Van a Wordpress blog csapkodott? Miért nem frissíti a legújabb verzió?

Június 12, 2008 by Goia Mircea
E-mail: mtb@mytestbox.com
Site: http://www.mytestbox.com
MyTestBox News MyTestBox Hírek

Wordpress logo

Ha ön futás Wordpress blog szoftver (és ez nem frissített a legújabb változat), akkor lehetett volna a célpont a hackerek, akik szeretnének átvenni blog-kereső motor optimalizálás (SEO) más oldalakat, mert szabályozza, forgalom-átirányítás és más rossz célokra.

A legtöbb támadás abból áll, segítségével SQL injection és XSS Cross-Site Scripting és hogy azért van, mert a felhasználó által nem szűrt megfelelően a szoftver által. Néhány támadások botok használatát, amely hozhat létre több száz spam oldalak a blog automatikusan hely Egy backdoor (tehát a hacker jöhet vissza később), vagy ellopják a felhasználók jelszavakat.

Hackerek kihasználják a nyílt forráskódú a szoftver, hogy vizsgálja meg és elemzi a forráskódot egy külön szoftvert akarnak támadni és próbálja ki a potenciális biztonsági réseket. Majd a fejlesztők és a felhasználók felderítése, a pálya le, és állítsa le a sebezhető a kódot, hogy ezek a támadók használ.
A minta úgy tűnik, hogy ugyanaz: ha egy új lyukat találtak, ez széles körben használni, akkor a fejlesztők kiront egy javítást és / vagy egy új release. A legtöbb kárt okozták az automatizált hasznosítja lehet visszafordítani egy frissítést, de néhány esetben az is lehet hagyni a több ezer spam oldalak és képek tiszta up (és ezek általában jól rejtett). Ha a támadás szoftver nagyon népszerű (és vonzza a hackerek is) - mint a Wordpress -, akkor több ezer telepíti is veszélybe kerül.

Esélye, hogy a blog tulajdonosa rájön, hogy a blog késő volt, csapkodott, hogy miért fontos, hogy lépést tartson a legújabb frissítések és biztonsági javítások Wordpress.com, és tartsa szemmel a blog: monitor a statisztikák, a blog használata, amelyek gyakori mentések és a pálya más biztonsági blogokat a híreket az esetleges biztonsági réseket egyikük BlogSecurity.net.

Mindig frissítsd a Wordpress telepítés a legújabb verzióra (is akármi legfrissebb biztonsági javítások szabadítani kell telepíteni). Figyelembe, hogy a telepített Wordpress belül Fantastico csomagot, akkor nagy valószínűséggel nem lesz a legutolsó változat a csomagban (ez látszik Fantasztikus fickók úgy idejüket frissítése a csomag legújabb változata a szoftver, hogy az általuk bevezetett csomag -- Wordpress is beleértve). Gyorsabb, mint azokat a szoftver frissítése a srácok a SimpleScripts (Fantastico és a SimpleScripts általában offerend sokan hosting cégek saját előfizetők).

Hogyan védheti meg Wordpress telepítés?

Az Ön "dugó" a könyvtár nem biztosított hiba!

És ez azt jelenti, hogy nincs "index.html" vagy "index.php" file-ban, hogy a könyvtárban így bárki láthatja, milyen dugó van ön használ az csak úgy "www.yoursite.com / wp-content / plugins". Könnyen hogy hagyjanak fel ezzel megteremtve egy üres HTML fájl neve "index.html", és tegye az adott könyvtárban. Job done!

Válassz egy erős jelszót!

Ne használjon könnyen kitalálható, hogy admin jelszót (a több karaktert kicsi nevét, a felesége nevét, kedvencek nevei, stb) ... hosszabb válasszon jelszót és próbálja kombinálni számokkal és kisbetű levelek (akár más karakter, mint a #,$,%,^ ...). És a változás az admin jelszót regurarly!

Használja biztonsággal kapcsolatos dugó!

Néhány ilyen biztonsággal kapcsolatos plugin segíthet Önnek:

- BS-WP-NoVersion
Sok támadók és automatizált eszközökkel megpróbálja, és meghatározza szoftverek elindítása előtt kihasználni kódot. Eltávolítása a WordPress blog változat eltántoríthatja néhány támadók, és minden bizonnyal mérséklik majd vírus és féreg programok támaszkodnak szoftververzió.
Tudod kap ez a dugó-ból van (töltsd le a PHP fájlt - nem TXT -, és helyezd el őket a "dugó" könyvtárba, majd aktiválja azt)
Vagy használható Csere WP plugin verzióját.

