llama.pl

Wordpress jest stosunkowo prostym CMS. Z założenia jest przeznaczony dla blogów. Jeżeli jednak zainstalujemy mu wtyczki to nie jest już tylko prostym CMS do blogów. Na stronie wordpress.org wyszukiwarka wtyczek pokazuje imponującą liczbę 4254 – całkiem sporo :)

Każdy ma jakiś ulubiony zestaw minimum wtyczek. Wszystko jest fajnie do czasu aktualizacji. Nowe wersje wtyczek pojawiają się dość często – dlatego warto pamiętać o regularnych uaktualnianiu. W końcu całość oparta jest na php i mysql – czyli technologiach, które nie mają najlepszej opinii jeżeli chodzi o bezpieczeństwo.

“Ręczna” aktualizacja polega na zalogowaniu sie do serwera przy pomocy ssh, ściągnięciu wtyczki i rozpakowaniu do właściwego katalogu. Przy małej ilości wtyczek, małej ilości blogów i przy posiadaniu dostępu do ssh można sobie poklikać w klawiaturę. Przy większej ilości warto poszukać jakiejś “mechanizacji”.

Domyślna instalacja Wordpress oferuje dwa  zautomatyzowane sposoby aktualizacji: FTP i FTPS (SSL). Oba mają wady. FTP jest prostym protokołem, w którym login i hasło nie są szyfrowane, FTPS(SSL) jak sama nazwa wskazuje jest szyfrowanym połączeniem, ale wymaga certyfikatów i ogólnie jest trudne w konfiguracji. Podsumowując i tak źle i tak źle:) Na szczęście jest jeszcze trzecia droga:) Wystarczy połączyć idee “automatyzacji” (przeglądarka) z technologia “ręczną” czyli ssh.

Możliwość uaktualniania przy pomocy protokołu ssh jest wbudowana w domyślną instalację wordpress. Przeważnie nie jest to “widoczne” ponieważ większośc instalacji php nie potrafi nawiązać połączenia ssh. Wystarczy “nauczyć” php  protokołu ssh i będzie dostępna lepsza “mechanizacja”.

Procedura ogólnie wygląda tak, mogą wystąpić małe różnice w zależności od systemu i już zainstalowanych elementów:

1. Zainstaluj pear oraz libssh2
2. Wykonaj pecl install -f ssh2
3. W pliku php.ini dodaj wpis  “extension=ssh2.so”
4. Jeżeli trzeba to zrestartuj serwer www

Teraz już można w panelu administracyjnym wybrać uaktualnienie lub instalacje nowych wtyczek przy użyciu ssh

Warto pamiętać, że jeżeli dostęp do panelu nie jest realizowany poprzez SSL to  z punktu widzenia bezpieczeństwa zysk z używania ssh wobec ftp jest niewielki.

Przegrałem zakład. Zgodnie z umową przez cały tydzień w ramach odkupienia winy za brak wiary w tempo rozwoju i datę wydania NetBSD 5.0 musiałem się “samoshackować” i przekierować ruch na blog Cancera. Poniżej ekran z “podmienioną stroną”

“Atak” został nawet odnotowany na forum bsdguru.org. Na kanale ircnet #netbsd.pl pojawiła się  jedna osoba, która miała ochotę przeczytać coś na blogu w tym czasie  i nie byłem to ja|ktoś podstawiony|ani googlebot:)

Tak całość podsumował Cancer na irc.

Day changed to 03 May 2009
23:53 <lama> czas przegonic turkish hakerow :)
Day changed to 04 May 2009
08:25 <cancer> idź, ofiara spełniona :)

User Account Control to jedna z najczęściej krytykowanych właściwości Visty -  niesłusznie. Mechanizm UAC zdecydowanie podwyższa bezpieczeństwo na Windows Vista oraz Windows Server 2008 – osoby używające Linuksa bądź BSD na pewno się z tym zgodzą. UAC bywa denerwujący szczególnie dla użytkowników Windows XP i Windows 2003 (lub wcześniejszych) przyzwyczajonych do pracy w kontekście Administratora. Microsoft prawdopodobnie w Windows 7 zmniejszy “uciążliwość” komunikatów UAC, które nie do końca są jasne dla przeciętnego użytkownika.

Norton Labs przygotował narzędzie, które zastępuje częściowo mechanizm komunikatów UAC, umożliwia zapamiętanie naszej decyzji dla powtarzających się akcji i docelowo ma mieć stworzoną listę dopuszczonych|zablokowanych akcji|programów usprawniającą pracę na przeciętnym “desktopie”

O Norton User Access Control wiecej można przeczytać tutaj.