Onko Wordpress blog hakkeroitu? Miksi ei päivittää uusimpaan versioon?
12 kesäkuu 2008 mennessä Mircea Goia MyTestBox News
Jos käytät Wordpress blog ohjelmisto (ja se ei ole päivitetty uusimpaan versioon) ehkä ollut tavoite hakkerit, jotka haluavat ottaa blogeja hakukoneen optimointi (SEO) muiden sivustojen ne valvonta-, liikenne-uudelleenohjaus ja muut pahoihin tarkoituksiin.
Suurin osa iskuista koostuvat käyttäen SQL-injektio ja XSS cross-site scripting ja se johtuu siitä, käyttäjä syöttää ei suodateta kunnolla ohjelmisto. Osa hyökkäyksistä käyttöä vastaan , jotka voivat luoda satoja spam sivuja blogiisi automaattisesti paikka backdoor (niin hakkeri voi tulla takaisin myöhemmin) tai varastaa käyttäjien salasanoja.
Hakkerit hyödyntävät avoimen lähdekoodin luonne ohjelmisto tarkastella ja analysoida lähdekoodin erityinen ohjelmisto he haluavat hyökätä ja testata sen mahdolliset haavoittuvuudet. Sitten kehittäjät ja käyttäjät ovat havaita, jäljittää ja sammuttaa haavoittuvuuksia koodin että hyökkääjät käyttävät.
Malli näyttää olevan sama: kun uusi reikä on löytynyt, se on yleisesti käytetty, sitten kehittäjät kiireesti pois laastari ja / tai uusi versio. Suurin vahinko aiheutettu automaattisesti hyödyntää voidaan kääntää kanssa päivityksen, mutta joissakin tapauksissa voit jättää tuhansia roskapostin sivuja ja kuvia puhdistaa (ja ne ovat yleensä hyvin piilotettu). Jos hyökättiin ohjelmisto on hyvin suosittu (ja joka houkuttelee hakata kanssa) - kuten Wordpress - sitten tuhansia asentaa voi vaarantua.
Mahdollisuudet ovat, että blogin omistaja tajuaa liian myöhään, että hänen blogi oli hakkeroitu että miksi se on tärkeää pysyä mukana uusimmat päivitykset ja tietoturvakorjauksia Wordpress.com ja pitää silmällä blogiisi: seurata tilastoja, blogin käyttö, ovat usein varmuuskopiot ja seurata muiden turvallisuuteen blogeja varten uutisia mitään tietoturva-aukkoja yksi niistä BlogSecurity.net .
Aina päivittää Wordpress asennus uusimpaan versioon (myös kaikki viimeisimmät tietoturvapäivitykset julkaistiin olisi asennettu). Muista, että jos olet asentanut Wordpress sisällä Fantastico paketti sitten todennäköisesti sinulla ei ole uusinta versiota paketin (se näyttää Fantastico kaverit vie aikaansa päivittäessään uusimmat versiot ohjelmistosta he ovat tehneet, että paketti - Wordpress mukana). Nopeampi kuin ne päivittää ohjelmistonsa kaverit SimpleScripts (Fantastico ja SimpleScripts yleensä offerend monet hosting-yritykset tilaajilleen).
Miten voit suojata Wordpress asennus?
- Sinun "plugins" hakemistossa ei ole varmistettu oletuksena!
- Valitse vahva salasana!
- Käytä turvallisuuteen liittyvien plugins!
- Nimeä järjestelmänvalvojan tili!
- Varmuuskopioi tietokanta!
- Kirjaudu kaikki $ POST muuttujat?
- Plugins että tarve kirjoittaa pääsy!
- Salaa kaikki viestintää "wp-admin" hakemistossa! (Jos mahdollista)
- Tiukentaa tiedostojen oikeudet!
- Tietenkin päivittää Wordpress!
