Onko sinun Wordpress blog hakata? Miksi ei päivitä uusimpaan versioon?
12 kesäkuu 2008 by Mircea Goia MyTestBox News MyTestBox Uutiset
Jos käytät Wordpress blog ohjelmistojen (ja se ei ole päivitetty uusimpaan versioon) ehkä ollut tavoite hakkerit, jotka haluavat ottaa blogit Search-Engine Optimization (SEO) muiden sivustojen ne valvovat, liikenne-uudelleenohjaus ja muun Bad tarkoituksiin.
Suurin osa hyökkäyksistä koostuu käyttää SQL-injektio ja XSS cross-site scripting, ja se johtuu käyttäjän toimia ei suodateta kunnolla ohjelmiston. Jotkin hyökkäykset käyttöä vastaan, jotka voivat aiheuttaa satoja roskapostia sivuja blogiisi automaattisesti, paikka takaoven (jotta hakkeri voi tulla takaisin myöhemmin) tai varastaa käyttäjien salasanoja.
Hakkerit käyttävät hyväkseen avoimen lähdekoodin luonne ohjelmiston tarkastella ja analysoida lähdekoodin erityisen ohjelmiston he haluavat hyökätä ja testata sen mahdolliset heikkoudet. Sitten kehittäjät ja käyttäjät ovat havaita, jäljittää ja sulkea haavoittuvuuksia koodin että hyökkääjät käyttävät.
Malli näyttää olevan sama: kun uusi reikä löytyy, se on laajasti hyödynnetty, niin kehittäjät kiire pois laastari ja / tai uusi versio. Useimmat vahingot automaattisissa hyödyntää voi olla päinvastainen päivityksen, mutta joissakin tapauksissa voit jättää tuhansia roskapostin sivuja ja kuvia puhdistaa (ja ne ovat yleensä hyvin piilotettu). Jos hyökkäsi ohjelmisto on erittäin suosittu (ja joka houkuttelee hakkerit myös) - kuten Wordpress - sitten tuhansia asentaa voi vaarantua.
Todennäköistä, että blogin omistaja tajuaa myöhään, että hänen blogi on tilattu, että miksi se on tärkeää pysyä uusimmat päivitykset ja tietoturvakorjauksia Wordpress.com ja pitää silmällä blogiisi: seurata tilastoja, blogin käyttö, ovat usein varmuuskopiot ja seurata muiden turvallisuuden blogit uutisia mahdollisten turva-aukot heistä on BlogSecurity.net.
Aina päivittää Wordpress asennus uusimpaan versioon (myös kaikki uusimmat tietoturvakorjauksia vapautetaan on asennettu). On tietoinen siitä, että jos olet asentanut Wordpress käsin Fantastico paketin niin todennäköisesti et ole uusin versio paketin (se näyttää Fantastico kaverit vie aikansa päivittäessään uusimmat versiot ohjelmistosta he ovat tehneet, että paketti -- Wordpress mukana). Nopeammin kuin niitä päivittää ohjelmistonsa lyhenteessä SimpleScripts (Fantastico ja SimpleScripts yleensä offerend monet hosting-yritykset niiden tilaajille).
Miten voit suojata Wordpress asennus?
- Sinun "Plugins" hakemistossa ei ole turvattu oletusarvoisesti!
- Valitse vahva salasana!
- Käytön turvallisuuteen liittyviä plugins!
- Nimeä järjestelmänvalvojan tili!
- Varmuuskopioi tietokanta!
- Kirjaudu kaikki $ POST muuttujat!
- Plugins että tarve kirjoitusoikeuksia!
- Salaa kaikki viestintä "WP-admin" hakemistoon! (Jos mahdollista)
- Tiukennettava tiedostojen oikeudet!
- Tietenkin päivittää Wordpress!
Ja se tarkoittaa, että ei ole mitään "index.html" tai "index.php" tiedosto kyseiseen hakemistoon, jotta kuka tahansa voi nähdä, mitä plugins käytät on juuri menossa "www.yoursite.com / WP-content / plugins". On helppo lopettaa tämän luomalla tyhjän HTML-tiedoston nimeltä "index.html" ja laita se, että hakemistoon. Tehdystä työstä!
