MyTestBox.com:: web review software, berita, tips dan trik

Apakah blog Wordpress hacked? Mengapa tidak upgrade ke versi terbaru?

12 Juni 2008 oleh Mircea Goia dekat Pengarang: Mircea Goia Nama: Mircea Goia
Email: mtb@mytestbox.com
Site: http://www.mytestbox.com
MyTestBox News Tentang: Mircea Goia lahir di Rumania dan beremigrasi ke Amerika Serikat pada tahun 2005. Ia tinggal di Phoenix, AZ dan bekerja sebagai web developer. Selain, ia juga bekerja pada beberapa proyek web kewirausahaan. Dia menunjukkan minat dalam pengembangan web komersial seperti sosial jaringan, viral marketing, video online. Nya hobi artistik pembuatan film dengan minat khusus dalam mengarahkan. Lihat Authors Posts (76) MyTestBox Berita

Jika Anda menjalankan blog Wordpress perangkat lunak (dan itu tidak upgrade ke versi terbaru) Anda mungkin telah menjadi target hacker yang mencari untuk mengambil alih blog untuk search-engine optimization (SEO) situs lain yang mereka kuasai, lalu lintas-redirection dan tujuan buruk lainnya.

Sebagian besar terdiri dalam menggunakan serangan injeksi SQL dan XSS cross-site scripting dan itu adalah karena masukan pengguna tidak disaring dengan baik oleh perangkat lunak. Beberapa serangan menggunakan bot yang dapat menciptakan ratusan halaman spam di blog Anda secara otomatis, tempat backdoor (sehingga hacker bisa kembali di lain waktu) atau mencuri password pengguna.

Hacker mengambil keuntungan dari sumber-terbuka sifat perangkat lunak untuk melihat dan menganalisis kode sumber dari perangkat lunak tertentu yang ingin mereka menyerang dan menguji potensi kerentanan. Kemudian para pengembang dan pengguna untuk mendeteksi, melacak, dan menutup kerentanan dalam kode yang penyerang mereka gunakan.
Tampaknya pola yang sama: ketika sebuah lubang baru ditemukan, itu dieksploitasi secara luas, kemudian pengembang bergegas keluar sebuah patch dan / atau rilis baru. Sebagian besar kerusakan yang ditimbulkan oleh eksploitasi otomatis dapat dibalikkan dengan upgrade tapi dalam beberapa kasus, Anda dapat dibiarkan ribuan spam dengan halaman dan gambar untuk membersihkan (dan biasanya mereka tersembunyi dengan baik). Jika perangkat lunak menyerang sangat populer (dan hacker yang menarik juga) - seperti Wordpress - maka ribuan menginstal dapat dikompromikan.

Kemungkinannya adalah bahwa pemilik blog terlambat menyadari bahwa meng-hack blog-nya adalah bahwa mengapa sangat penting untuk menjaga dengan upgrade terbaru dan patch keamanan dari Wordpress.com dan mengawasi di blog Anda: memantau statistik, penggunaan blog, telah sering backup dan melacak keamanan lainnya blog untuk berita tentang lubang keamanan apapun salah satunya adalah BlogSecurity.net.

Selalu meng-upgrade instalasi wordpress Anda ke versi terbaru (juga ada patch keamanan terbaru dirilis harus diinstal). Sadarilah bahwa jika anda menginstal Wordpress dari dalam Fantastico paket maka kemungkinan besar Anda tidak memiliki versi terbaru di dalam paket (Fantastico guys tampaknya membutuhkan waktu mereka di mereka mengupdate paket dengan versi terbaru dari perangkat lunak mereka dimasukkan ke dalam paket -- wordpress termasuk). Lebih cepat daripada mereka dalam memperbarui perangkat lunak mereka orang-orang dari SimpleScripts (Fantastico dan SimpleScripts biasanya offerend oleh banyak perusahaan hosting pelanggan mereka).

Bagaimana Anda mengamankan instalasi Wordpress Anda?

• Anda "plugins" direktori TIDAK diamankan secara default!

Dan itu berarti tidak ada "index.html" atau "index.php" file dalam direktori tersebut, sehingga siapapun dapat MELIHAT apa plugin yang Anda gunakan dengan hanya pergi ke "www.yoursite.com / wp-content / plugins". Sangat mudah untuk menghentikan ini dengan menciptakan sebuah file HTML kosong bernama "index.html" dan memasukkannya ke dalam direktori tersebut. Pekerjaan!

• Pilih sandi yang kuat!

Jangan gunakan yang mudah ditebak password admin (Anda beberapa karakter nama kecil, nama istri Anda, nama binatang peliharaan, dll) ... memilih password yang lebih panjang dan mencoba untuk menggabungkan dengan angka-angka dan huruf besar / huruf kecil (bahkan karakter lain seperti #,$,%,^ ...). Dan mengubah password admin regurarly!

