האם הבלוג שלך Wordpress פרוצים? למה לא לשדרג לגרסה האחרונה?
12 יוני 2008 על ידי מירצ 'אה Goia MyTestBox News MyTestBox חדשות
אם אתה מפעיל את התוכנה בלוג WordPress (וזה לא לשדרג לגרסה האחרונה) אתה יכול להיות מטרה עבור האקרים שמחפשים להשתלט על בלוגים לחיפוש-אופטימיזציה של מנועי חיפוש (SEO) של אתרים אחרים הם שולטים, תנועה ו-ניתוב רע למטרות אחרות.
רוב המתקפות מורכבת באמצעות הזרקת SQL ו XSS Scripting בין אתרים וזה בגלל קלט המשתמש אינו מסונן כראוי על ידי התוכנה. חלק התקפות להשתמש בוטים אשר יכולים ליצור מאות דפים זבל על הבלוג שלך באופן אוטומטי, מקום דלת אחורית (כך האקר יכול לחזור במועד מאוחר יותר) או לגנוב סיסמאות המשתמשים.
האקרים מנצלים את אופי קוד פתוח של התוכנה להסתכל ולנתח את קוד המקור של תוכנה מסוימת הם רוצים לתקוף אותו מבחן עבור פגיעויות פוטנציאליים. ואז למפתחים ולמשתמשים יש לזהות, לאתר, וכן לסגור את פגיעויות בקוד כי אלה התוקפים משתמש.
דפוס נראה זהה: כאשר חור חדש נמצא, זה לנצל באופן כללי, ואז מפתחים לרוץ תיקון ו / או מהדורה חדשה. רוב הנזק שנגרם על ידי מנצל האוטומטי ניתן להפוך עם שדרוג אבל במקרים מסוימים אתה יכול להיות שמאל עם אלפי דפים ותמונות זבל לנקות (והם בדרך כלל מוסתר היטב). אם התוכנה תקפו פופולרי מאוד (וזה מושך מדי האקרים) - כמו Wordpress - ואז מתקינה אלפי יכול להיות בסכנה.
רוב הסיכויים כי בעל הבלוג מבין מאוחר כי הבלוג שלו היה פרוצים כי למה חשוב לשמור על קשר עם השדרוגים האחרונים תיקוני אבטחה מ Wordpress.com ו לפקוח עין על הבלוג שלך: לפקח על נתונים סטטיסטיים, את השימוש בבלוג, יש תכופים גיבויים ובלוגים לעקוב אבטחה אחרות לידיעות על חורי אבטחה כל אחד מהם הוא BlogSecurity.net.
תמיד לשדרג התקנה Wordpress שלך לגרסה העדכנית ביותר (גם כל תיקוני האבטחה האחרונים שפורסמו צריך להיות מותקן). להיות מודע לכך שאם התקנת את וורדפרס מתוך חבילת Fantastico אז כנראה לא יהיה לך את הגירסה העדכנית ביותר בחבילה (נראה בחורים Fantastico לוקח זמן שלהם בעדכון החבילה שלהם עם הגרסאות העדכניות של התוכנה הכניסו בחבילה זה -- וורדפרס כלל). מהר יותר מאשר אותם בעדכון התוכנה שלהם החבר 'ה מ SimpleScripts (Fantastico ו SimpleScripts הם offerend בדרך כלל על ידי חברות אירוח רבים נרשמים שלהם).
איך אתה בטוח ההתקנה וורדפרס שלך?
- "Plugins שלך" המדריך מאובטח לא כברירת מחדל!
- בחר סיסמה חזקה!
- אבטחה השתמש הקשורות plugins!
- שנה את החשבון הניהולי!
- גיבוי מסד הנתונים שלך!
- תעד את כל המשתנים שלך $ POST!
- תוספים כי צריך לכתוב גישה!
- הצפנת כל התקשורת בתוך WP "-admin" המדריך! (אם אפשר)
- להדק את הרשאות הקובץ!
- כמובן, עדכון Wordpress שלך!
וזה אומר שאין index.html "" או "index.php" קובץ בספרייה כי כך כל אחד יכול לראות מה אתם משתמשים בתוספים על ידי פשוט הולך "www.yoursite.com / wp-content / plugins". קל לעצור את זה על ידי יצירת קובץ HTML ריק בשם "index.html" ושמתי אותו בספרייה כי. העבודה!
