MyTestBox.com:: revisiones del software web, noticias, consejos y trucos

¿Es su blog de Wordpress hackeado? ¿Por qué no actualizar a la versión más reciente?

12 de junio 2008 por Mircea Goia Autor cierre: Mircea Goia Nombre: Mircea Goia
Correo electrónico: mtb@mytestbox.com
Web: http://www.mytestbox.com
MyTestBox News Acerca de: Mircea Goia nació en Rumanía y emigró a EE.UU. en 2005. Vive en Phoenix, AZ y trabaja como desarrollador web. Además, trabaja también en varios proyectos empresariales Web. Se muestra un gran interés en el desarrollo web comerciales como sociales redes, marketing viral, video en línea. Su afición artística es el cine, con especial interés en la dirección. See Autores Posts (76) MyTestBox Noticias

Si está ejecutando software de blog de Wordpress (y no es actualizado a la versión más reciente) que podría haber sido un objetivo para los hackers que buscan hacerse cargo de blogs para la optimización del motor de búsqueda (SEO) de otros sitios bajo su control, la redirección de tráfico y otros fines malos.

La mayoría de los ataques consisten en el uso de inyección de SQL y XSS cross-site scripting y que se debe a la entrada del usuario no se filtra correctamente el software. Algunos de los ataques contra los robots de uso que pueden crear cientos de páginas de spam en tu blog de forma automática, el lugar una puerta trasera (para que el pirata informático puede volver en el tiempo más tarde) o robar contraseñas de los usuarios.

Los hackers están tomando ventaja de la naturaleza de código abierto del software para ver y analizar el código fuente de un software específico que quieren atacar y poner a prueba para posibles vulnerabilidades. Entonces, los desarrolladores y los usuarios han de detectar, rastrear, y cerrar las vulnerabilidades en el código que los atacantes están utilizando.
El patrón parece ser el mismo: cuando se encuentra un nuevo agujero, es ampliamente explotados, a continuación, los desarrolladores de punta a cabo una revisión y / o una nueva versión. La mayoría de los daños causados por las hazañas automatizado puede ser revertida con una actualización, pero en algunos casos se puede quedar con miles de páginas de spam y las imágenes de limpiar (y que están bien escondidas). Si el software es muy popular atacado (y que atrae a hackers también) - como Wordpress - entonces miles de instalaciones puede ser comprometida.

Lo más probable es que el propietario del blog se da cuenta tarde de que su blog fue hackeado por eso es importante mantenerse al día con las últimas actualizaciones y parches de seguridad de Wordpress.com y mantener un ojo en su blog: supervisar las estadísticas, el uso de blog, tienen frecuentes copias de seguridad y blogs de otro tema más de seguridad para las noticias sobre los agujeros de seguridad de uno de ellos es BlogSecurity.net.

Siempre actualizar su instalación de Wordpress a la última versión (también los últimos parches de seguridad liberados deben ser instalados). Tenga en cuenta que si ha instalado dentro de Wordpress paquete Fantastico lo más probable es que usted no tendrá la última versión del paquete (que parecen chicos Fantastico toma su tiempo en la actualización de su paquete con las últimas versiones del software que ponen en ese paquete -- Wordpress incluido). Más rápido que en la actualización de su software de los chicos de SimpleScripts (Fantastico y SimpleScripts suelen offerend por muchas compañías de hosting a sus abonados).

¿Cómo asegurar que su instalación de Wordpress?

• Su "plugins" del directorio no está garantizado por defecto!

Y eso significa que no hay "index.html" o "index.php" archivo en ese directorio para que cualquiera pueda ver lo que está usando plugins por sólo va a "www.yoursite.com / wp-content / plugins". Es fácil de poner fin a esta mediante la creación de un espacio en blanco archivo HTML llamado "index.html" y lo puso en ese directorio. Trabajo!

• Elija una contraseña fuerte!

No utilice un fácil de adivinar la contraseña de administrador (su nombre de varios personajes pequeños, el nombre de su esposa, nombres de mascotas, etc) ... elegir una contraseña más larga y trata de combinar con números y las mayúsculas y minúsculas (incluso otros personajes como #,$,%,^ ...). Y cambiar la contraseña de administrador regurarly!

• Usar seguridad relacionadas con plugins!

