MyTestBox.com:: web-Software-Rezensionen, News, Tipps und Tricks

Ist Ihr Wordpress Blog gehackt? Warum nicht ein Upgrade auf die aktuellste Version?

12. Juni 2008 von Mircea Goia schließen Autor: Mircea Goia Name: Mircea Goia
E-Mail: mtb@mytestbox.com
Site: http://www.mytestbox.com
MyTestBox News Über: Mircea Goia wurde in Rumänien geboren und emigrierte in die USA im Jahr 2005. Er lebt in Phoenix, AZ und arbeitet als Web-Entwickler. Neben arbeitet er auch an mehreren unternehmerischen Web-Projekte. Er zeigt großes Interesse an kommerziellen Web-Entwicklung wie soziale Netze, virales Marketing, Online-Video. Sein künstlerisches Hobby ist Filmemachen mit besonderem Interesse in der Leitung. Autoren Beiträge (76) MyTestBox News

Wenn Sie Wordpress Blog-Software ausgeführt werden (und es ist nicht auf die neueste Version aktualisiert) Sie könnten ein Ziel für Hacker auf der Suche zu übernehmen Blogs für Suchmaschinen-Optimierung (SEO) von anderen Websites, die sie kontrollieren, sind gewesen Verkehrs-Umleitung und andere unzulässige Zwecke.

Die meisten Angriffe darin bestehen, mit SQL-Injection und XSS Cross-Site Scripting und das, weil die Benutzereingaben nicht richtig von der Software gefiltert wird. Einige der Attacken nutzen Bots, die Hunderte von Spam-Seiten in Ihrem Blog erstellen können, automatisch, Ort eine Hintertür (so der Hacker kann auf späteren Zeitpunkt kommen) oder Benutzer-Passwörter zu stehlen.

Hacker sind die Vorteile der Open-Source-Charakter der Software zu suchen und die Source-Code einer bestimmten Software, die sie angreifen möchten, und testen für potenzielle Schwachstellen zu analysieren. Da die Entwickler und Anwender haben zu erkennen, ausfindig zu machen, und fahren Sie auf die Schwachstellen im Code, der die Angreifer verwenden.
Das Muster scheint zu sein, das gleiche: wenn ein neues Loch gefunden wird, ist es weitgehend ausgeschöpft, dann eilen die Entwickler einen Patch und / oder ein neues Release. Die meisten Schäden, die durch den automatisierten Exploits zugefügt können mit einem Upgrade rückgängig gemacht werden, aber in einigen Fällen können Sie mit Tausenden von Spam-Seiten und Bilder links zu säubern (und sie sind in der Regel gut versteckt). Wenn der Angriff Software ist sehr beliebt (und auch, dass Hacker) - wie Wordpress - dann Tausende von Installationen kompromittiert werden kann anzieht.

Die Chancen stehen gut, dass ein Blog-Eigentümer spät erkennt, dass in seinem Blog gehackt wurde, dass es wichtig ist, Schritt zu halten mit den neuesten Updates und Sicherheitspatches von Wordpress.com und halten ein Auge auf Ihren Blog: Überwachung der Statistiken, die Blog-Nutzung, haben häufig Backups und andere Sicherheitsrisiken Länge Blogs für Neuigkeiten über alle Sicherheitslücken einer von ihnen ist BlogSecurity.net.

Immer aktualisieren Sie Ihre WordPress-Installation auf die neueste Version (auch alle neuesten Sicherheits-Patches installiert werden sollte). Beachten Sie, dass, wenn Sie innerhalb von Wordpress installiert Fantastico Paket dann ist es sehr wahrscheinlich werden Sie nicht die neueste Version in das Paket (es scheint Fantastico Jungs nimmt ihre Zeit in der Aktualisierung ihrer Paket mit den neuesten Versionen der Software, die sie stellen in diesem Paket -- Wordpress Lieferumfang enthalten). Schneller als sie in die Aktualisierung ihrer Software die Jungs von SimpleScripts (Fantastico und SimpleScripts sind in der Regel von vielen Hosting-Unternehmen, ihren Abonnenten einen offerend).