• Gunakan plugin yang berhubungan dengan keamanan!

Beberapa plugin terkait keamanan ini dapat membantu Anda:

- BS-WP-NoVersion
Banyak penyerang dan alat bantu otomatis akan mencoba dan menentukan versi software sebelum meluncurkan kode eksploitasi. Menghapus versi blog WordPress Anda dapat mencegah beberapa penyerang dan tentu akan mengurangi virus dan worm program yang bergantung pada versi perangkat lunak.
Anda bisa mendapatkan plugin ini dari sini (download sebagai file PHP - tidak TXT - dan pasang di "plugin" direktori, kemudian mengaktifkannya)
Atau Anda dapat menggunakan versi WP Ganti plugin.

- Login kuncian
Login kuncian mencatat alamat IP dan timestamp Wordpress setiap login gagal usaha. Jika lebih dari jumlah tertentu upaya terdeteksi dalam waktu singkat dari jangkauan IP yang sama, maka fungsi login dinonaktifkan untuk semua permintaan dari rentang tersebut. Ini membantu mencegah kekerasan sandi penemuan. Saat ini plugin default ke 1 jam kunci dari sebuah IP blok setelah 3 login gagal usaha dalam waktu 5 menit. Ini dapat diubah melalui panel Pilihan. Admisitrators dapat melepaskan terkunci di luar rentang IP secara manual dari panel.
Download dari sini.

- AskApache
AskApache Password Protect menambahkan beberapa proteksi password serius Wordpress Blog Anda. Tidak hanya melindungi direktori wp-admin, tapi juga wp-includes, wp-content, plugin, dll plugin juga. Bayangkan sebuah dinding bata HUGE melindungi rapuh. Php script dari serangan tak berujung web otomatis robot dan password-menebak melayani mengeksploitasi-virii. Lupakan spam, jutaan ini zombie bot terlalu keterlaluan untuk mengabaikan, mereka berusaha dikenal (tapi anehnya ketinggalan zaman) eksploitasi mencari tahu blog dan kerentanan terhadap perangkat lunak Internet lainnya. Cepat atau lambat beberapa blogger miskin akan kehilangan upgrade dan menjadi korban jenis ini video-game-seperti-serangan.
Mendapatkannya dari sini.

- WP Security Scan
Scan instalasi WordPress Anda untuk kerentanan keamanan dan menyarankan tindakan perbaikan: password, file permissions, keamanan database, versi bersembunyi, WordPress admin perlindungan / keamanan, menghapus WP Generator META tag dari kode inti
Download dari sini.

- Gunakan Wordpress firewall!
Sebuah platform weblog rentan terhadap upaya hacking yang merupakan tempat perlindungan firewall mereka yang unik untuk Wordpress akan memberikan ketenangan pikiran (sehingga mereka katakan).
Script firewall mendukung PHP dan MYSQL membuat pasangan yang ideal untuk Wordpress. Tidak peduli apa pun versi Wordpress Anda menggunakan Script Firewall akan membuat blog Anda aman (melindungi blog Anda dari SQL Injeksi, Coding Kesalahan, Cross Site Scripting (XSS), Cross-site permintaan Pemalsuan (CSRF), Sandi pencurian (IP Lock) , Komentar Spam, DDoS Attacks, Customized wordpress ruleset (blok semua eksploitasi)).
Download software Firewall sekarang untuk membuat instalasi Wordpress Anda aman terhadap serangan berbasis web (software ini tidak gratis!).

• Ubah nama account administratif!

Anda dapat melakukan ini di MySQL-klien baris perintah dengan perintah seperti "update tableprefix_users set user_login = 'newuser' di mana user_login = 'admin';", atau dengan menggunakan frontend MySQL seperti phpMyAdmin.

• Backup database Anda!

Anda harus backup data Anda regurarly (yang mencakup database). Encrypting cadangan, menyimpan catatan independen MD5 hash untuk setiap file cadangan, dan / atau menempatkan backup pada media read-only (seperti CD-R) akan meningkatkan keyakinan bahwa data Anda belum dirusak.
Salah satu utilitas yang baik WP-DBManager dan dapat didownload dari sini atau WP-DB-Backup yang bisa di download dari sini.
Atau Anda dapat menggunakan database MySQL manajer pilihan: phpMyAdmin (bagaimana menggunakan ini sebagai alat cadangan baca di sini)

• Mendata semua POST variabel $ Anda!

Standar Apache log tidak menawarkan banyak membantu dengan berurusan dengan keamanan forensik.
Jadi, untuk mendata semua variabel $ POST dikirim ke Wordpress Anda dapat menggunakan plugin ini disebut Postlogger (download dari sini).
Jika Anda kebetulan menggunakan plugin ini, dan secara aktif $ POST penebangan semua variabel, dan Anda menginstal Wordpress dimanfaatkan, Anda akan dapat kembali dan benar-benar melihat di mana dan bagaimana mengeksploitasi terjadi. Berbekal informasi tersebut, Anda dapat mengambil data ke pengembang Wordpress.

