MyTestBox.com:: recensioni di software web, notizie, consigli e trucchi

È il tuo blog Wordpress hacked? Perché non l'aggiornamento alla versione più recente?

12 giugno 2008 da Mircea Goia Chiudere Autore: Mircea Goia Nome: Mircea Goia
Email: mtb@mytestbox.com
Sito: http://www.mytestbox.com
MyTestBox News A proposito di: Mircea Goia è nata in Romania ed emigrò in USA nel 2005. Vive a Phoenix, AZ e lavora come sviluppatore web. Parte, lavora anche su diversi progetti imprenditoriali web. Egli mostra un vivo interesse per lo sviluppo Web commerciali come sociale reti, marketing virale, video on-line. Il suo hobby artistico è il cinema, con particolare interesse nel dirigere. See Authors Posts (76) MyTestBox News

Se si esegue software per blog Wordpress (e non è aggiornato alla versione più recente) che avrebbe potuto essere un bersaglio per gli hacker che stanno cercando di prendere in consegna i blog per l'ottimizzazione dei motori di ricerca (SEO) di altri siti che il controllo, la redirezione del traffico e altri fini male.

La maggior parte degli attacchi consistono nell'uso di SQL injection e XSS cross-site scripting e questo perché l'input dell'utente non è filtrata correttamente dal software. Alcuni degli attacchi uso bot che possono creare centinaia di pagine di spam sul tuo blog automaticamente, posto una backdoor (così l'hacker può tornare al momento) o rubare le password degli utenti.

Gli hacker stanno sfruttando la natura open-source del software per guardare e analizzare il codice sorgente di un software specifico che vogliono attaccare e test per le potenziali vulnerabilità. Quindi gli sviluppatori e gli utenti hanno a individuare, rintracciare e arrestare il vulnerabilità nel codice che tali attacchi si utilizza.
Il modello sembra essere la stessa: quando un nuovo buco si trova, è ampiamente sfruttata, quindi gli sviluppatori di correre fuori una patch e / o una nuova release. La maggior parte dei danni inflitti dal exploit automatico può essere invertito, con un aggiornamento, ma in alcuni casi può essere lasciato con migliaia di pagine di spam e immagini per ripulire (e di solito sono ben nascosti). Se il software attaccato è molto popolare (e che attira anche gli hacker) - come Wordpress - poi migliaia di installazioni può essere compromessa.

È probabile che il proprietario di un blog si accorge tardi che il suo blog è stato violato per questo che è importante per tenere il passo con gli ultimi aggiornamenti e le patch di sicurezza da Wordpress.com e tenere un occhio sul tuo blog: monitorare le statistiche, l'utilizzo di blog, sono frequenti backup e blog, altro brano di sicurezza per notizie su eventuali buchi di sicurezza uno di loro è BlogSecurity.net.

Sempre aggiornare la propria installazione di Wordpress alla versione più recente (anche tutte le più recenti patch di sicurezza rilasciate deve essere installato). Essere consapevoli del fatto che se avete installato Wordpress all'interno pacchetto Fantastico quindi molto probabilmente non sarà l'ultima versione del pacchetto (sembra ragazzi Fantastico prende il loro tempo nel loro pacchetto di aggiornamento con le ultime versioni del software hanno messo in quel pacchetto -- Wordpress inclusa). Più veloce di loro in aggiornando i loro software per i ragazzi da SimpleScripts (Fantastico e SimpleScripts sono di solito offerend da molte società di hosting per i loro abbonati).

Come garantire la sua installazione di Wordpress?

• Il tuo "plugins" Directory NON è garantito da default!

E questo significa che non c'è index.html "o" index.php "file in directory in modo che chiunque può vedere che cosa plugin stai usando semplicemente andare a" www.yoursite.com / wp-content / plugins ". È facile smettere di questa creando un vuoto HTML file chiamato "index.html" e metterlo in quella directory. Lavoro fatto!

• Scegliere una password sicura!

Non usare e facile da indovinare password di amministratore (il nome di alcuni personaggi piccoli, il nome di tua moglie, nomi di animali domestici, ecc) ... scegliete una password più e cercare di combinare con numeri e lettere maiuscole / minuscole (anche di altri personaggi come #,$,%,^ ...). E cambiare la password di amministratore regurarly!

• Usa protezione relativi plugins!