Wie Sie sichern Sie sich Ihren WordPress-Installation?

• Ihr "Plugins"-Verzeichnis ist standardmäßig nicht gesichert!

Und das bedeutet, es gibt keine "index.html" oder "index.php" Datei in dem Verzeichnis, sodass jeder sehen kann, was Plugins verwenden Sie nur durch Sie auf "www.yoursite.com / wp-content / plugins". Es ist leicht, diese, indem Sie eine leere HTML-Datei mit dem Namen Haltestelle "index.html" und legen Sie sie in diesem Verzeichnis. Job done!

• Wählen Sie ein sicheres Passwort!

Verwenden Sie keine leicht zu erraten sein Admin-Passwort (Ihr mehrere Zeichen kleine Namen, Ihre Frau heißt, Tiernamen, etc) ... Wählen Sie ein längeres Passwort und versuchen, es mit Zahlen und oberen kombinieren / Kleinschreibung (auch andere Zeichen wie #,$,%,^ ...). Und ändern Sie Ihr Admin-Passwort Juli bis Dezember!

• Verwenden Sie Sicherheitssoftware-bezogene Erweiterungen!

Einige dieser sicherheitsrelevante Plugins können Ihnen dabei helfen:

- BS-WP-noversion
Viele der Angreifer und automatisierte Tools werden versuchen, zu bestimmen und Software-Versionen vor dem Start der Exploit-Code. Entfernen Ihrer WordPress-Blog-Version kann einige Angreifer abschrecken und wird sicherlich von Viren und Würmern Programme, die auf Software-Versionen angewiesen zu mildern.
Sie können das Plugin von hier bekommen (Download als PHP-Datei - nicht TXT - und legen Sie sie in Ihrem "Plugins"-Verzeichnis, dann aktivieren Sie es)
Oder Sie verwenden können, ersetzen WP-Plugin-Version.

- Login LockDown
Login LockDown zeichnet die IP-Adresse und Zeitstempel jedes WordPress Login-Versuch gescheitert. Wenn mehr als eine bestimmte Anzahl der Versuche innerhalb einer kurzen Zeit werden von der gleichen IP-Bereich erkannt, so ist die Login-Funktion ist für alle Zugriffe aus diesem Bereich deaktiviert. Dies trägt dazu bei Brute-Force-Passwort Entdeckung zu verhindern. Derzeit das Plugin standardmäßig eine 1 Stunde Sperre aus einem IP-Block nach 3 Login-Versuche nicht innerhalb von 5 Minuten. Dies kann über die Options geändert werden. Admisitrators können aus IP-Bereiche manuell aus dem Release Panel gesperrt.
Laden Sie es von hier.

- AskApache
AskApache Password Protect fügt einige schwerwiegende Passwort Schutz für Ihren WordPress Blog. Nicht nur, dass es zum Schutz Ihres wp-admin-Verzeichnis, sondern auch Ihre wp-includes, wp-content, Plugins, usw. sowie Plugins. Stellen Sie sich einen sehr großen Mauer zum Schutz Ihrer gebrechlich. PHP-Skripte die endlosen Angriffe von automatisierten Web-Robots und zum Erraten des Kennworts-Dienst nutzen Viren. Vergessen Sie Spam, diese Millionen von Zombie-Bots zu skandalös sind zu ignorieren, nutzt sie versuchen, bekannte (aber seltsam veraltet) auf der Suche nach bekannten Sicherheitslücken gegen Blogs und anderen Internet-Software. Früher oder später werden einige arme Blogger wird für ein Upgrade zu verpassen und ein Opfer dieser Art von Video-Game-like-Angriff.
Werde es von hier.

