Tag: .htaccess
Wszystkie
Najnowsze
Przegląd wybranych nowości w Tutor LMS 2.3.0: ochrona hotlink, blokada kopiowania treści i bezpośrednie odnośniki do kursów
Pojawiła się nowa wersja wtyczki Tutor LMS (i Tutor LMS Pro), a w niej kolejna porcja nowości, ponownie związanych z zabezpieczaniem materiałów używanych w kursach. W tym artykule skupię się na dwóch takich nowościach, oraz jeszcze jednej, już wykraczającej poza temat bezpieczeństwa, ale o którą też często pytacie…
Blokowanie dostępu do katalogu w OpenLiteSpeed, czyli alternatywa dla nieobsługiwanego “deny from all” w pliku .htaccess
Wczoraj napisał do mnie lekko zaskoczony kolega, który po wcześniejszej rozmowie ze mną postanowił na swoim VPSie przejść z Nginx a OpenLiteSpeed. Głównie ze względu na wygodę. I to nawet nie chodzi o to, że dużo ustawień (większość?) można zrobić z poziomu panelu zarządzania w przeglądarce internetowej, bo czasem to tylko wydłuża czas potrzebnym, do wykonania zadania. Zresztą skoro kolega używał Nginx, to co jak co, ale konfiguracja bezpośrednio w plikach konfiguracyjnych nie jest mu raczej obca. Bardziej chodziło o obsługę plików .htaccesss, dzięki czemu wiele aplikacji webowych (np. WordPress) potrafi nie tylko samodzielnie skonfigurować sobie środowisko, ale i zabezpieczyć odpowiednimi regułami w tym pliku to, co powinno być zabezpieczone.
Cloudflare i Page Rules w praktyce, czyli historia pewnego ataku na skrypt/stronę logowania do WordPressa (WooCommerce)
W drugiej połowie lipca, w piękny piątkowy poranek, po porannym spacerze z psami usiadłem do komputera, bo na mojej administracyjnej skrzynce e-mail pojawiły się powiadomienia m.in. ze skryptu SysWatch, oraz z aplikacji Monit, czyli narzędzi, które wykorzystuje do monitorowania zasobów serwera. A z racji tego, że z kufelkiem tego dnia siedział obok kolega, który coś tam kupa (rozróżnia hosting od domeny ;-)), to pomyślałem, że od razu pokaże mu, jak można w relatywnie prosty sposób zdiagnozować źródło i wyeliminować problem.
Przekazywanie dynamicznego adresu IP do serwera, np. by ustawić wyjątek dla uwierzytelnienia dwuskładnikowego (2FA) dla połączenia SSH
Kilka dni temu, w artykule o moim nowym internecie podstawowym (Internet na Kartę w Play) wspomniałem, że po kilku latach, brak stałego i publicznego adresu IP jest dla mnie większym utrudnieniem niż “skacząca prędkość”, czy w ogóle zanikający od czasu do czasu transfer. Dlatego uznałem, że muszę wdrożyć jakieś dodatkowe mechanizmy, które pozwolą mi zniwelować minusy wynikające z dynamicznie przydzielanego adresu IP…
Konfiguracja serwera VPS z Debian 9 jako serwer WWW, z wykorzystaniem niestandardowych źródeł pakietów
Przedwczoraj z HitMe.pl dotarła do mnie informacja, że matka serwera VPS na którym działa(ł) Webinsider.pl powoli zmierza na emeryturę (choć może dostanie pewnie jakieś zajęcie, by się nie nudziła ;-)), w związku z tym dostałem propozycję nowego serwera VPS. Oprócz tego, że oznacza to więcej mocy (więcej RAMu, więcej CPU, i dysk SSD do tego) to również przy tej okazji zmienił się typ wirtualizacji – z XEN na KVM. W związku z tym uznałem, że choć mógłbym spróbować dokonać migracji za pomocą SSH i Rsync, to postanowiłem, że skonfiguruję środowisko (web) serwera ręcznie, przy okazji robiąc notatki do nowej wersji artykułu na ten temat…
UploadDir i SaveDir w phpMyAdmin, czyli import i eksport bazy danych z/do katalogu bezpośrednio na serwerze
Choć operacje na bazach danych MySQL (np. kopia zapasowa) często wykonuje z wiersza poleceń, to lubię też czasem sobie uprościć zadanie, i skorzystać z phpMyAdmin. Niedawno pomagałem znajomemu skonfigurować ten skrypt na jego serwerze, bo potrzebował zaimportować naprawdę duży plik, co spotykało się z permanentnym oporem. Oczywiście poradziłem mu by skorzystał z konsoli, ale przy okazji pokazałem pewny “trik”, tak by w przyszłości mógł za pomocą phpMyAdmin importować do bazy pliki już zapisane na serwerze (a ma ich kilka, bo w ramach testów często “żongluje” nimi).