Algunos de estos complementos relacionados con la seguridad puede ayudarle a:

- BS-WP-NoVersion
Muchos de los atacantes y herramientas automatizadas a tratar de determinar las versiones de software antes de lanzar el código de explotación. Eliminación de la versión de su blog de WordPress puede disuadir a algunos de los atacantes y, ciertamente, atenuar el virus y los programas de gusano que se basan en versiones de software.
Usted puede obtener este plugin desde aquí (descarga como un archivo PHP - no TXT - y lo puso en su "plugins" del directorio, a continuación, active)
O puede utilizar Reemplazar plugin WP versión.

- Login LockDown
Ingresar LockDown registra la dirección IP y la fecha y hora de cada intento de WordPress no inicio de sesión. Si más de un cierto número de intentos son detectados en un corto período de tiempo desde el mismo rango IP, entonces la función de inicio de sesión está deshabilitado para todas las peticiones de ese rango. Esto ayuda a prevenir el descubrimiento de contraseñas por fuerza bruta. Actualmente, los valores predeterminados de plugin para durante 1 hora de bloqueo de un bloque de IP después de 3 intentos fallidos de inicio de sesión en 5 minutos. Esto puede ser modificada mediante el panel de Opciones. Admisitrators puede liberar bloqueado rangos de direcciones IP manualmente en el panel.
Puedes descargarlo desde aquí.

- AskApache
AskApache Password Protect añade algo de protección de contraseña seria a su blog de WordPress. No sólo proteger su wp-admin, sino también su wp-content, wp-content, plugins, etc, así como plugins. Imaginemos una pared de ladrillo proteger su frágil. Scripts PHP de las interminables ataques de robots web automatizado y la contraseña de adivinar explotar-que actúa virii. Olvídese de spam, estos millones de robots de zombis son demasiado desagradables como para pasar por alto, están tratando de conocer (pero algo pasado de moda) explota en busca de vulnerabilidades conocidas en contra de los blogs y el software de Internet. Tarde o temprano algún blogger pobres se va a perder una actualización y convertirse en una víctima de este tipo de juegos de video-como-ataque.
Obtener desde aquí.

- WP Security Scan
Analiza su instalación de WordPress para vulnerabilidades de seguridad y sugiere acciones correctivas: contraseñas, permisos de archivos, seguridad de bases de datos, ocultando la versión, la protección de WordPress admin / seguridad, elimina WP etiqueta META Generador de código del núcleo
Puedes descargarlo desde aquí.

- Uso de cortafuegos Wordpress!
Una plataforma de weblog es vulnerable a los intentos de hacking que es donde su única protección de firewall para Wordpress te dará la paz de la mente (eso dicen).
El script de firewall soporta PHP y MySQL por lo que es un socio ideal para Wordpress. No importa cuál sea la versión de Wordpress que está utilizando la secuencia de comandos de Firewall de seguro harán de su blog (que protege tu blog de Inyecciones SQL, errores de codificación, Cross Site Scripting (XSS), Cross-site solicitud falsificación (CSRF), robo de contraseñas (IP Lock) , el comentario de spam, ataques de DDoS, wordpress conjunto de reglas personalizadas (bloquea todas las hazañas)).
Descargar el software de servidor de seguridad ahora para hacer su instalación de Wordpress seguro contra ataques basados en Web (este software no es libre!).

• Cambie el nombre de la cuenta de administrador!

Usted puede hacer esto en el comando de MySQL con un cliente de línea de comandos como "actualización de tableprefix_users conjunto user_login = 'sam', donde user_login = 'admin';", o utilizando una interfaz de MySQL como phpMyAdmin.

• Copia de seguridad de su base de datos!

Usted debe de copia de seguridad de sus datos regurarly (que incluye la base de datos). Cifrar la copia de seguridad, manteniendo un registro independiente de hashes MD5 para cada archivo de copia de seguridad, y / o copias de seguridad puesta en medio de sólo lectura (como CD-R) aumenta su confianza de que sus datos no han sido manipulados.
Una buena utilidad es WP-DBManager y se puede descargar desde aquí o WP-DB-Backup que se puede descargar desde aquí.
O puede usar el gestor de base de datos MySQL de la elección: phpMyAdmin (cómo utilizar esto como una herramienta de copia de seguridad leer aquí)

• Registro de todas las variables $ POST!