- Bejelentkezés Lockdown
Belépés Lockdown rögzíti az IP címet és időbélyeg minden WordPress sikertelen bejelentkezési kísérlet. Ha több, mint egy bizonyos számú kísérlet észlelése belül rövid időn belül azonos IP tartomány, akkor a bejelentkezési funkció le van tiltva minden kérését, hogy a tartományban. Ez segít megelőzni a brute force password felfedezés. Jelenleg a bővítmény alapértelmezés szerint egy 1 órás zár ki egy IP blokk után 3 sikertelen belépési kísérlet 5 percen belül. Ez lehet módosítani keresztül a Beállítások panel. Admisitrators leoldhatja zárva IP tartományok kézzel a panelt.
Letölt ez-ból van.

- AskApache
AskApache Jelszó Megvéd hozzáteszi, néhány komoly jelszavas védelem a WordPress blog. Nem csak azt védi a wp-admin könyvtárba, hanem a wp-tartalmaz, wp-tartalom, dugó, dugó, stb is. Képzeljen el egy hatalmas téglafal védjük meg törékeny. Php scripteket a végtelen támadásokat automatizált web-robotok és a jelszó találgatás kihasználják-kiszolgáló virii. Felejtsd el a spam, e milliónyi zombi botok túl felháborító, hogy figyelmen kívül hagyja, akkor megpróbálja ismert (de furcsa elavult) hasznosítja keres az ismert biztonsági rések ellen, blogok és egyéb internetes szoftver. Előbb vagy utóbb néhány szegény blogger nem fog hiányozni a frissítést, és áldozatává válhat az ilyen típusú video-game-szerű támadás.
Kap ez-ból van.

- WP Security Scan
Átvizsgálja a WordPress létesítmény biztonsági réseket, és javasolja a korrekciós intézkedések: jelszavakat, fájlengedélyek, adatbázis-biztonság, a verzió rejtőzik, WordPress admin védelmi / biztonsági, eltávolítja a WP Generator META tag a fő-kód
Letölt ez-ból van.

- Használja Wordpress tűzfalat!
A weblog platform van téve a feltörési kísérleteket, amelyek, ha azok egyedi tűzfalas védelem a Wordpress megadja a nyugalmat (így mondják).
A tűzfal szkript támogatja a PHP és a MySQL így ideális partner a Wordpress. Nem számít, milyen verziójú Wordpress használja a tűzfal szkript fogja tenni a blog biztonságos (védi a blog az SQL injekciókat, kódolási hibák, Cross Site Scripting (XSS), Cross-Site Request Hamis (CSRF) Jelszó lopás (IP-Lock) , Comment Spam, DDoS támadások, Egyedi wordpress szabályrendszert (blokkol minden hasznosítja)).
Letöltés tűzfal most, hogy a Wordpress telepítési biztonságos web-alapú támadások ellen, (ez a szoftver nem ingyenes!).

Nevezze át az igazgatási számla!

Ezt megteheti a MySQL parancssori kliens hasonló parancs "update tableprefix_users set user_login = 'newuser", ahol user_login =' admin '; ", vagy használja a felületet, mint a MySQL phpMyAdmin.

Biztonsági másolatot az adatbázisról!

Érdemes hát-a adat regurarly (amely tartalmazza az adatbázis). Titkosítása a biztonsági mentés, nyilvántartva a független lemezkiadó az MD5 hash az egyes mentési fájl, és / vagy a forgalomba a biztonsági mentést, csak olvasható adathordozó (például CD-R) növeli a bizalmat, hogy adatait nem hamisították meg.
Egy jó segédprogram a WP-DBManager és letölthető itt vagy a WP-DB-Backup, amely letölthető itt.
Vagy használhatja a MySQL adatbázis-kezelő választás: phpMyAdmin (hogyan kell használni ezt a biztonsági eszközt itt olvasható)

Naplózni a $ POST változók!