• Plugin yang memerlukan akses tulis!

Jika ingin menulis sebuah plugin WordPress Anda akses ke file dan direktori, kemudian pertama kali membaca kode untuk memastikan hal itu adalah sah atau periksa dengan seseorang yang Anda percayai dan lebih cerdas daripada Anda. Tempat lain yang mungkin untuk memeriksa adalah Wordpress Support Forum dan IRC Channel.

• Mengenkripsi semua komunikasi di dalam "wp-admin" direktori! (Jika mungkin)

Anda dapat mengamankan dan mengenkripsi semua komunikasi Anda penting dan cookie Wordpress menggunakan plugin SSL Admin. Bekerja dengan Swasta dan Shared SSL. Plugin ini dapat di-download dari sini.

• Memperketat file permission!

Beberapa dari Wordpress 'fitur-fitur keren datang dari memungkinkan beberapa file agar dapat ditulis oleh server web. Namun, membiarkan sebuah aplikasi memiliki akses tulis ke file Anda adalah hal yang berbahaya, terutama di lingkungan umum.
Dari perspektif keamanan, yang terbaik adalah mengunci hak akses file Anda sebanyak mungkin dan untuk melonggarkan pembatasan yang pada kesempatan bahwa Anda perlu untuk membolehkan akses tulis, atau untuk membuat folder khusus dengan batasan yang lebih longgar untuk tujuan melakukan hal-hal seperti upload gambar.

• Tentu saja, memperbarui Wordpress Anda!

Seperti saya katakan di atas, menjaga instalasi Wordpress up to date merupakan salah satu ukuran yang paling penting terhadap serangan hacker. Dan itu tidak rumit untuk dilakukan baik (cadangan segalanya sebelum upgrade!).

Pelajari lebih lanjut tentang instalasi Wordpress Pengerasan di sini, di Wordpress situs.

Untuk menguji kelemahan Wordpress blog untuk mengembangkan situs Blogsecurity Wordpress online scanner.
Anda dapat mencobanya di sini.
* CATATAN: Sebelum menggunakan scanner ini anda harus menginstal plugin (bernama "wp-scanner") yang mereka tawarkan dan dapat didownload dari sini! Aktifkan plugin, memindai blog Anda, kemudian menonaktifkan plugin untuk mencegah orang lain pemindaian blog Anda lagi.

BlogSecurity juga menawarkan Whitepaper Keamanan Wordpress yang memiliki informasi rinci tentang mengamankan instalasi Wordpress Anda. Baca lebih lanjut di sini.

Sekarang bahwa Anda telah mengamankan blog Anda (mudah-mudahan Anda tidak melaksanakan langkah-langkah di atas mereka, bukan? Setidaknya sebagian besar dari mereka ...) silakan membaca lebih lanjut bagaimana orang lain diserang dan apa yang mereka lakukan untuk memperbaiki hal ini. Atau hanya membaca bagaimana ANDA bisa diserang oleh berbagai cara.

• Masalah Keamanan wordpress Lead Untuk Misa Hacking. Apakah Blog Anda Berikutnya? (Bahkan Techcrunch membahas hal ini dan itu berarti ini serius)
• Apakah Anda mendapatkan Wordpress hacked?
• Hacked!
• Wordpress hacked!
• Aku hacked
• Wordpress hacked: googlerank.info
• Wordpress hacked. Upgrade SEKARANG!
• Wordpress hack menyebabkan website untuk dihapus dari Google
• Wordpress hack, situs dihukum
• Luas Wordpress Hack, Mencuri Search Engine Lalu Lintas
• Wordpress 2.3.3 Retro-Fit Keamanan
• Wordpress Hack: Recover dan Fix Google dan Search Engine atau Tidak Cookie Lalu Lintas Dialihkan untuk Anda-Needs.info, AnyResults.Net, Golden-Info.net dan Illegal Situs Lain

------------
Mircea Goia dilahirkan di Rumania dan berimigrasi ke Amerika Serikat pada tahun 2005.
Dia tinggal di Phoenix, AZ dan bekerja sebagai web developer. Selain, ia juga bekerja pada beberapa proyek Web kewirausahaan.
Dia menunjukkan minat dalam pengembangan web komersial seperti jaringan sosial, viral marketing dan video online.
Hobi seninya pembuatan film dengan minat khusus dalam mengarahkan.
------------

Ingin lebih web review software, berita dan tips / trik?
Kemudian pastikan Anda berlangganan RSS feed kami!

Tags: blog, hacking, aman instalasi, Tips dan Trik, wordpress, plugin keamanan Wordpress

(6 votes, average: 5.00 out of 5)

Loading ...