Ja se tarkoittaa, että mitään "index.html" tai "index.php" tiedoston kyseiseen hakemistoon, jotta jokainen voi nähdä, mitä ampua käytät on juuri menossa "www.yoursite.com / wp-content / plugins". Se on helppo lopettaa tämä luomalla tyhjä HTML-tiedoston nimi "index.html" ja laita se hakemistoon. Job tehty!
Älä käytä helppo arvailla admin Salasana (useita merkkejä pieni nimi, vaimosi nimi, lempinimiä, jne) ... valita enää salasana ja yritä yhdistää siihen numeroita ja isot ja pienet kirjaimet (myös muut merkit, kuten #,$,%,^ ...). Ja vaihtaa admin-salasana regurarly!
Jotkut näistä turvallisuuteen liittyvien plugins voi auttaa sinua:
- BS-WP-NoVersion
Paljon hyökkääjiä ja automatisoituja työkaluja yrittävät selvittää ohjelmiston versiot ennen käynnistämistä hyödyntää koodia. Poistaminen sinun WordPress blog versio saattaa estää joidenkin hyökkääjien ja varmasti vähentää virusten ja mato-ohjelmia, jotka tukeutuvat ohjelmistoversioita.
Voit saada tämän plugin tästä (lataus se PHP-tiedosto - ei txt - ja laita se "ampua"-hakemistoon, niin ota se)
Voit myös käyttää Vaihda WP version plugin .
- Kirjaudu Lockdown
Kirjaudu Lockdown kirjaa IP-osoite ja aikaleiman joka epäonnistui WordPress kirjautuminen yritys. Jos enemmän kuin tietty määrä yrityksiä on havaittu lyhyen ajan samasta IP, niin kirjautuminen toiminto ei ole käytössä kaikkia pyyntöjä, että alue. Tämä auttaa estämään väkisin salasana löytö. Tällä hetkellä plugin oletuksena 1 tunti lukita pois IP-lohkon jälkeen 3 epäonnistunut kirjautuminen yrittää 5 minuutin kuluessa. Tämä voidaan muuttaa kautta Valinnat paneeli. Admisitrators voi vapauttaa lukittu IP-alueita manuaalisesti paneeli.
Lataa se tästä .
- AskApache
AskApache Tunnussana Suojata lisää vakavia salasanasuojaus sinun WordPress blog. Se ei ainoastaan suojaa wp-admin hakemistoon, mutta myös sinun wp-käsittää, wp-content, plugins, jne. plugins samoin. Kuvittele HUGE seinään suojaamaan hauras. Php komentosarjoja loputon hyökkäykset automaattisen web robottien ja salasanan arvaamisen hyödyntää palvelevaa virii. Unohda roskapostia, nämä miljoonat zombie vastaan ovat liian hävytöntä sivuuttaa, ne pyrkivät tiedossa (mutta kumma kyllä vanhentunut) hyödyntää etsii tunnettuja haavoittuvuuksia vastaan blogien ja muiden Internet-ohjelmistot. Ennemmin tai myöhemmin jokin huono bloggaaja on menetät päivittää ja uhriksi tämäntyyppiseen video-peli-like-hyökkäys.
Saat sen tästä .
- WP Security Scan
Skannaa WordPress asennus haavoittuvuudet ja ehdottaa korjaavia toimia: salasanat, tiedostojen oikeudet, tietokanta turvallisuus, versio piilossa, WordPress admin suoja-, poistaa WP Generator metakoodin peruspuhelintoiminnan koodi
Lataa se tästä .
- Käytä Wordpress palomuuria!
Weblog foorumi on altis hakkerointi yrityksiä, jotka siellä heidän ainutlaatuinen palomuurisuojaus Wordpress antaa sinulle mielenrauhaa (niin he sanovat).
Palomuuri kirjoitus tukee PHP ja MySQL tekee siitä ihanteellisen kumppanin Wordpress. Ei ole väliä mitä version Wordpress käytät palomuurin Script tekee blogin varma (suojata blogisi SQL injektiot, Coding virheitä, Cross Site Scripting (XSS), Cross-site pyytää väärennyksestä (CSRF), Salasana varkaus (IP Lock) , Comment Spam, DDoS hyökkäykset, Mukautettu WordPress Sääntöjoukoilla (estää kaikki urotyö)).