Alcuni di questi relativi alla sicurezza dei plugin possono aiutare:

- BS-WP-noversion
Un sacco di attaccanti e strumenti automatizzati cercherà di stabilire le versioni del software prima di lanciare codice di exploit. Rimuovere la versione blog WordPress potrebbe scoraggiare alcuni attaccanti e certamente mitigare virus e worm i programmi che si basano su versioni del software.
È possibile ottenere questo plugin da qui (per il download come file PHP - non TXT - e inserirlo nel "plugins" directory, quindi attivarlo)
Oppure è possibile utilizzare la versione Sostituire il plugin WP.

- Login LockDown
Login LockDown registra l'indirizzo IP e il timestamp di ogni tentativo fallito WordPress login. Se più di un certo numero di tentativi vengono rilevati in un breve lasso di tempo dalla gamma stesso IP, quindi la funzione di login è disattivata per tutte le richieste da tale intervallo. Questo aiuta a prevenire la scoperta di una password di forza bruta. Attualmente le impostazioni predefinite plugin per 1 ora di blocco di un blocco IP dopo 3 tentativi di accesso entro 5 minuti. Questo può essere modificato tramite il pannello Opzioni. Admisitrators può rilasciare bloccato intervalli di IP manualmente dal pannello.
Scaricarlo da qui.

- AskApache
AskApache Password Protect aggiunge una certa protezione gravi password per il tuo blog WordPress. Esso non solo proteggere la vostra directory wp-admin, ma anche il vostro wp-includes, wp-content, plugin, plugins, ecc pure. Immaginate un muro di mattoni ENORME proteggere la tua fragile. Script PHP dagli attacchi infinite di robot web automatizzati e la password-guessing Exploit-serving virii. Dimenticare spam, questi milioni di bot zombie sono troppo scandaloso per ignorare, stanno cercando noti (ma stranamente obsoleta) sfrutta alla ricerca di vulnerabilità note contro blog e software per Internet. Prima o poi qualche blogger poveri sta perdendo un aggiornamento e di diventare una vittima di questo tipo di video-game-like-attacco.
Scaricarlo da qui.

- WP Security Scan
Scansioni vostra installazione WordPress per le vulnerabilità di sicurezza e suggerisce le azioni correttive: le password, i permessi dei file, la sicurezza del database, nascondendo la versione, la protezione WordPress admin / sicurezza, rimuove WP Generator META tag a partire dal codice di base
Scaricarlo da qui.

- Usare Wordpress firewall!
Una piattaforma weblog è vulnerabile a tentativi di hacking che è dove la loro protezione firewall unica per Wordpress che ti darà la pace della mente (così si dice).
Lo script firewall supporta PHP e MySQL rende un partner ideale per Wordpress. Non importa quale versione di Wordpress si utilizza lo script di firewall renderanno il vostro blog sicuro (protegge i tuoi blog da iniezioni SQL, errori di codifica, Cross Site Scripting (XSS), Cross-site richiesta Forgery (CSRF), il furto di password (IP Lock) , Comment Spam, attacchi DDoS, set di regole personalizzate wordpress (blocca tutti gli exploit)).
Scarica il software firewall ora per rendere l'installazione di Wordpress sicuro contro gli attacchi web based (questo software non è libero!).

• Rinominare l'account di amministrazione!

È possibile eseguire questa operazione nella comando MySQL-client linea con un comando come "aggiornamento tableprefix_users set user_login = 'sam', dove user_login = 'admin';", oppure utilizzando un front-end MySQL come phpMyAdmin.

• Un backup del database!

Si dovrebbe eseguire il backup dei dati regurarly (che include il database). Criptare il backup, mantenendo un record indipendente di hash MD5 per ogni file di backup, e / o backup di immissione sul supporto di sola lettura (come i CD-R) aumenta anche la fiducia che i vostri dati non è stato manomesso.
Una utility bene è WP-DBManager e può essere scaricato da qui o WP-DB-Backup, che può essere scaricato da qui.
Oppure si può utilizzare il gestore di database MySQL di scelta: phpMyAdmin (come utilizzare questo come uno strumento di backup leggere qui)

• Registrazione di tutte le variabili $ POST!