Standard Apache naplók nem nyújtanak sok segítséget a biztonsággal foglalkozó kriminalisztika.
Igen, naplózni $ post változót küldött WordPress használhatja ezt a plugin neve Postlogger (letölthető azt ide).
Ha véletlenül használja ezt a plugint, és aktívan fakitermelés valamennyi $ POST változókat, majd a WordPress install hasznosítják, akkor képes lesz arra, hogy menjen vissza és valójában hol és hogyan történt a tett. Felfegyverkezve, hogy az információ, akkor veszi az adatokat a WordPress fejlesztők számára.

Plugins igénylő írási!

Ha a dugó akar írási WordPress fájlokat és könyvtárakat, akkor olvassa el a kódot, hogy ellenőrizze, hogy az legális, vagy kérdezze meg valakit, akiben megbízik, és több hozzáértés, mint te. Egyéb lehetséges helyeket, hogy ellenőrizze a Wordpress-támogatási fórumok és az IRC-csatorna.

Titkosítására minden belüli kommunikáció "wp-admin" könyvtár! (Ha lehetséges)

Ön a biztonságos és titkosítja az összes kommunikációs és fontos WordPress cookie-kat használ a Admin-SSL plugin. Működik a magán-és Shared SSL. Ez a plugin letölthető itt.

Szigorítják a jogosultságokat!

Néhány WordPress "nagyszerű tulajdonsága származik, amely lehetővé teszi néhány fájlt, hogy írható webszerver. Mindazonáltal, bérbeadás kérelem írási hozzáférést a fájlokhoz egy veszélyes dolog, különösen egy olyan nyilvános környezet.
Biztonsági szempontból, a legjobb zár le a fájlt jogosítványok, amennyire csak lehetséges, és lazítani e korlátozások az alkalommal, hogy szüksége van ahhoz, hogy írási, vagy hozzon létre különleges mappák több laza korlátozások céljából csinál ilyeneket töltsd fel a képeket.

Természetesen, frissítse a Wordpress!

Ahogy már említettük, tartsa Wordpress telepítési naprakészen az egyik legfontosabb intézkedés a hackerek ellen. És ez nem bonyolult kell tenni vagy (biztonsági mentés minden frissítés előtt!).

Tudjon meg többet az edző egy Wordpress telepítés itt, a Wordpress website.

Tesztelni a Wordpress blog gyengeségek Blogsecurity honlapján kialakított egy on-line Wordpress kutató.
Tudod megpróbál ez ki ide.
* Megjegyzés: Mielőtt ezzel a kutató telepítenie kell egy plugin (nevezett "WP-scanner") kínálnak, és letölthető itt! Aktiválja a plugin, keress a blog, akkor kapcsolja ki a plugin, nehogy mások szkennelés a blog újra.

BlogSecurity is kínál a WordPress biztonsági Fehér Könyvet, amely részletes információk a biztosító a Wordpress telepítés. Bővebben itt.

Most, hogy BIZTOS blog (remélhetőleg te ülteti át ezeket a fenti intézkedések, ugye? Legalábbis a legtöbb ...), kérjük, hogy mások hogyan tovább támadtak, és mit csináltak fix this. Vagy csak olvassa el, hogyan tud a támadást, különböző eszközökkel.

------------
Mircea Goia-ban született Romániában és az USA-ban emigrált, 2005-ben.
Ő él, Phoenix, AZ és dolgozik web developer. Félretéve, dolgozik is több vállalkozói webes projektekhez.
Ő azt mutatja, érdeklődéssel fordul a kereskedelmi webes fejlesztés, mint a társadalmi hálózatok, a marketing és az online videó.
Művészi hobbija a filmezés különös érdek irányításában.
------------

Gömb: Kapcsolódó tartalom

Szeretnél több webes szoftverek véleménye, hírek és tippek / trükkök?
Akkor győződjön meg róla, iratkozz fel RSS!

Tags: blog, hackelés, biztonságos telepítés, Tippek és trükkök, wordpress, biztonság Wordpress plugins

(6 votes, average: 5.00 out of 5)

Loading ...

Ez belépés volt kifüggesztett csütörtök, június 12, 2008-on 1240: vagyok és van iktatott MyTestBox News. Tudod követ akármi válasz-hoz ez belépés átmenő a RSS 2.0 feed. Tudod hagy egy válasz, vagy trackback-ból-a saját telek.