MyTestBox.com :: web software recenze, novinky, tipy a triky

Je váš WordPress blog hacknutý? Proč ne upgrade na nejnovější verzi?

12.06.2008 od Mircea Goia close Autor: Mircea Goia Jméno: Mircea Goia
E-mail: mtb@mytestbox.com
Site: http://www.mytestbox.com
O: Mircea Goia se narodil v Rumunsku a imigrated do USA v roce 2005. Žije ve Phoenixu, AZ a funguje jako webový vývojář. Kromě toho pracuje také na několika podnikatelských webových projektů. On ukazuje velký zájem o komerční vývoj webových aplikací, jako jsou sociální sítě, virální marketing, on-line videa. MyTestBox News Jeho umělecký koníčkem je filmové se zvláštním zájmem v režii. Viz Autoři příspěvky (76) MyTestBox Novinky

Pokud používáte WordPress blog software (a to není aktualizován na nejnovější verzi), který by mohl být terčem hackerů, kteří se snaží převzít blogy pro vyhledávání-Engine Optimization (SEO) jiných lokalit, které kontrolují, dopravní-přesměrování a další špatné účely.

Většina útoků spočívá v používání SQL injection a XSS cross-site scripting , a to je proto, že vstup uživatele není filtrován správně softwaru. Některé z útoků používají roboty , které mohou vytvořit stovky spamových stránek na vašem blogu automaticky, místo backdoor (takže hacker může vrátit v pozdější době), nebo ukrást uživatelé hesla.

Hackeři využívají na open-source povaze softwaru se podívat a analyzovat zdrojový kód konkrétního softwaru, které chtějí napadnout a otestovat na potenciální zranitelnosti. Pak vývojáři a uživatelé mají k detekci, vystopovat, a vypnutí zranitelnosti v kódu, že tyto útočníci se pomocí.
Vzor se zdá být stejné: když je nalezen nový díra, to je široce využíván, pak vývojáři vyběhnout opravu a / nebo novou verzi. Většina škody způsobené tím, automatizované využije může být obrácen s aktualizací, ale v některých případech můžete být ponecháno s tisíci spam stránek a obrázků na vyčištění (a oni jsou obvykle dobře skryté). Pokud napadl software je velmi populární (a to přitahuje hackery i) - jako WordPress - pak tisíce instalací může být ohrožena.

Šance je, že blog majitel si uvědomuje pozdě, že jeho blog byl hacknutý, že důvod, proč je důležité držet krok s nejnovějšími upgrady a bezpečnostních záplat od WordPress.com a dávat pozor na svém blogu: sledování statistik, blog použití, mají často zálohy a sledovat další bezpečnostní blogy pro zprávy o všech bezpečnostních děr, jeden z nich je BlogSecurity.net .

Vždy upgradovat WordPress instalace na nejnovější verzi (také na nejnovější bezpečnostní záplaty uvolněné by měl být nainstalován). Uvědomte si, že pokud jste nainstalovali WordPress zevnitř Fantastico balíčku a poté s největší pravděpodobností nebudete mít nejnovější verzi v balení (zdá Fantastico kluci trvá svůj čas v aktualizaci svého balíčku s nejnovějšími verzemi softwaru, které zavádějí do tohoto balíčku - WordPress v ceně). Rychlejší než jim při aktualizaci jejich software kluci z SimpleScripts (Fantastico a SimpleScripts jsou obvykle offerend mnoho hostingové společnosti svým předplatitelům).

Jak zabezpečit vaši WordPress instalaci?

• Vaše "plugins" adresář není zajištěna standardně!

A to znamená, že neexistuje žádný "index.html" nebo "index.php" soubor v tomto adresáři, takže každý může vidět, co pluginy používáte v jen tak "www.yoursite.com / wp-content / plugins". Je snadné, jak to zastavit tím, že vytvoří prázdný soubor HTML s názvem "index.html" a dal ho v tomto adresáři. Práci!

• Vyberte si silné heslo!

Nepoužívejte snadné uhádnout heslo správce (vaše několik znaků malý jméno, vaše jméno manželky, pet jména, atd.) ... zvolit delší heslo a zkombinovat jej s čísly a horní / malými písmeny (i jiné znaky, jako #, $,%, ^ ...). A změnit administrátorské heslo regurarly!

• Použijte související se zabezpečením pluginy!