Instalacja certyfikatu SSL w Home.pl na przykładzie usługi Business Cloud Starter i certyfikatu homeSSL
Kilka dni temu napisałem artykuł o moim pożegnaniu z hostingiem współdzielonym. Wspomniałem w nim, że wprawdzie swoich kont tego typu już nie mam, to jednak niektórzy moi klienci z takich usług korzystają, a tym samym cały czas jeszcze mam z nimi styczność. Jedną z takich usług jest Business Cloud Starter w Home.pl, gdzie ostatnio konfigurowałem certyfikat(y) SSL. Oczywiście kupione w Home.pl, a więc pierwszy rok praktycznie darmo, później jak za złoto…
Moje pożegnanie z hostingiem współdzielonym (i nie tylko), czyli wolnoć, Tomku, w swoim domku
Pod koniec grudnia, przy okazji artykułu na temat klonowania serwerów VPS za pomocą programu Rsync i bezpiecznego połączenia SSH wspomniałem, że z końcem 2017 wygasają ostatnie moje konta hostingowe (hosting współdzielony). Wtedy też założyłem, że gdzieś na początku 2018 wrócę do tego tematu, i napisze coś więcej na ten powodów mojej rezygnacji z tego typu usług. I skoro mamy początek 2018, to…
Strona WWW i HTTPS (SSL) na przykładzie webserwera Apache2/Nginx i WordPressa
Być może niektórzy z Was zwrócili uwagę, że od jakiegoś czasu strona Webinsider.pl dostępna jest tylko w ramach połączenia szyfrowanego (HTTPS/SSL), choć niekoniecznie dlatego, że ponoć Google ma w swojej wyszukiwarce faworyzować strony dostepne w ramach połączenia szyfrowanego.
Po prostu dzięki temu łatwiej zarządzać np. konfiguracją strony/serwera, gdyż odpada podział na zasoby dostępne (również) w ramach połączenia nieszyfrowanego, i te dostępne tylko w ramach połączenia szyfrowanego…
Wymuszenie połączenia szyfrowanego (SSL/HTTPS) do panelu administracyjnego WordPressa
Wprawdzie jakiś czas temu przez internet przetoczyła się dyskusja, że “od teraz” Google będzie promować strony serwowane użytkownikom po SSL/HTTPS, a resztę czeka wielki i bolesny spadek w dół, to osobiście na kilku stronach które zostały bez SSL (z różnych przyczyn), a mają większość ruchu z wyszukiwarki nie zauważyłem jakiś różnic wskazujących na tego typu pogram.
Nie oznacza to, że mam coś przeciwko SSL – wręcz przeciwnie, wszędzie gdzie jest to uzasadnione (lub konieczne) korzystam z szyfrowanego połączenia, np. w panelu zarządzania/administrowania WordPressem (WP-Admin), i dziś chciałbym Wam właśnie pokazać, jak w prosty sposób można wymusić bezpieczne połączenie z nim…
WordPress: Blokujemy usługę XML-RPC (całą lub tylko pingbacki)
Ostatnio do jednego z klientów (strona WWW na WordPressie) przyszedł e-mail od “jednego z wiodących dostawców hostingu”, że zmuszeni byli administracyjnie zmienić nazwę jednego z plików (xmlrpc.php) ze względu na “realizujących nieautoryzowaną wysyłkę wiadomości spamowych na Państwa serwerze”.
Nie wiem czy faktycznie na podstawie jakich logów im wyszło, że za wysyłkę SPAMu odpowiada plik xmlrpc.php (usługa XML-RPC), ale niezależnie od tego jest to dobra okazja, by wspomnieć o usłudze XML-RPC w WordPressie, i pokazać jak ją zablokować.
Przekierowanie stron(y) WWW w webserwerze Nginx
Jakiś już czas temu pisałem jak przekierować ruch ze strony na serwerze Apache2, dziś – zgodnie z zapowiedzią – kolejna odsłona, tylko dla serwera opartego o Nginx…
W przypadku tego serwera (Nginx) nie mamy wprawdzie do dyspozycji pliku .htaccess, ale podobne efekty możemy uzyskać edytując plik konfiguracyjny danej strony (vHosta).
Stawiamy serwer (VPS) z WordPressem na Ubuntu 14.04 w DigitalOcean, i to w kilka minut…
Wprawdzie sam preferuje goły system i tam dopiero serwer WWW + baza danych itp… To jest sporo osób które nie chcą zastanawiać się nad tym wszystkim i cenią gotowe obrazy, które pozwalają z kilka minut zacząć prace nad swoją stroną…
Pokażę na przykładzie serwera w DigitalOcean (serwer VPS) jak w prosty sposób i bez zajmowania się “technicznymi aspektami stawiania serwera WWW” uruchomić w kilka minut w pełni działającą stronę na WordPressie…
Apache2: Przekierowanie stron(y) WWW za pomocą pliku .htaccess
O pliku .htaccess już kilkukrotnie pisałem, bo ten- mogłoby się wydawać – niepozorny plik kryje wielkie możliwości.