- WP Security Scan
Prüft den WordPress-Installation auf Sicherheitslücken und schlägt vor, Korrekturen vorzunehmen: Passwörter, Zugriffsrechte für Dateien, Datenbank-Sicherheit, Version versteckt, WordPress admin / Umwelt / Sicherheit, entfernt WP META-Tag-Generator von Kern-Code
Laden Sie es von hier.

- Verwenden Sie Wordpress Firewall!
Ein Weblog-Plattform ist anfällig für Hacker-Angriffe, die ist, wo ihre einzigartigen Firewall-Schutz für Wordpress Ihnen Frieden des Verstandes (so sagt man).
Die Firewall-Skript unterstützt PHP und MySQL ist damit ein idealer Partner für Wordpress. Egal, welche Version von Wordpress, Sie verwenden die Firewall-Script wird Ihr Blog sicherer zu machen (Schutz von Ihrem Blog aus SQL-Injections, Coding Fehler, Cross-Site-Scripting (XSS), Cross-Site Request Forgery (CSRF), Passwort-Diebstahl (IP-Lock) , Kommentar-Spam, DDoS Attacken, Customized wordpress Regelsatz (Blöcke Exploits)).
Download Firewall-Software jetzt, um Ihren Wordpress-Installation vor Web-basierte Angriffe zu sichern (diese Software ist nicht frei!).

• Benennen Sie das Administratorkonto!

Sie können dies in den MySQL-Befehl nicht-Client mit einem Befehl wie "update tableprefix_users gesetzt user_login = 'newuser', wo user_login = 'admin';" oder durch Verwendung einer MySQL-Frontend wie phpMyAdmin.

• Sichern Sie Ihre Datenbank!

Sie sollten Ihre Daten Juli bis Dezember (das ist die Datenbank enthält Backup). Verschlüsselung der Backup-, Führung eines unabhängigen Plattenfirmen von MD5-Hashes für jeden Backup-Datei, und / oder Platzierung Backups auf Nur-Lese-Medien (wie CD-R) das Vertrauen, dass Ihre Daten nicht manipuliert wurde erhöht.
Ein gutes Programm ist WP-DBManager und kann von hier oder WP-DB heruntergeladen werden, die aus-Backup hier heruntergeladen werden kann.
Oder Sie können die MySQL-Datenbank-Manager der Wahl: phpMyAdmin (wie man dies als ein Backup-Tool lesen Sie hier verwenden)

• Melden Sie alle POST-Variablen $!

Standard-Apache-Logs bieten nicht viel helfen, mit den Umgang mit Sicherheitsforensik.
Also, an alle POST-Variablen $ log an WordPress können Sie dieses Plugin namens Postlogger verwenden (Download von hier).
Wenn Sie sich mit diesem Plugin geschehen, und das Protokollieren aller aktiv $ POST-Variablen, und dein Wordpress-Installation genutzt wird, können Sie zurückgehen und tatsächlich sehen, wo und wie die aufgetreten nutzen. Mit diesen Informationen versorgt, können Sie die Daten, um die WordPress-Entwickler.

• Plugins, dass der Zugang zu schreiben müssen!

Wenn ein Plugin schreiben will Zugriff auf Ihre WordPress-Dateien und Verzeichnisse, dann lesen Sie zuerst den Code, um sicherzustellen, ist es legitim oder erkundigen Sie sich bei einer Person Ihres Vertrauens und klügeren als Sie. Andere mögliche Stellen zu überprüfen, sind die Wordpress-Support-Foren und IRC Channel.

• Verschlüsseln Sie die gesamte Kommunikation im Rahmen von "wp-admin"-Verzeichnis! (Wenn möglich)

Sie können sicher und verschlüsselt alle Ihre wichtigen Kommunikations-und WordPress Cookies über die Admin-SSL-Plugin. Arbeitet mit Privat-und Shared SSL. Dieses Plugin kann von hier heruntergeladen werden.

• Ziehen Sie die Datei Berechtigungen!