Některé z těchto pluginů souvisejících s bezpečností vám může pomoci:

- BS-WP-NoVersion
Mnoho útočníků a automatizovaných nástrojů se bude snažit a určí verze softwaru před spuštěním zneužitelného kódu. Odstranění vašeho WordPress blog verzi může odradit některé útočníky a určitě zmírní virů a worm programy, které spoléhají na software verze.
Můžete si tento plugin z zde (stáhnout jako soubor PHP - není TXT - a dát ji do "plugins" adresáře, a pak ji aktivovat)
Nebo můžete použít Nahradit WP verze plugin .

- Přihlásit Lockdown
Přihlásit Lockdown zaznamenává IP adresu a časové razítko každého neúspěšném pokusu přihlášení WordPress. Pokud je více než určitý počet pokusů jsou detekovány během krátké doby od stejného rozsahu IP adres, pak přihlášení je zakázána funkce pro všechny požadavky z tohoto rozsahu. To pomáhá zabránit silovou heslo objev. V současné době plugin výchozí a 1 hodina zámek z IP bloku po 3 neúspěšných pokusů o přihlášení během 5 minut. To lze změnit pomocí panelu Možnosti. Admisitrators může uvolnit uzamčen rozsahy IP adres ručně z panelu.
Stáhněte si ji z zde .

- AskApache
AskApache Heslo Chránit přidá nějaké vážné ochranu heslem na svůj blog WordPress. Nejen to chránit vaše wp-admin adresář, ale také vaše wp-obsahuje, wp-obsah, pluginy, atd. plugins také. Představte si obrovský cihlovou zeď chránící své křehké. Php skripty z nekonečných útoků automatických webových robotů a hádáním hesla exploit-slouží virii. Zapomeňte na spam, tyto miliony zombie roboty jsou příliš pobuřující ignorovat, jsou pokouší známý (ale kupodivu zastaralý) využívá hledali známých zranitelností proti blogy a jiné internetové software. Dříve nebo později nějaký chudý blogger bude chybět upgrade a stát se obětí tohoto typu video-hry-jako-útok.
Získat ji od zde .

- WP Security Scan
Prohledá váš WordPress instalaci pro bezpečnostní chyby a navrhuje nápravná opatření: hesla, soubor oprávnění, bezpečnost databáze, verze úkrytu, WordPress admin ochrany / zabezpečení, odstraní WP generátor meta tag z kódu jádra
Stáhněte si ji z zde .

- Použijte WordPress firewall!
Platforma weblog je citlivá na hacking, které je místo, kde jejich unikátní firewall pro WordPress vám klid (tak říkají).
Firewall skript podporuje PHP a MYSQL takže je ideálním partnerem pro WordPress. Bez ohledu na to, jakou verzi WordPress používáte Firewall Script bude váš blog secure (ochrana svůj blog z injekce SQL, kódování chyby, Cross Site Scripting (XSS), Cross-site žádost Padělek (CSRF), Password krádež (IP Lock) , Comment Spam, DDoS útoků, Customized wordpress sada pravidel (blokuje všechny exploity)).
Automaticky firewall nyní , aby se váš WordPress instalace bezpečná proti webovým útokům (tento software není zdarma!).

• Přejmenovat účet správce!

Můžete to udělat v MySQL příkazového řádku klienta s příkazem "tableprefix_users aktualizací uvedených user_login = 'nový_uživatel", kde user_login =' admin ', ", nebo pomocí frontend MySQL jako phpMyAdmin .

• Zálohujte si databázi!

Měli byste zálohovat vaše data, regurarly (která obsahuje databázi). Šifrování zálohy, vedení nezávislé záznam MD5 hash pro každý soubor zálohy, a / nebo uvádění zálohy na read-only médiích (např. CD-R) zvyšuje jistotu, že vaše data nebyla manipulováno.
Jeden dobrý nástroj je WP-dbmanager a lze je stáhnout z zde nebo WP-DB-Backup, který lze stáhnout z zde .
Nebo můžete použít databáze MySQL manažer výběru: phpMyAdmin (jak používat to jako nástroj pro zálohování čtěte zde )

• Zaznamenávat všechny své $ POST proměnné!

Standardní Apache logs neposkytují mnoho pomoci s řešením zabezpečení forenzní.
Takže, zaznamenávat všechny $ POST proměnné poslané na WordPress, můžete použít tento plugin s názvem Postlogger (ke stažení na zde ).
Pokud se vám stalo, že používáte tento plugin, a aktivně protokolování všech $ POST proměnné, a vaše WordPress instalace je využíván, budete moci jít zpět a skutečně vidět, kde a jak exploit došlo. Vyzbrojeni těmito informacemi, můžete si vzít data na WordPress vývojáře.