Älä käytä helposti arvailla admin Salasana (useita merkkejä pieniä nimi, vaimosi nimi, lemmikkien nimiä, jne.) ... valita pidemmän salasanan ja yrittää yhdistää siihen numeroita ja isoja / pieniä kirjaimia (myös muut merkit, kuten #,$,%,^ ...). Ja vaihtaa admin salasanan regurarly!
Jotkut näistä turvallisuuteen liittyviä plugins voi auttaa sinua:
- BS-WP-NoVersion
Paljon hyökkääjien ja automaattisia työkaluja yritän määrittää ohjelmiston versiot ennen käynnistämistä hyödyntää koodia. Poistaminen sinun WordPress blog-versio saattaa estää joidenkin hyökkääjien ja varmasti lieventää virus ja mato-ohjelmat, jotka tukeutuvat ohjelmistoversioita.
Voit saada tämän laajennuksen täältä (lataa se PHP-tiedosto - ei txt - ja laita se "Plugins"-hakemistoon, niin ota se)
Tai voit käyttää Vaihda WP version plugin.
- Kirjaudu Lockdown
Login Lockdown kirjaa IP-osoitteen ja aikaleiman joka ei WordPress kirjautumisyritystä. Jos enemmän kuin tietty määrä yrityksiä on havaittu lyhyen ajan samasta IP, niin login-toiminto on käytössä kaikki pyynnöt, että valikoima. Tämä auttaa estämään raa'alla voimalla salasana löytö. Tällä hetkellä plugin oletuksena 1 tunti lukko pois IP-lohkon jälkeen 3 ole kirjautunut kertaa 5 minuutin kuluessa. Tämä voidaan muuttaa kautta asetuskentässä. Admisitrators voi vapauttaa lukittu IP-alueita käsin paneeli.
Lataa se täältä.
- AskApache
AskApache Tunnussana Suojata lisää vakavia salasanasuojauksen sinun WordPress blog. Se ei ainoastaan suojaa wp-admin-hakemistoon, mutta myös teidän wp-käsittää, WP-sisältöä, Plugins, etc Plugins samoin. Kuvittele VALTAVA seinään suojaa hauraita. PHP komentosarjat loputon iskujen automaattisten web robotteja ja salasana tulkintoja hyödyntää näyttämisen virii. Unohda roskapostin nämä miljoonat Zombie robotit ovat liian törkeää jättää huomiotta, ne pyrkivät tiedossa (mutta kumma vanhentunut) hyödyntää etsii tunnettuja haavoittuvuuksia vastaan, blogeja ja muita Internet-ohjelmistot. Ennemmin tai myöhemmin jotkut köyhät blogger aikoo jättää päivittää ja uhriksi tämäntyyppiseen video-game-like-hyökkäys.
Get it from here.
- WP Security Scan
Skannaa WordPress asennus tietoturvaheikkouksia ja ehdottaa korjaavia toimia: salasanat, tiedostojen oikeudet, tietokanta turvallisuus, versio piilossa, WordPress admin suoja / turvallisuus, poistaa WP Generator metakoodin from ydin-koodi
Lataa se täältä.
- Käytä Wordpress palomuuri!
Weblog foorumi on altis hakkerointi yritykset, jotka on, jos niiden ainutlaatuinen palomuurisuojaus Wordpress antaa sinulle mielenrauhaa (näin sanotaan).
Palomuuri script tukee PHP ja MySQL tekee siitä ihanteellisen kumppanin Wordpress. Ei ole väliä mikä versio Wordpress käytät palomuuria Script tekee blogin varma (suojata blogisi SQL-injektiot, Coding Virheet, Cross Site Scripting (XSS), Cross-site pyynnön väärentäminen (CSRF), salasana varkaus (IP Lock) , kommenttiroskapostia, DDoS hyökkäykset, Mukautettu WordPress Sääntöjoukoilla (estää kaikki hyödyntää)).
