MyTestBox.com：：Webソフトウェアのレビュー、ニュース、ヒントやトリック

はあなたのWordpressのブログをハッキング？ しないのはなぜ最新のバージョンにアップグレード？

2008年6月12日ミルチアGoiaで 閉じる 作者：ミルチャGoia 名 ：ミルチアGoia
Eメール：mtb@mytestbox.com
サイト：http://www.mytestbox.com
MyTestBox News について：ミルチアGoiaルーマニアで生まれ 、 アメリカに2005年に移住した彼はアリゾナ州フェニックス 、 ウェブ開発者として働いて住んでいる。とは別に、彼はまた 、 いくつかの起業家Webプロジェクトに取り組んで、彼のような商用Web開発に強い関心を示しています社会ネットワーク、バイラルマーケティング、オンラインビデオは彼の芸術的な趣味の演出で特別な関心を持つ映画です。 著者参照してください投稿 （76）MyTestBoxのニュース

場合は、Wordpressのブログのソフトウェアを実行している（そしてそれは、最新バージョンにアップ）を使用した検索のためのブログを引き継ぐように、自分たちがコントロールする他のサイトの検索エンジン最適化（SEO）を探しているハッカーの標的にされている可能性がありますアップグレードではないトラフィックをリダイレクトし、他の不正な目的。

攻撃のほとんどは、SQLインジェクションとクロスサイトスクリプティングを使用して、クロスサイトスクリプティングで構成し、これは、ユーザー入力を適切にソフトウェアによってフィルタリングされていないことです。 いくつかの攻撃は、自動的に場所あなたのブログにスパムの数百ページを作成することができますボットを使ってバックドア（これは、ハッカー後で時）に来ることができる、またはユーザーのパスワードを盗む。

ハッカーたちは、ソフトウェアのオープンソースの性質を見るために、彼らを攻撃し、潜在的な脆弱性のためにテストしたい特定のソフトウェアのソースコードを分析し活用しています。 次に、開発者とユーザを検出して、追跡し、それらの攻撃者が使用して、コード内の脆弱性をシャットダウンします。
パターンが同じと思われる：ときに、新しいホールが見つかった場合、それが広く利用の場合、開発者は、パッチおよび/または、新しいリリースを急ぐ。 の被害を自動化された攻撃による被害のほとんどはアップグレードでは逆転することができますスパムページや画像の数千人をきれいに残すことができますいくつかの例で（そして、たいていも隠されている）。 もし攻撃されたソフトウェアは非常に人気がある（およびそのハッカーも）ワードプレス-のように-してインストールする何千もの危険にさらされることが訪れます。

チャンスは、ブログの所有者は、彼のブログは、なぜそれが最新のアップグレードおよびWordpress.comからのセキュリティパッチを、あなたのブログに目を離さないについていくことが重要です：統計情報を監視ハッキングされた後半に実現している、ブログの使用量が頻繁にすべてのセキュリティホールのうちの1つに関するニュースをバックアップし、トラック、その他のセキュリティブログBlogSecurity.netです。

常にインストールされる必要がある最新バージョン（また、すべての最新のセキュリティリリースされたパッチに）あなたのWordpressのインストールをアップグレードします。 その場合は、 奇抜なパッケージにして、ほとんどはおそらくパッケージには、最新バージョンではないがWordpressのインストール注意してください（その奇抜な男だが、そのパッケージに入れ、ソフトウェアの最新バージョンでは、パッケージの更新には時間がかかる-ワードプレス）に含まれます。 速くてもと（奇抜なSimpleScriptsからは、みんな自分たちのソフトウェアを更新SimpleScripts通常、加入者に多くのホスティング企業offerendさで）。

どのようにあなたのWordpressのインストールは安全ですか

• あなたの"プラグイン"ディレクトリではデフォルトによって保護されます！

とがないことは"index.html"や"index.php"をそのディレクトリ内のファイルなので、誰プラグインするだけで"www.yoursite.com / WPを採用コンテンツ/プラグインだろう"で使用して何かを見ることができるということだ。 これは、空白のまま作成することによってこれを止めるには"index.html"という名前のHTMLファイルは簡単ですし、そのディレクトリに配置します。 仕事！

• 強力なパスワードを選択します！

（あなたの文字をいくつかの小さな名、あなたの妻の名前、ペットの名前、等）... ...長いパスワードを選択し、数字と大文字とそれを組み合わせるしようとすると/小文字（たとえ他の文字のような管理者のパスワードを推測することに簡単に使用しないでください#,$,%,^ ...）。 とregurarly管理者パスワードを変更！