אל תשתמש להיות קל לנחש את הסיסמה admin (כמה דמויות קטנה שלך שם, שם אשתך, בשמות חיבה, וכו ') ... לבחור סיסמה יותר ולנסות לשלב את זה עם מספרים העליון / התחתון אותיות גדולות (אפילו תווים אחרים כמו #,$,%,^ ...). ו לשנות את סיסמת המנהל שלך regurarly!
חלק האבטחה בנושא התוספים הללו עשויים לעזור לך:
- BS-WP-NoVersion
הרבה התוקפים כלים אוטומטיים ינסה לקבוע לפני השקת גירסאות תוכנה לנצל קוד. הסרת גירסת וורדפרס הבלוג שלך עשוי קצת להרתיע תוקפים ובוודאי יהיה להקל על וירוס התולעת ותוכניות המסתמכים על גירסאות תוכנה.
אתה יכול לקבל תוסף מ כאן (להוריד אותה כקובץ PHP - לא TXT - והכניס אותו plugins "שלך" המדריך, ולאחר מכן להפעיל אותו)
או אתה יכול להשתמש החלף plugin WP גרסה.
- התחברות Lockdown
התחברות Lockdown מתעדת את כתובת ה-IP ואת חותמת הזמן של כל נסיון WordPress התחברות נכשלה. אם יותר מאשר מספר מסוים של ניסיונות מזוהות בתוך פרק זמן קצר מטווח IP זהה, אז הפונקציה הכניסה אינה זמינה עבור כל הבקשות מטווח זה. הדבר מסייע למנוע גילוי הסיסמה בכוח הזרוע. כיום ברירת המחדל של תוסף ל שעה 1 המנעול מתוך לחסום IP לאחר 3 ניסיונות כושלים כניסה תוך 5 דקות. זה ניתן לשינוי דרך לוח אפשרויות. Admisitrators יכול לשחרר נעול טווחי IP באופן ידני מלוח.
להוריד אותו כאן.
- AskApache
AskApache סיסמה הגן מוסיף קצת הגנה באמצעות סיסמה רציני בלוג WordPress שלך. לא רק שהיא להגן wp-admin שלך בספרייה, אלא גם כולל-WP שלך, wp-content, תוספים, Plugins וכו 'גם. תארו לעצמכם קיר לבנים HUGE הגנה שברירית שלך. הסקריפטים PHP מן הפיגועים האינסופי של האינטרנט ואת הסיסמה רובוטים אוטומטיים-מנחש לנצל-המשרתים virii. לשכוח זבל, אלה מיליוני זומבים בוטים מדי שערורייתי להתעלם, הם מנסים ידוע (אבל מוזר מיושן) מנצל מחפש נקודות תורפה ידועה נגד בלוגים ותוכנות אינטרנט אחרות. במוקדם או במאוחר חלק Blogger עני הוא יחמיץ שדרוג ולהיות קורבן זה סוג של משחק וידאו-כמו-לתקוף.
קבל אותו כאן.
- WP Security Scan
סריקות ההתקנה וורדפרס שלך עבור פגיעויות אבטחה ומציעה פעולות מתקנות: סיסמאות, הרשאות הקובץ, אבטחת נתונים, הסתרת הגרסה, וורדפרס הגנה admin / אבטחה, מסיר WP יוצר תג מקוד הליבה
להוריד אותו כאן.
- השתמש בחומת אש Wordpress!
פלטפורמה Weblog פגיע ניסיונות פריצה שבה הוא שם הגנה של חומת אש הייחודיים שלהם עבור Wordpress אתן לך שקט נפשי (כך אומרים).
את התסריט חומת אש תומך PHP ו-MYSQL והופכים אותו שותף אידיאלי עבור וורדפרס. לא משנה איזו גירסה של וורדפרס אתה משתמש סקריפט חומת האש יגרום לאבטח את הבלוג שלך (הבלוג שלך להגן מפני SQL Injections, וקידוד שגיאות, Cross Site Scripting (XSS), חוצה הבקשה באתר Forgery (CSRF), גניבת סיסמה (נעילת ה-IP) , תגובה ספאם, התקפות DDoS, ruleset WordPress מותאמת (חוסמת את כל מעלליו)).