Lataa palomuuriohjelman nyt voit tehdä Wordpress asennus suojaamaan web-pohjaisia hyökkäyksiä (tämä ohjelmisto ei ole ilmainen!).
Voit tehdä tämän MySQL command-line client komennolla kuten "päivitetty tableprefix_users asettaa user_login = 'newuser", jossa user_login = "admin", ", tai käyttämällä MySQL käyttöliittymän kuten phpMyAdmin.
Sinun pitäisi varmuuskopioida tietosi regurarly (joka sisältää tietokanta). Salaaminen taaksepäin, pitää riippumatonta tietoa ja MD5-tiivisteiden jokaisen varmuuskopio, ja / tai saattamista varmuuskopiot vain luettavissa median (kuten CD-R) lisää itseluottamusta, että tietoja ei ole käsitelty.
Yksi hyvä apuohjelma WP-DBManager ja voi ladata täältä tai WP-DB-Backup jonka voi ladata täältä.
Tai voit käyttää MySQL-tietokantaa johtajan valinta: phpMyAdmin (miten käyttää tätä taaksepäin koristella lue tästä)
Standard Apachen lokit eivät tarjoa paljon apua käsittelee turvallisuutta Forensics.
Niin, kirjata kaikki $ POST-muuttujat lähetetään WordPress voit käyttää tätä plugin nimeltään Postlogger (voit ladata sen täältä).
Jos satut olemaan käyttää tämän laajennuksen, ja aktiivisesti hakkuut kaikki $ POST-muuttujia, ja sinun WordPress asennus on hyväksi, voit palata takaisin ja todella nähdä, missä ja miten hyödyntää tapahtunut. Varustettuna, että tietoa, voit ottaa tiedot WordPress kehittäjille.
Jos plugin haluaa kirjoittaa käsiksi WordPress tiedostoja ja hakemistoja, sitten ensimmäinen lukea koodin varmista, että se on helposti luettava ja tarkista joku tuttusi ja on tietoisen kuin sinä. Muita mahdollisia paikkoja tarkistamaan ovat Wordpress Tukiforum ja IRC-kanava.
Voit turvata ja salata kaikki tämän tiedonannon ja tärkeitä WordPress evästeiden avulla Admin SSL-plugin. Toimii Yksityinen ja Jaetut SSL. Tämä plugin on ladattavissa täältä.
Jotkut WordPress "hienoja ominaisuuksia tulevat antaa joitakin tiedostoja voidaan pystyy kirjoittamaan web-palvelin. Kuitenkin, vuokraus hakemus on kirjoitusoikeudet tiedostoja on vaarallinen asia, etenkin julkisen ympäristössä.
From turvallisuuden kannalta on parasta lukita tiedoston käyttöoikeuksia niin paljon kuin mahdollista ja irrota ne rajoitukset kertaan, että sinun täytyy antaa kirjoitusoikeudet, tai luoda erityisiä kansioita höllemmässä rajoituksia, joiden tarkoituksena on tehdä asioita, kuten siirtää kuvia.
Kuten sanoin edellä, pitää sinun Wordpress asennus tasalla on yksi tärkeä toimenpide hakkereilta. Ja se ei ole monimutkainen tehtävä joko (varmuuskopio kaikesta ennen päivitystä!).
Lisätietoja kovettumista Wordpress asennus täällä, Wordpress verkkosivuilla.
Voit testata sinun Wordpress blog heikkouksia Blogsecurity verkkosivuilla kehitetty online Wordpress skanneri.
Voit kokeilla sitä täällä.
* HUOM: Ennen tämän skannerin sinun täytyy asentaa plugin (nimeltään "WP-skanneri) ne tarjoavat ja voi ladata täältä! Aktivoi plugin-, skannaus-blogin, sitten poistaa plugin, jotta muut skannaus blogisi uudelleen.
BlogSecurity tarjoaa myös WordPress Security White Paper-raportti, joka on yksityiskohtaiset informations about turvata Wordpress asennus. Lue lisää täältä.