Lataa palomuuriohjelma nyt voit tehdä Wordpress asennus suojaamaan web-pohjainen hyökkäykset (tämä ohjelmisto ei ole ilmainen!).
Voit tehdä tämän MySQL herruus-asettaa riviin asiakas komennolla kuten "päivittää tableprefix_users asettaa user_login = 'newuser", jossa user_login = "admin", "tai käyttämällä MySQL käyttöliittymän kuin phpMyAdmin .
Kannattaa varmuuskopioida tiedot regurarly (joka sisältää tietokanta). Salausta taaksepäin, pitää riippumatonta rekisteriä MD5 hash jokaisen varmuuskopion, ja / tai saattamista varmuuskopioita vain luettavissa oleviin välineisiin (kuten CD-R) kasvattaa luottamusta siihen, että tietoja ei ole kajottu.
Yksi hyvä apuohjelma WP-DBManager ja voi ladata tästä tai WP-DB-Backup joka voidaan ladata tästä .
Tai voit käyttää MySQL-tietokantaa manageri valinta: phpMyAdmin (kuinka käyttää tätä varmuuskopio työkalu lukea tästä )
Standard Apache lokit eivät tarjoa paljon apua käsittelee turvallisuutta tutkintaan.
Eli kirjata kaikki $ POST muuttujat toimitetaan WordPress voit käyttää tätä plugin nimeltään Postlogger (lataa se tästä ).
Jos satut käyttää tämän laajennuksen, ja aktiivisesti hakkuut kaikki $ POST muuttujat, ja sinun WordPress asennus on hyväksi, voit palata takaisin ja todella nähdä, missä ja miten hyödyntää tapahtui. Armed tämän tiedon, voit ottaa tiedot WordPress kehittäjille.
Jos plugin haluaa kirjoittaa käsiksi WordPress tiedostoja ja hakemistoja, sitten ensimmäinen lue koodi varmista, että se on legit tai tarkistaa jonkun kanssa johon luotat ja on enemmän taju kuin sinä. Muita mahdollisia paikkoja tarkistaa ovat Wordpress Tukiforum ja IRC-kanava .
Voit turvata ja salata kaikki viestinnästä ja tärkeä WordPress evästeet käyttämällä Admin SSL-plugin. Toimii Yksityiset ja jaetut SSL. Tämä plugin on ladattavissa tästä .
Jotkut WordPress "hienoja ominaisuuksia tulee antaa joitakin tiedostoja olla kirjoitusoikeus web palvelimella. Kuitenkin kerroit hakemus on kirjailla pääsy jotta sinun arkistoida on vaarallinen asia, erityisesti julkisen ympäristössä.
From turvallisuuden kannalta on parasta lukita tiedoston käyttöoikeuksia mahdollisimman paljon ja löysää näitä rajoituksia kertaan, että sinun on sallittava kirjailla pääsy, tai luoda erityisiä kansioita kanssa höllemmässä rajoituksia varten tehdä asioita like Kuvien.
Kuten sanoin edellä, pitää sinun Wordpress asennus tasalla on yksi tärkeä toimenpide hakkereilta. Ja se ei ole vaikea tehdä joko (varmuuskopio kaikesta ennen päivitystä!).
Lisätietoja kovettumista Wordpress asennus täällä , Wordpress verkkosivuilla.
Voit testata oman Wordpress blog heikkoudet Blogsecurity kehittämän verkkosivuston online Wordpress skanneri.
Voit kokeilla sitä täällä .
* HUOM: Ennen tämän skannerin pitää asentaa plugin (nimeltä "WP-skanneri") ne tarjoavat ja voit ladata tästä ! Aktivoi plugin, skannaus blogiisi sitten poistaa plugin jotta muut skannaus blogisi uudelleen.
BlogSecurity tarjoaa myös WordPress suojausasiakirjasta joka on yksityiskohtaista informaatiota siitä turvata sinun Wordpress asennus. Lue lisää täältä .