• Pluginy, které potřebují přístup pro zápis!

Pokud plugin chce napsat přístup k vašim WordPress souborů a adresářů, pak nejprve přečíst kód, aby se ujistil, že je legit nebo se zeptejte někoho, komu důvěřujete, a je více důvtipný než vy. Další možné místa na check jsou WordPress Diskuzní fóra a IRC kanálu .

• Šifrování veškeré komunikace v rámci "wp-admin" adresáři! (Pokud je to možné)

Můžete zabezpečení a šifrování všechny vaše komunikace a důležitých WordPress sušenky pomocí Admin-SSL plugin. Pracuje s vlastní i společnou SSL. Tento plugin můžete stáhnout z zde .

• Utáhněte souborů oprávnění!

Některé z vychytávek WordPress "pochází z umožňující některé soubory být zapisovatelný webovým serverem. Nicméně, nechat aplikaci mít přístup pro zápis k souborům je nebezpečná věc, a to zejména ve veřejném prostředí.
Z bezpečnostního hlediska je nejlepší uzamknout své oprávnění k souborům, jak jen je to možné, a aby se uvolnily tato omezení o příležitostech, které budete potřebovat, aby přístup pro zápis, nebo chcete-li vytvořit zvláštní složky s více laxní omezení za účelem dělat věci, jako nahrávání snímků.

• Samozřejmě, aktualizujte si WordPress!

Jak jsem uvedl výše, aby vaše WordPress instalace aktuální , je jedním z nejdůležitějších opatření proti hackerům. A to není složité udělat buď (zálohování všechno před upgradem!).

Dozvědět se více o kalení a instalaci WordPress zde , na webových stránkách WordPress.

Chcete-li otestovat WordPress blog nedostatky Blogsecurity stránky vytvořila on-line WordPress skener.
Můžete to vyzkoušet zde .
* POZNÁMKA: Před použitím tohoto skeneru je nutné nainstalovat plugin (s názvem "wp-scanner"), které nabízejí a lze je stáhnout z zde ! Aktivujte plugin, skenování svůj blog, potom deaktivujte plugin, aby se zabránilo ostatním skenování svůj blog znovu.

BlogSecurity rovněž nabízí bezpečnost, WordPress Whitepaper, který má detailní informace o zabezpečení vašeho WordPress instalace. Čtěte více zde .

Nyní, když budete mít zajištěné svůj blog (doufejme, že jste udělali realizovat ty výše uvedené opatření, pro vás? Alespoň většina z nich ...), prosím, přečtěte si více jak byli napadeni jiní a co ti to udělali opravit. Nebo stačí si přečíst, jak si můžete být napaden různými způsoby.

• WordPress Bezpečnostní otázky vést ke Mass Hacking. Je Váš blog Next? (i TechCrunch se vztahuje toto, a to znamená, že je to vážné)
• Bylo vaše WordPress dostat počítačový pirát?
• Hacked!
• WordPress hacknutý!
• I byl hacknut
• WordPress hacknutý: googlerank.info
• WordPress nabourat. Aktualizujte teď!
• WordPress hack způsobí stránky musí být odstraněny z Google
• WordPress hacknutý, stránky penalizována
• Rozsáhlá WordPress Hack, krade Search Engine provoz
• WordPress 2.3.3 Bezpečnostní Retro-Fit
• WordPress Hack: Recover a Fix Google a vyhledávače, nebo žádný soubor cookie provoz přesměrován na-Needs.info, AnyResults.Net, Golden-Info.net a dalších nelegálních stránek

------------
Mircea Goia se narodil v Rumunsku a emigroval do USA v roce 2005.
Žije ve Phoenixu, AZ a funguje jako webový vývojář. Kromě toho pracuje také na několika podnikatelských webových projektů.
On ukazuje velký zájem o komerční vývoj webových aplikací, jako jsou sociální sítě, virální marketing a online videa.
Jeho umělecký koníčkem je filmové se zvláštním zájmem v režii.
------------

Tags: blog , hacking , bezpečné instalace , Tipy a triky , wordpress , Wordpress pluginy zabezpečení

(6 hlasů, průměr: 5,00 z 5)

Loading ...