Nyt kun olet SUOJATTU blogisi (toivottavasti et toteuttaa nämä edellä mainitut toimenpiteet, ethän? Ainakin useimmat niistä ...) Lue lisää siitä, miten muut olivat hyökänneet ja mitä he tekivät asian korjaamiseksi. Tai vain lukea, miten voit olla hyökkäyksen eri tavoin.
- Wordpress Turvallisuusnäkökohdat Lead to Mass Hacking. Blogisi on seuraavaksi? (Vaikka Techcrunch kuulu tähän, ja se tarkoittaa, että tämä on vakava)
- Oliko Wordpress get hacked?
- Hakkeroitu!
- Wordpress hakkeroitu!
- Olin tilattu
- Wordpress hakkeroitu: googlerank.info
- Wordpress hakata. Upgrade Now!
- Wordpress hakata aiheuttaa sivusto on poistettu Google
- WordPress hakata, sivuston rangaista
- Laaja WordPress Hack, varastaa hakukoneliikenteeseen
- WordPress 2.3.3 Turvallisuus Retro-Fit
- WordPress Hakata: Elpyä ja Fiksoida Google ja Etsiä Kone tai ei Cookie liikenne ohjataan Sinun Needs.info, AnyResults.Net, Golden-Info.net ja muiden laittomien sivustojen
------------
Mircea Goia syntyi Romaniassa ja muutti Yhdysvaltoihin vuonna 2005.
Hän asuu Phoenix, AZ ja toimii web-kehittäjä. Syrjään, hän toimii myös useita yrittäjyyteen Web hankkeita.
Hän osoittaa kiinnostusta kaupallisten Web-kehitykseen, kuten sosiaaliset verkostot, markkinointi-ja online-video.
Hänen taiteellinen harrastus on elokuvan erityistä kiinnostusta ohjata.
------------
Haluatko lisää web-ohjelmiston arvion, uutisia ja vinkkejä / niksejä?
Jälkeen varmista, että olet tilata myös RSS-syötteen!
Tunnisteet: blogi, hakkerointi, nopea asennus, vinkkejä ja vihjeitä, WordPress, Wordpress turvallisuus Plugins
(6 ääntä, keskiarvo: 5.00 out of 5) 
Loading ... 
1 heinäkuu 2008 at 7:58 am
[...] Onko sinun Wordpress blog hakata? Miksi ei päivitä uusimpaan versioon? [...]
12 marraskuu 2008 at 12:10 am
Thx for the info, u todella auttaa minua asiassa turvata minun WP sivustolla.
BTW Tiesin, että GNUCitizen.org on julkaissut ampua ajaksi WordPress viime lokakuussa, WP Blogsecurify 1.0. on u uudelleen plugin? u nähdä sen http://www.gnucitizen.org/blog/wp-blogsecurify-10/
[Vastaa]
12 marraskuu 2008 aikaa 1226: olen
Ei, en ole nähnyt, että plugin mutta minä katsomaan. Thank you for the info.
[Vastaa]
17 marraskuu 2008 at 9:12 am
Tämä on hyvä artikkeli .. hyvää työtä .. pitää em tulossa ...
[Vastaa]
3 tammikuu 2009 at 10:59
Voit käyttää WordPress varkain kirjautunut näin opetusohjelma http://xtremenitro.org/2008/12/29/stealth-login-secure-your-wordpress-login.html
[Vastaa]
3 tammikuu 2009 aikaa 354: pm
Jos tämä sivu olisi Englanti olisi parempi.
Linkki varkain plugin on täällä: http://wordpress.org/extend/plugins/stealth-login/
[Vastaa]
4 tammikuu 2009 klo 8:35 pm
Hyviä vinkkejä! Se on yllättävää, että plugins hakemistoon ei ole index.php tai index.html tiedoston mukana oletusarvoisesti.
[Vastaa]
25 tammikuu 2009 at 11:01
Haloo? M puhua Turk? sh. puhu Englanti :-(
[Vastaa]
9 helmikuu 2009 at 8:14 pm
esta muy bueno el postitse sobretodo Los plugins para hacer backup de al base de datos
[Vastaa]
30 elokuu 2009 klo 10:18
[...] Onko sinun WordPress blog hakkeroitu? [...]