Einige interessante Funktionen WordPress 'kommen aus so dass einige Dateien vom Webserver beschreibbar sein. Allerdings haben lassen eine Anwendung Zugriff auf Ihre Dateien zu schreiben, ist eine gefährliche Sache, vor allem in einem öffentlichen Umfeld.
Aus Sicht der Sicherheit ist es am besten zu sperren Sie die Dateirechte so viel wie möglich zu gestalten und die Einschränkungen für die Gelegenheiten, die Sie zulassen Schreibzugriff erlaubt, oder spezielle Ordner mit mehr lax Beschränkungen für die Dinge zu tun, wie erstellen müssen lockern Hochladen von Bildern.

• Natürlich, aktualisieren Sie Ihre Wordpress!

Wie ich schon sagte, halten Sie Ihre WordPress-Installation auf dem neuesten Stand ist eine der wichtigsten Maßnahmen gegen Hacker. Und es ist nicht kompliziert, um entweder gemacht werden (Backup alles vor dem Upgrade!).

Erfahren Sie mehr über Härten ein Wordpress-Installation hier auf Wordpress-Website.

Um Ihren Wordpress-Blog auf Schwachstellen testen BlogSecurity Website entwickelt ein Online-Scanner Wordpress.
Sie können probieren Sie es aus hier.
* HINWEIS: Vor Gebrauch dieses Scanners Sie benötigen, um ein Plugin zu installieren (so genannte "wp-Scanner") sie bieten und kann von hier heruntergeladen werden! Aktivieren Sie das Plugin-, Scan-Blog, deaktivieren Sie anschließend das Plugin in anderen Scan-Blog wieder zu verhindern.

BlogSecurity bietet auch eine WordPress Security Whitepaper, die detaillierte Informationen über die Sicherung Ihrer Wordpress-Installation. Lesen Sie hier mehr.

Jetzt, wo Sie Ihr Blog gesichert haben (hoffentlich haben Sie die oben genannten Maßnahmen umzusetzen, nicht wahr? Zumindest die meisten von ihnen ...) lesen Sie bitte weiter, wie andere angegriffen wurden und was sie tun, um dieses Problem zu beheben. Oder einfach nur lesen, wie können Sie es durch andere Mittel angegriffen werden.

• Wordpress Security Issues Lead zur Messe Hacking. Is Your Blog weiter? (Auch fallenden Techcrunch dies und das bedeutet, this is serious)
• Hat Ihr Wordpress gehackt?
• Hacked!
• Wordpress gehackt!
• Ich wurde gehackt
• Wordpress gehackt: googlerank.info
• Wordpress gehackt. Upgrade Now!
• Wordpress hack Ursachen Website von Google entfernt werden
• Wordpress gehackt Website bestraft
• Verbreitet WordPress Hack, Stiehlt Search Engine Traffic
• Wordpress 2.3.3 Security Retro-Fit
• WordPress Hack: Erholen und Fix Google und Search Engine or No Cookie-Verkehr umgeleitet Your-Needs.info, AnyResults.Net, Golden-Info.net und anderen illegalen Sites

------------
Mircea Goia wurde in Rumänien geboren und wanderte nach USA im Jahr 2005.
Er lebt in Phoenix, AZ und arbeitet als Web-Entwickler. Neben arbeitet er auch an mehreren unternehmerischen Web-Projekte.
Er zeigt großes Interesse an kommerziellen Web-Entwicklung, wie soziale Netzwerke, virales Marketing und Online-Video.
Sein künstlerisches Hobby ist das Filmemachen mit besonderem Interesse in der Leitung.
------------

Möchten Sie weitere Web-Software-Rezensionen, News und Tipps / Tricks?
Dann stellen Sie sicher, abonnieren Sie unseren RSS-Feed!

Tags: Blog, Hacking, sichere Installation, Tipps und Tricks, WordPress, Wordpress Plugins Sicherheit

(6 Stimmen, Durchschnitt: 5.00 von 5)

Loading ...