W tym wpisie postaram się przedstawić kilka przykładów (scenariuszy) wykorzystania pliku .htaccess do przekierowania ruchu z jednej strony na inna, z jednego adresu na inny.
Plik robots.txt, czyli dialog z robotami internetowymi (indeksującymi)
Dziś będzie o kolejnym (po .htaccess) istotnym przydatnym pliku, który powinien (a na pewno nie zaszkodzi) znaleźć się w głównym katalogu naszej strony, na serwerze, czyli pliku robots.txt, który umożliwia pewnego rodzaju dialog między stroną (nami) a wyszukiwarką (robotami indeksującymi).
Apache2/Nginx: Kasujemy “www.” z adresu strony
Gdzieś w początkach internetu przyjęło się, że każda usługa ma swój przedrostek – subdomenę, np. ftp, www, mail… I choć dla wielu adres “www.nazwa_domeny.pl” i “nazwa_domeny.pl” to jedno i to samo – tak nie jest, o czym czasem zapominają nawet “doświadczeni administratorzy w dużych firmach” i czasem zdarza się, że pomijając subdomenę (!) “www.” w adresie strony trafiamy na stronę błędu.
Sam wychodzę z założenia, że nim adres krótszy – tym łatwiej go podać/zapamiętać. Mimo to sporo osób jeszcze wchodzi na moją stroną wpisując z przodu “www.”, tak też linkuje – a by to unormować stosuję przekierowanie z adresu “www.nazwa_domeny.pl” na “nazwa_domeny.pl”.
I o tym dziś będzie…
Apache2/Nginx: Blokujemy “złe roboty”
Pewnemu użytkownikowi Chello z Lublina chyba tak bardzo spodobała się moja strona (teksty?), że postanowił sobie ją za pomocą programu HTTrack Website Copier zachować na swoim komputerze na przyszłość, może dla wnucząt ?! ;-)
W każdym razie ilością zapytań/odwiedzin/pobrań znacznie pobił wszelkie “automaty” z robotem Google na czele…
A, że strony nie zamierzam zamykać – szkoda by ów użytkownik niepotrzebnie zapychał sobie swoje łącze o dynamicznym IP, więc postanowiłem ponownie sięgnąć m.in. po reguły w pliku .htaccess.
Apache2/Nginx: Zabezpieczamy dostęp do phpMyAdmin
O phpMyAdmin pisałem choćby podczas opisu instalacji i konfiguracji serwera WWW na przykładzie Raspberry Pi (Raspbian/Debian).
Dziś wrócę na chwilę do tego tematu – ustawimy dodatkowe zabezpieczenie (nazwa użytkownika i hasło).
LinuxPL oddolnie i bez jakiejkolwiek informacji “zabezpiecza” panel logowania do WordPressa (WP-Admin)
Z kont “hostingowych” (m.in.) na LinuxPL korzystam już od kilku lat, i zazwyczaj wszystko jest OK, więc śmiało mogę polecić. Oczywiście czasem zdarzają się pady serwera, jakieś “od tak, bo możemy” blokady czy “inne udziwniacze” – i dziś będzie o jednym z takich “udziwniaczy”.
Sprawdź jak w prosty sposób zabezpieczyć stronę na WordPressie (ale nie tylko)
WordPress rozpycha się w Internecie coraz mocniej, co patrząc na prostotę obsługi (od strony użytkownika końcowego, który ma zarządzać stroną), czy ilość modyfikacji, dodatków i poradników nie powinno chyba nikogo specjalnie dziwić. Sam swoim klientom bardzo często polecam właśnie stronę na WordPressie, gdyż w późniejszej pracy ze stroną okazuje się on bardzo prosty i przyjemny, a zarazem oferuje pełen zakres możliwości. Dlatego warto zadbać dodatkowo o bezpieczeństwo – bo jak to często bywa, im coś jest popularniejsze, tym więcej ataków…
Wesprzyj nas!
Promocja własna
Najnowsze wpisy
Poznaj aplikację DroneTower, czyli nowy (i teoretycznie obecnie jedyny) sposób zgłaszania lotów dronami
WordPress 6.5 i “Requires Plugins”, czyli autor wtyczki może teraz w prosty sposób określić, jakie wtyczki są niezbędne (wymagane), do działania jego wtyczki
Przegląd nowości w aktualizacji 01.03.1300 oprogramowania kontrolera DJI RC (RM330)
To właściwie koniec bezpłatnej wersji Jetpack Stats, czyli statystyk dostarczanych przez wtyczkę/usługę Jetpack do WordPressa
Krajowy System Informacji Dronowej (KSID), czyli usługi cyfrowe dla BSP w nowej odsłonie
Promocja własna
Promocja własna