Nyt kun olet varmistanut blogi (toivottavasti et panna ne edellä mainitut toimenpiteet, ethän? Ainakin useimmat ...) Lue lisää kuinka muut olivat hyökänneet ja mitä he tekivät asian korjaamiseksi. Tai vain lukea kuinka voit olla hyökkäyksen eri tavoin.
- Wordpress Turvallisuusnäkökohdat Johtaa Mass Hakkerointi. Blogisi on seuraavaksi? (jopa Techcrunch kattaa tämän ja se tarkoittaa, että tämä on vakava)
- Oliko Wordpress saada hakkeroitu?
- Hakata!
- Wordpress hakkeroitu!
- Olin hakkeroitu
- Wordpress hakkeroitu: googlerank.info
- Wordpress hakata. Päivitä nyt!
- Wordpress hakata aiheuttaa sivusto on poistettava Google
- Wordpress hakata, sivuston rangaistu
- Laajat WordPress Hakata, Varastaa hakukoneliikenteeseen
- Wordpress 2.3.3 Turvallisuus Retro-Fit
- WordPress Hakata: Elpyä ja Fiksoida Google ja Etsiä Kone tai ei Cookie Liikenne ohjataan Sinun Needs.info, AnyResults.Net, Golden-Info.net ja muut laittomat sivustot
------------
Mircea Goia syntyi Romaniassa ja muutti Yhdysvaltoihin vuonna 2005.
Hän asuu Phoenix, AZ ja toimii web-kehittäjä. Sen lisäksi hän toimii myös useita yrittäjyyteen web-hankkeissa.
Hän osoittaa kiinnostusta kaupallinen WWW-kehitykseen, kuten sosiaalisen verkostot, markkinointi-ja online-video.
Hänen taiteellinen harrastus on elokuvan kanssa erityisen kiinnostunut johtamisesta.
------------
Haluatko lisää web-ohjelmisto arvosteluja, uutisia ja vinkkejä / temppuja?
Sitten varmista, että olet tilata myös RSS-syötteen !
Tags: blog , hacking , secure installation , Tips and Tricks , wordpress , Wordpress security plugins
(6 ääntä, keskimäärin: 5.00 out of 5) 
Loading ... 
Get News by RSS feed
July 1st, 2008 at 7:58 am
[...] Is your Wordpress blog hacked? Miksi ei päivittää uusimpaan versioon? [...]
November 12th, 2008 at 12:10 am
Thx for the info, u really help me with the issue of securing my wp site.
btw i knew that GNUCitizen.org has released plugin for wordpress last october, WP Blogsecurify 1.0 . have u review the plugin? u can see it in http://www.gnucitizen.org/blog/wp-blogsecurify-10/
[ Vastaa ]
November 12th, 2008 at 12:26 am
No, I haven't seen that plugin but I'll take a look. Thank you for the info.
[ Vastaa ]
November 17th, 2008 at 9:12 am
This is a good article.. good work..keep em coming…
[ Vastaa ]
January 3rd, 2009 at 10:59 am
You can use wordpress stealth login like this tutorial http://xtremenitro.org/2008/12/29/stealth-login-secure-your-wordpress-login.html
[ Vastaa ]
January 3rd, 2009 at 3:54 pm
If that page would be in English it would be better.
The link to the stealth plugin is here: http://wordpress.org/extend/plugins/stealth-login/
[ Vastaa ]
January 4th, 2009 at 8:35 pm
Hyviä vinkkejä! It's surprising that the plugins directory doesn't have an index.php or index.html file included by default.
[ Vastaa ]
January 25th, 2009 at 11:01 am
hello ?m speak turk?sh. not speak english:-(
[ Vastaa ]
February 9th, 2009 at 8:14 pm
esta muy bueno el post, sobretodo los plugins para hacer backup de al base de datos
[ Vastaa ]
August 30th, 2009 at 10:18 am
[...] Is your WordPress blog hacked? [...]