Witam.
Czy jestescie w stanie zweryfikowac ponizsze uwagi, dotyczace bezpieczenstwa witryny http://www.romero.com.pl ?
Ktos przeslal maila, a w nim takie oto informacje (jest sie czym przejmowac?).
1. http://www.xxx.romero.com.pl
http://www.romero.com.pl/?page_id=-1
2. Sciezka nawigacyjna nie dziala jak nalezy.
Po wybraniu z menu bocznego kategorii "Drobny sprzet masarski", a nastepnie "kloce masarskie i krajalnice" 'breadcrumbs' nie wskazuja niczego, a powinno to sie prezentowac mniej wiecej tak: :: Drobny sprzet masarski :: kloce masarskie i krajalnice.
Ponadto po wyborze kategorii produktow zawsze 'breadcrumbs' wskazuja nazwe produktu pierwszego na liscie, zamiast stosownych nazw kategorii
3. Brak tagow title oraz alt dla wiekszosci grafik umieszczonych na stronie - wplywa to ujemnie na pozycje w wyszukiwarkach.
4. Brak optymalizacji oraz "Leverage browser caching - expiration" dla grafik pochodzacych z templatki - wp-includes/themes/klient/
Przykladowo plik graficzny http://www.romero.com.pl/wp-content/themes...es/menuBtn2.png
powinien byc zoptymalizowany do takiej postaci:
http://gtmetrix.com/reports/romero.com.pl/...8187767ab66.png
5. Strona nie jest w nalezyty sposob zoptymalizowana pod katem wydajnosci - http://gtmetrix.com/reports/romero.com.pl/v1Oa2cNO
6. Brak stosownej informacji, gdy uzytkownik wylaczy obsluge JavaScript w swojej przegladarce.
7. http://www.romero.com.pl/author/admin/
8. site:romero.com.pl/author/admin/
Wyszukiwarka Google zaindeksowala administratora systemu
9. http://www.romero.com.pl/wp-includes/themes/klient/page.php
10. Brak poprawnej walidacji HTML, CSS
11. Zbyt latwy dostep do panelu administratora, jak rowniez formularza odzyskiwania hasla.
Dopisujac do nazwy domeny wp-admin naszym oczom ukazuje sie formularz, ktory moze stac sie w latwy sposob celem atakow typu Brute Force.
Ponadto mozna przy uzyciu skanera exploitow dokonywac zmian w adresie url, co w konsekwencji moze prowadzic do zmian w bazie danych: http://www.romero.com.pl/wp-login.php?acti...amp;login=admin
12. Brak odpowiednich wpisow w pliku .htaccess, blokujacych potencjalnie niebezpieczne boty.
13. Nie ma zabezpieczenia kluczowych folderow przed indeksacja - robots.txt, istnieje rowniez mozliwosc dostepu z zewnatrz do katalogu wp-admin.
14. Możliwosc ataku na witryne poprzez cookies sluzace do uwierzytelniania oraz XSS.
15. Atak typu SQL Injection jest mozliwy - http://www.romero.com.pl/?page_id=-1 union select 1,2,3,4,5,6,group_concat(user_login,----,user_pass),7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,22,23,24,25,262,7,28,29,30
,31,32,33,34,35,36,37,38,39,40 from wp_users
16. Brak blokady dla katalogu skorek: http://romero.com.pl/wp-content/themes/klient/
17. Po instalacji CMS Wordpress nie wykasowano nastepujacych plikow:
http://www.romero.com.pl/license.txt
http://www.romero.com.pl/readme.html
18. Nie ma blokady dla katalogu wp-includes, mozna wyswietlic zawartosc dokumentu:
http://www.romero.com.pl/wp-includes/version.php
19. Zainstalowane wtyczki sa nieaktualne, jak rowniez sam CMS Wordpress. W tej chwili na serwerze jest zainstalowana wersja 3.7.3 (http://www.romero.com.pl/readme.html), podczas gdy aktualnie obowiazuje wersja 3.9.1.