• 使用して、セキュリティプラグインの関連！

これらのセキュリティを助けるかもしれないプラグインの関連：

- 学士- WPを採用NoVersion
攻撃者と自動化ツールの多くしようとするとソフトウェアのバージョンを確認する悪用コードを起動する前に。 ワードプレスのブログのバージョンを削除するといくつかの攻撃を阻む可能性があります確かにウイルスとは、ソフトウェアのバージョンに依存してワームのプログラムが軽減されます。
あなたはここから、このプラグインを取得することができます（PHPファイル-はtxtが-それをダウンロードし、あなたの"プラグインでの"ディレクトリに、それを置く）がアクティブに
か、または置換WPのバージョンのプラグインを使用することができます。

- ログインのロックダウン
ログインロックのIPアドレスおよび失敗した各ワードプレスのログイン試行のタイムスタンプを記録します。 もししようとする特定の数以上の時間を短い期間内に同じIPアドレスの範囲からして、ログイン機能はその範囲からのすべての要求を無効に検出されます。 これによって、ブルートフォースのパスワードを発見防止に役立ちます。 後3 5分以内に失敗したログイン試行は1時間に現在のプラグインのデフォルトIPアドレスのブロックをロックします。 これは、オプションパネルで変更することができます。 Admisitrators IPを手動でパネルから範囲をロックを解放できます。
ダウンロードはこちらから。

- AskApache
AskApacheをパスワードで保護ワードプレスのブログにいくつかの深刻なパスワード保護を追加します。 ていないだけでなく、あなたのWPあなたのWP - adminディレクトリを保護して、wp -コンテンツ、プラグインなどのプラグインとしても含まれています。 巨大なレンガ造りの壁にあなたの虚弱な保護想像してくださいPHPスクリプト自動化されたウェブロボットとパスワードの無限の攻撃に悪用- virii料理推測から。 スパムのことは忘れ、ゾンビボット、これらの何百万も無視するように乱暴されると、（しかし、不思議な）時代遅れの既知としているブログやその他のインターネットソフトウェアに対して、既知の脆弱性を探して利用する。 遅かれ早かれ、いくつかの悪いブロガーのアップグレードを欠場するとビデオがこのタイプの被害者のゲームのような攻撃になる予定です。
ここから入手。

- WPのセキュリティスキャン
セキュリティの脆弱性をスキャンし、ワードプレスのインストールと提案是正処置：パスワードファイルのパーミッションは、データベース、セキュリティ、バージョン隠れて、ワードプレスの管理保護/セキュリティ、コアコードからWPのジェネレータのMETAタグを削除
ダウンロードはこちらから。

- 使用してWordpressのファイアウォール！
ウェブログのプラットフォームは、ここで、Wordpressのための独自のファイアウォール保護をあなたの心の安らぎを与えるということですしようとするハッキング（これは）と言う脆弱性があります。
ファイアウォールのスクリプトをPHPとMySQLをWordpressのための理想的なパートナーをサポートします。 どんなにWordpressのバージョンをあなたのブログを安全にする、ファイアウォールスクリプトを使用している（SQLインジェクション、コーディングエラー、クロスサイトスクリプティング（XSS）、クロスサイトリクエストフォージェリ（CSRF）を、パスワード窃盗（IPアドレスロック）からブログを守る、コメントスパム対策ツールは、DDoS攻撃、カスタマイズされたWordPressのルール（ブロックのすべての攻撃））。
ダウンロードファイアウォールソフトウェアがあなたのWordpressのインストール対ウェブベースの攻撃を安全にするため（ このソフトウェアは無料ではありません！）。

• 管理者アカウントの名前を変更！

場合は、MySQLコマンドでこれを行うことができますラインクライアント"tableprefix_users user_loginセットを更新のようなコマンドを使って='newuserの'ここでuser_login ='管理者';"や、phpMyAdminのようにMySQLのフロントエンドを使用して。

• バックアップは 、 データベース！

あなたregurarly（つまり、データベースを含むデータ）をバックアップする必要があります。 は、各バックアップファイルのMD5ハッシュの独立系のレコード、および読み取り/または配置するバックアップ専用のメディア（たとえばCD - R）をあなたの自信は、あなたのデータが改ざんされていないが増加を維持バックアップを暗号化する。
一つの良いユーティリティWPのです。DBManagerとここやWPのから- DBをダウンロードすることができますベースのバックアップは、 ここからダウンロードすることができます。
か、phpMyAdminは（どのようなバックアップツールはここを読むなど）これを使用する選択肢のMySQLデータベース管理：使用することができます