Standard log di Apache non offre molto aiuto, di trattare Forensics sicurezza.
Così, la registrazione di tutte le variabili $ post inviato a WordPress si può usare questo plugin chiamato Postlogger (scaricare da qui).
Se vi capita di usare questo plugin, e attiva la registrazione di tutte le variabili $ POST, e la vostra installazione di WordPress è sfruttata, sarete in grado di tornare indietro e realmente vedere dove e come si è verificato l'attacco. Armati di queste informazioni, si può prendere i dati per gli sviluppatori di Wordpress.

• Plugin che hanno bisogno di accesso in scrittura!

Se vuole scrivere un plugin per l'accesso ai file e le directory WordPress, quindi prima leggere il codice per assicurarsi che sia legittimo o di controllo con una persona di fiducia ed è più esperto di te. Altri luoghi possibili da verificare sono il supporto Wordpress Forum e IRC Channel.

• Crittografare tutte le comunicazioni all'interno di "wp-admin" directory! (Se possibile)

È possibile proteggere e cifrare tutte le comunicazioni e cookies WordPress importanti utilizzando il plug-Admin SSL. Lavora con privati e condivisi SSL. Questo plugin può essere scaricato da qui.

• Stringere i permessi dei file!

Alcune delle caratteristiche interessanti WordPress 'provengono da alcuni file che permette di essere scrivibile dal server web. Tuttavia, lasciando una domanda avere accesso in scrittura ai file è una cosa pericolosa, soprattutto in un ambiente pubblico.
Dal punto di vista della sicurezza, è meglio bloccare le autorizzazioni file per quanto possibile e di allentare le restrizioni nelle occasioni che è necessario consentire l'accesso in scrittura, o di creare cartelle speciali con restrizioni più lassista a scopo di fare le cose come il caricamento delle immagini.

• Naturalmente, aggiornare il vostro Wordpress!

Come ho detto sopra, mantenendo la vostra installazione di Wordpress fino ad oggi è una delle misure più importanti contro gli hacker. E non è complicato per essere fatto (tutto il backup prima di un aggiornamento!).

Saperne di più Tempra una installazione di Wordpress qui, sul sito web Wordpress.

Per testare il tuo blog Wordpress per le carenze del sito Blogsecurity sviluppato uno scanner Wordpress online.
Si può provare qui.
* Nota: Prima di usare questo scanner è necessario installare un plugin (chiamato "scanner-wp") che essi offrono e può essere scaricato da qui! Attivare il plugin, eseguire la scansione del blog, quindi disattivare il plug-in per impedire ad altri di scansione tuo blog di nuovo.

BlogSecurity offre anche un WordPress Security Whitepaper che ha informazioni dettagliate su come proteggere la propria installazione di Wordpress. Saperne di più qui.

Ora che si sono assicurati il tuo blog (magari l'avete fatto l'attuazione di tali misure di cui sopra, non è vero? Almeno la maggior parte di loro ...) si prega di leggere più come gli altri sono stati attaccati e che cosa hanno fatto per risolvere questo problema. O semplicemente leggere come si può essere attaccato da diversi mezzi.

• Wordpress Security Issues Piombo a Messa Hacking. È il tuo blog Next? (Anche Techcrunch questo oggetto, e che significa che questo è grave)
• Il vostro Wordpress get hacked?
• Hacked!
• Wordpress hacked!
• Ero hacked
• Wordpress hacked: googlerank.info
• Wordpress hacked. Upgrade Now!
• Wordpress hack cause sito per essere rimosso da Google
• Wordpress hacked, sito penalizzati
• Diffusa WordPress Hack, ruba Search Engine Traffic
• Wordpress 2.3.3 Security Retro-Fit
• WordPress Hack: Recupera e Fix Google e motore di ricerca o cookie n. traffico reindirizzato al tuo-Needs.info, AnyResults.Net, Golden-Info.net e altri siti illegali

------------
Mircea Goia è nata in Romania ed emigrò in USA nel 2005.
Vive a Phoenix, AZ e lavora come sviluppatore web. A parte, si lavora anche su diversi progetti imprenditoriali web.
Egli mostra un vivo interesse per lo sviluppo Web commerciale, come le reti sociali, di marketing virale e video on-line.
Il suo hobby artistico è il cinema, con particolare interesse in regia.
------------

Vogliono più web software recensioni, notizie e consigli / trucchi?
Quindi assicuratevi di iscriverti al nostro feed RSS!

Tags: blog, hacking, sicure di installazione, Tips and Tricks, wordpress, plugin Wordpress sicurezza

(6 voti, media: 5.00 su 5)

Loading ...