, LOGIN i HASŁO: wpadmin ).

Piszę o tym z dwóch głównych – i moim zdaniem powiązanych ze sobą – powodów:

Brak informacji

Rozumiem, że ktoś w firmie hostingowej wpadł na genialny pomysł, że dodatkowo globalnie zabezpieczy… hosting, zabezpieczając strony klientów, które na nim działają. Problem tylko w tym, że chyba nikt przy tej okazji nie wpadł na pomysł, by odpowiednią informację, z odpowiednim wyprzedzeniem rozesłać do klientów. Choćby po to, by np. nie uznali, że to „dziwne okienko”, to jakiś włam na ich stronę i próba wyłudzenia danych logowania.

Dodatkowe (nie)bezpieczeństwo

Ale oprócz tego, że teoretycznie ma to szansę zatrzymać część atakujących botów – teoretycznie, bo skoro radzą sobie z reCAPTCHA to i z takim „zabezpieczeniem” raczej też sobie poradzą – jak nie od razu, to za chwilę, zwłaszcza że login i hasło mają podane „na tacy” (choć przyznam, że sam na kilku stronach korzystam z takiego rozwiązania – czasem jest to najprostsza metoda wycięcia „niepotrzebnego ruchu”, zwłaszcza, gdy login i hasło znają tylko wybrane osoby).

Problem w tym, że choć w komunikacie jest podana informacja jakie należy podać hasło i login (wpadmin) to zapewne część z użytkowników „odruchowo” wpisze tam swoje prawdziwe dane do logowania, które jak słusznie informuje Internet Explorer – są przesyłane do serwera w formie niezaszyfrowanej, a więc istnieje szansa ich przechwycenia (pomija kwestie tego, że niestety i tak większość z Was zapewne loguje się do swojego konta bez szyfrowania).

Zwłaszcza, że to „dodatkowe zabezpieczenie” zostało wprowadzone „od górnie”, bez jakiejkolwiek wcześniejszej informacji dla użytkowników/klientów. I jest to chyba mój największy zarzut, choć jako „aktywny użytkownik” LinuxPL nie raz się miałem okazję przekonać, że komunikacja/przekaz informacyjny miejscami/czasem trochę kuleje…

[Aktualizacja]

Mała korekta komunikatu

Pojawiła się nowa wersja komunikatu, troszkę lepiej informującego o tym, że „ktoś coś”:

Serwer rembiejewski.pl w lokalizacji (WPISZ 'wpadmin’ jako nazwę użytkownika i 'wpadmin’ jako hasło. To dodatkowa ochrona logowania) wymaga nazwy użytkownika i hasła.

Ostrzeżenie: ten serwer żąda wysłania Twojej nazwy użytkownika i hasła w niezabezpieczony sposób (podstawowe uwierzytelnienie bez bezpiecznego połączenia).

Lepiej, choć nadal uważam, że można to było zrobić lepiej, zwłaszcza w kontekście komunikacji z klientami.

[Aktualizacja 2013.09.02]

Satisfy Any, czyli wyłączmy żądanie loginu i hasła

Pisząc pierwszą wersję tego wpisu zastanawiałem się czy podać prosty sposób na obejście tego zabezpieczenia, który sam zastosowałem. Trochę obawiałem się, że zestawienie w jednym wpisie „linuxpl” i „Satisfy Any” spowoduje wyłapanie tego przez administratorów usługi, którzy zamiast pozwolić „bardziej świadomym użytkownikom” wyłączyć to zabezpieczenie „w pewnych sytuacjach” spróbują je przyblokować. Ale skoro i tak pojawiła się taka informacja w komentarzach – to chyba nie ma wyjścia… ;-)

W każdym razie – jak pisze u siebie „meloniq” (link do niego w jego komentarzu poniżej) – można wyłączyć u siebie to zabezpieczenie poprzez modyfikację pliku .htaccess (jeśli go nie macie – co przy WordPressie jest raczej mało prawdopodobne – musicie utworzyć taki plik).

W pliku .htaccess należy dopisać:

<FilesMatch "wp-login.php">
Satisfy Any
</FilesMatch>

Choć warto jakieś dodatkowe zabezpieczenie na/dla WordPressa posiadać – na wszelki wypadek…

(!) Zgłoś błąd na stronie | Lub postaw nam kawę :-)
LUTy dla D-Cinelike (DJI Mini 3 Pro, DJI Avata, OSMO Pocket) od MiniFly
Wdrożenie Omnibusa w sklepie na WooCommerce
Jak (legalnie) latać dronem w Kategorii Otwartej
Tworzysz stronę internetową i potrzebujesz pomocy?
Patryk
Kurs "WordPress: Pierwsze kroki" (na dobry początek)