להוריד תוכנת חומת אש עכשיו לבצע התקנה וורדפרס מאובטח נגד התקפות מבוססות אינטרנט (תוכנה זו אינה בחינם!).
תוכל לעשות זאת בפקודה MySQL-client קו עם פקודה כמו "עדכון tableprefix_users להגדיר user_login = 'newuser' שם user_login = 'admin';", או באמצעות Frontend MySQL כמו phpMyAdmin.
אתה צריך גיבוי נתונים regurarly (הכוללת את מסד הנתונים). מצפינה את הגיבוי, פוקח שיא עצמאית של hashes MD5 עבור כל קובץ הגיבוי, ו / או גיבויים על הצבת לקריאה רק התקשורת (כגון CD-R) מגדילה את ביטחונו כי הנתונים שלך לא התעסק עם שלך.
אחד השירות טוב הוא WP-DBManager ו ניתן להוריד כאן או WP-DB-Backup אשר ניתן להוריד כאן.
או שאתה יכול להשתמש במנהל MySQL Database של בחירה: phpMyAdmin (אופן השימוש ככלי גיבוי לקרוא כאן)
תקן יומני אפאצ 'י לא מציעים הרבה עזרה עם התמודדות עם אבטחה לזיהוי פלילי.
אז, להיכנס כל המשתנים $ POST נשלח וורדפרס אתה יכול להשתמש זה תוסף בשם Postlogger (להוריד אותה כאן).
אם אתה במקרה זה באמצעות תוסף, פעיל בכניסה כל המשתנים $ לפרסם, וורדפרס שלך להתקין מנוצלת, תוכל לחזור ממש לראות איפה ואיך לנצל התרחש. מצוידת במידע זה, אתה יכול לקחת את הנתונים מפתחי וורדפרס.
אם תוסף רוצה לכתוב גישה לקבצים וספריות וורדפרס שלך, אז קודם לקרוא את הקוד כדי לוודא זה חוקי או לבדוק עם מישהו שאתה בוטח בו הוא מתמצא יותר מאשר לך. במקומות אחרים אפשר לבדוק הם Wordpress תמיכה פורומים ו-IRC ערוץ.
אתה יכול בטוח להצפין את כל התקשורת שלך חשוב עוגיות וורדפרס באמצעות מנהלה-plugin-SSL. עובד עם פרטי משותף ב-SSL. תוסף זה ניתן להוריד כאן.
חלק מהתכונות וורדפרס 'מגניב בא לאפשר מספר קבצים בכדי לכתיבה על ידי שרת אינטרנט. עם זאת, ומאפשרות יישום יש לכתוב גישה לקבצים שלך הוא דבר מסוכן, במיוחד בסביבה ציבורית.
מנקודת ראות ביטחונית, עדיף לנעול הרשאות הקובץ שלך ככל האפשר כדי לשחרר ואת ההגבלות האלה בהזדמנויות שאתה צריך לכתוב כדי לאפשר גישה, או ליצור תיקיות מיוחדות עם יותר הגבלות רפיון לצורך עושה דברים כאלה העלאת תמונות.
כמו שאמרתי לעיל, שמירה על התקנת וורדפרס שלך מעודכנת היא אחת למדוד את החשוב ביותר מפני האקרים. וזה לא מסובך לעשות גם (הכל גיבוי לפני השדרוג!).
למידע נוסף על התקנה Hardening Wordpress כאן, באתר וורדפרס.
כדי לבדוק בלוג WordPress החולשות שלך עבור אתר האינטרנט Blogsecurity פיתחה סורק וורדפרס באינטרנט.
אתה יכול לנסות את זה כאן.
* הערה: לפני השימוש בסורק אתה צריך להתקין תוסף (בשם "סורק-wp") הם מציעים, ניתן להוריד כאן! הפעל את Plugin, לסרוק את הבלוג שלך, ואז לבטל את plugin כדי למנוע מאחרים סריקה הבלוג שלך שוב.
BlogSecurity מציעה גם וורדפרס אבטחה סקירה טכנית אשר Informations מפורט אודות אבטחת ההתקנה וורדפרס שלך. קרא עוד כאן.
