Proti spamu, ktery projde formularem:
- reCaptcha
- Honeypot (time protection)
- ceske captcha otazky pokud je to lokalni zalezitost jako treba tady root
- DURAZNY osetreni registrace a prispevky povolit jen prihlasenym
Pak je druha vec a to jsou ty XSS a SQLi utoky. Tam lze poradit par veci:
- pravidelne aktualizovat
- idealne mit sveho freelancera, ktery tomu systemu rozumi
- nestahovat placene pluginy "zadaco" - vetsinou to nekdo koupi, "poleci", prida svuj skodlivy kod a hodi na site. tupci si myslej jak vydrbali s puvodnim autorem.
Kazdy system trpi na bezpecnostni chyby. U open-source je to jednodussi napadat, ale stejne tak je vyrazne jednodussi to aktualizovat. Vem si takovou aferu Panama papers. Duverne informace o miliardach dolaru. A nekdo jim to ukradne protoze si nezaplati nejakyho mladase na pravidelny support a nechaji v systemu dele nez rok znamou 0day zranitelnost.
Wordpress je o to náchylnější na průšvihy, o co víc jste na internetu zmiňovaný. Hackboti sbírají adresy, které testují - takže neznámé pingpongové stránky mají daleko větší šanci přežít, než aspoň trochu známý web.
Zajimave je, ze moje prakticka zkusenost ma dva rozmery:
- wp-login.php je nejcastejsi zaznam v logu webserveru
- kdyz prisel Drupalgeddon tak jsem mel napadane 2 weby z asi 50 (vse jsem mel zaplatovane za mene nez 24 hodin). Oba ty weby mely navstevnost max v desitkach uzivatelu tydne (vs weby se statisici uzivatelu mesicne). Byly "za bukem" a spaly, nic nespamovaly atd. Dle meho nazoru se mi chtely dostat do zaloh, aby to bylo problematicke s osetrenim.