Norma registros de Apache no ofrecen mucha ayuda a tratar con forenses de seguridad.
Así que, para registrar todas las variables $ correos enviados a WordPress puede utilizar este plugin llamado Postlogger (descargarlo desde aquí).
Si le sucede a utilizar este plugin, y activa de registro de todas las variables $ POST, y su instalación de WordPress es explotado, usted será capaz de volver y ver realmente dónde y cómo ocurrió la hazaña. Armado con esa información, usted puede tomar los datos a los desarrolladores de WordPress.

• Plugins que necesita acceso de escritura!

Si quiere escribir un plugin para el acceso a los archivos de WordPress y directorios, a continuación, lea primero el código para asegurarse de que es legítimo o consulte con alguien de confianza y es más inteligente que tú. Otros posibles lugares para ver son el soporte Wordpress foros y canales IRC.

• Cifrar todas las comunicaciones dentro de "wp-admin" directorio! (Si es posible)

Puede asegurar y encriptar todas las comunicaciones y las cookies de WordPress usando el Administrador de importante-plugin SSL. Obras privadas y compartidas con SSL. Este plugin se puede descargar desde aquí.

• Apriete los permisos de archivo!

Algunas de las características cool WordPress 'provienen de permitir que algunos archivos que ser escribible por el servidor web. Sin embargo, permitiendo que una aplicación tenga acceso de escritura a los archivos es una cosa peligrosa, sobre todo en un entorno público.
Desde una perspectiva de seguridad, lo mejor es bloquear los permisos de archivo tanto como sea posible y para aflojar las restricciones en las ocasiones en que usted necesita para permitir acceso de escritura, o crear carpetas especiales con restricciones más laxos con el propósito de hacer las cosas como cargar imágenes.

• Por supuesto, actualizar tu Wordpress!

Como dije anteriormente, manteniendo su instalación de Wordpress al día es una de las medidas más importantes contra los piratas informáticos. Y no es complicado hacerse de forma (todo lo de copia de seguridad antes de actualizar!).

Aprenda más sobre Reforzamiento de una instalación de Wordpress aquí, en el sitio web de Wordpress.

Para probar su blog de Wordpress para las deficiencias del sitio web de Blogsecurity desarrollado un escáner de Wordpress en línea.
Puedes probarlo aquí.
* NOTA: Antes de usar este escáner es necesario instalar un plugin (llamada "wp-scanner") que ofrecen y se puede descargar desde aquí! Activar el plugin, escanea tu blog, a continuación, desactivar el plugin para prevenir que otras el escaneo de su blog de nuevo.

BlogSecurity también ofrece un Libro blanco de Seguridad de WordPress que ha informaciones detalladas acerca de cómo proteger su instalación de Wordpress. Más información aquí.

Ahora que ya han asegurado su blog (esperemos que no aplicar estas medidas, ¿no?, Al menos, la mayoría de ellos ...) por favor lea más como otros fueron atacados y qué hicieron para solucionarlo. O leer ¿Cómo puedes ser atacado por diferentes medios.

• Wordpress Problemas de seguridad de plomo a la misa Hacking. Es su blog Next? (Incluso Techcrunch cobertura de este y que significa esto es serio)
• ¿Su Wordpress get hacked?
• Hacked!
• Wordpress hackeado!
• Me fue hackeado
• Wordpress hackeado: googlerank.info
• Wordpress hackeado. Actualizar ahora!
• Wordpress hack causas sitio a ser eliminado de Google
• Wordpress hackeado, sitio penalizado
• Generalizada WordPress Hack, Roba Buscador de Tráfico
• WordPress 2.3.3 Seguridad Retro-Fit
• WordPress Hack: Recuperar y Fix Google y Buscador o No Cookie Tráfico Redirigido a Su-Needs.info, AnyResults.Net, Golden-Info.net y otros sitios ilegales

------------
Mircea Goia nació en Rumanía y emigró a EE.UU. en 2005.
Él vive en Phoenix, AZ y trabaja como desarrollador web. Además, trabaja también en varios proyectos empresariales Web.
Se muestra un gran interés en el desarrollo web comerciales, tales como las redes sociales, marketing viral y de vídeo en línea.
Su afición artística es el cine, con especial interés en la dirección.
------------

¿Quieres más software web comentarios, noticias y consejos / trucos?
Luego, asegúrese de suscribirse a nuestro feed RSS!

Etiquetas: blog, hacking, instalación segura, Consejos y trucos, wordpress, plugins de seguridad de Wordpress

(6 votos, promedio: 5.00 fuera de 5)

Cargando ...