עכשיו שיש לך מאובטח הבלוג שלך (בתקווה שעשית ליישם צעדים אלה לעיל, נכון? לפחות רובם ...) בבקשה לקרוא עוד כמה אחרים הותקפו מה הם עשו כדי לתקן את זה. או פשוט לקרוא איך אתה יכול להיות מותקף על ידי אמצעים שונים.
- וורדפרס בעיות אבטחה להוביל המוניים פריצה. האם הבלוג הבא? שלך (אפילו Techcrunch מכוסה זה וזה אומר זה רציני)
- האם Wordpress שלך להשיג פרוצים?
- Hacked!
- וורדפרס פרוצים!
- הייתי פרוצים
- וורדפרס פרוצים: googlerank.info
- וורדפרס פרוצים. שדרג כעת!
- וורדפרס גרזן גורם לאתר להיות הוסר מאתר Google
- וורדפרס פרוצים, אתר נקנס
- וורדפרס האק נפוץ, חטיפות מנוע חיפוש של התנועה
- WordPress 2.3.3 אבטחה רטרו-Fit
- וורדפרס האק: להתאושש תקן מנוע חיפוש של Google או לא קוקי התנועה הופנה אל-הזהב Needs.info, AnyResults.Net, שלך ו-Info.net אתרים אחרים שלא כדין
------------
מירצ 'אה Goia נולד ברומניה ועלה ארה"ב בשנת 2005.
הוא גר Phoenix, AZ ועובד כיזם אינטרנט. הצידה, הוא עובד גם על מספר פרויקטים יזמי אינטרנט.
הוא מראה התעניינות גדולה בפיתוח אינטרנט מסחרי כגון רשתות חברתיות, שיווק ויראלי וידאו באינטרנט.
תחביב האמנותית שלו הוא קולנוע עם עניין מיוחד הכוונת.
------------
רוצה יותר הסקירות תוכנה אינטרנט, חדשות ועצות / טריקים?
אז ודא כי אתה מנוי על RSS feed שלנו!
תגיות: בלוג, פריצה, התקנה מאובטח, טיפים וטריקים, WordPress, Wordpress Plugins אבטחה
(6 קולות, ממוצע: 5.00 מתוך 5) 
טוען ... 
1 יולי 2008 בשעה 7:58
[...] האם הבלוג שלך Wordpress פרוצים? למה לא לשדרג לגרסה האחרונה? [...]
12 נובמבר 2008 בשעה 12:10
Thx for info, u באמת לעזור לי עם בעיה של WP לאבטחת האתר שלי.
אני BTW ידע GNUCitizen.org פרסמה plugin עבור אוקטובר האחרון WordPress, WP Blogsecurify 1.0. יש לבדוק את תוסף U? U יכול לראות את זה http://www.gnucitizen.org/blog/wp-blogsecurify-10/
[השב]
12 נובמבר 2008 בשעה 12:26
לא, לא ראיתי כי תוסף אבל אני אסתכל. תודה על במידע.
[השב]
17 נובמבר 2008 בשעה 9:12
זהו מאמר טוב .. עבודה טובה .. לשמור אותם בא ...
[השב]
3 ינואר 2009 בשעה 10:59
אתה יכול להשתמש כניסה התגנבות כמו WordPress http://xtremenitro.org/2008/12/29/stealth-login-secure-your-wordpress-login.html במדריך זה
[השב]
3 ינואר 2009 בשעה 3:54 pm
אם זה יהיה הדף באנגלית זה יהיה יותר טוב.
את הקישור תוסף התגנבות היא כאן: http://wordpress.org/extend/plugins/stealth-login/
[השב]
4 ינואר 2009 בשעה 8:35
הטיפים הגדול! זה מפתיע כי המדריך plugins אין קובץ index.html או index.php כלל כברירת מחדל.
[השב]
25 ינואר 2009 בשעה 11:01
הלו? מ לדבר הטורקי? SH. :-( לא מדבר אנגלית
[השב]
9 פבואר 2009 בשעה 8:14
esta muy bueno el פירסום, sobretodo לוס plugins para hacer גיבוי בסיס אל דה דה datos
[השב]
30 אוגוסט 2009 בשעה 10:18
[...] האם בלוג WordPress שלך פרוצים? [...]