• すべてのあなたの$ POST変数ログ！

標準のApacheログのセキュリティ法医学的問題に対処する多くの援助を提供しないでください。
したがって、すべての$ POST変数はログにこのプラグインをPostloggerと呼ばれる使用できるワードプレスに送信されます（ ここから）それをダウンロード。
場合は、このプラグインを使用しているし、どう積極的に、全ての$ POST変数ロギング、およびワードプレスの利用されてインストールすると、バックアップや移動を実際に見ることができる場所とどのように発生を悪用。 その情報を武器に、ワードプレスの開発者にデータを取ることができます。

• プラグインは 、 書き込みアクセス権が必要！

場合は、プラグインをワードプレスのファイルとディレクトリの場合、書き込みアクセスを望んで初めて確実に合法的であるか誰かにチェックを信頼し、よりあなたより精通させるためのコードを読んでください。 他の可能な場所は、ワードプレスサポートフォーラムやIRCのチャネルであることを確認する。

• "wp -管理内のすべての通信"ディレクトリ！暗号化 （可能な場合）

セキュリティで保護することができますし、すべてのコミュニケーションの重要なワードプレスのクッキーは、Admin - SSLのプラグインを使用して暗号化します。 作品プライベートと共有SSLを使用した。 このプラグインはここからダウンロードすることができます。

• ファイルのアクセス許可を締めて！

いくつかのワードプレスのクールな機能のいくつかのファイルは、Webサーバーによって書き込み可能にすることから来る。 ただし、アプリケーションができるあなたのファイルへの書き込みアクセス権が危険なことは、公共の環境、特にです。
セキュリティの観点から、可能な限り多くの機会にアクセスするか、またはのように物事の目的のためにもっと緩い制約と特別なフォルダを作成する書き込みを許可する必要がある上、これらの制限を緩和するとして、ファイルのアクセス許可をロックダウンするのがベストです画像をアップロード。

• もちろん、あなたのWordpressの更新！

同様に私が上で、 最新の状態にあなたのWordpressのインストールを保つという、最も重要な指標のハッカーに反している。 そしてそれはどちらかをアップグレードする前に（バックアップのすべて！）行われるには複雑ではない。

さらにここではWordpressのインストールのセキュリティ強化については、Wordpressのウェブサイトでご覧ください。

ブログセキュリティウェブサイトの弱点をあなたのWordpressのブログをテストするには、オンラインのWordpressのスキャナを開発した。
あなたがここにそれを試してみることができます。
* 注：プラグインをインストールする必要がある 、 このスキャナを使用する前に（"WP -スキャナー"という名前）彼らが提供してここからダウンロードすることができます！ 、あなたのブログのスキャンは 、 プラグインを有効にし、他の人もあなたのブログのスキャンを防ぐためにプラグインを無効にします。

ブログセキュリティまた、ワードプレスのセキュリティホワイトペーパーは、あなたのWordpressのインストールのセキュリティに関する詳細な情報が提供しています。 詳しくはこちらの記事を読む 。

これで、あなたのブログを確保している（できれば、あなた、あの上記の対策を実施するのですか？かれらの多くは、少なくとも... ...もっと見る）どのように他の襲撃を受けてどのようにこの修正プログラムに何をしたお読みください。 それとも、どのようにさまざまな手段で攻撃することができますお読みください。

• Wordpressのセキュリティ問題の質量をハックするには鉛 あなたのブログに次の？（ も 、 このカバーTechcrunchの か 、 その深刻です ） このことを意味
• でしたあなたのWordpressのハッキングされたのですか？
• ハッキング！
• Wordpressのハッキング！
• 私はハッキングされた
• Wordpressのハック：googlerank.info
• ワードプレスのハッキング。 今すぐアップグレード！
• WordpressのサイトがGoogleから削除されるためのハック
• Wordpressのは、罰せられるサイトをハッキング
• 広範なワードプレスのハック、盗みます検索エンジンのトラフィック
• ワードプレス2.3.3のレトロフィット
• ワードプレスのハック：と修正、Googleおよび検索エンジンやお- Needs.info、AnyResults.Net、ゴールデン- Info.netやその他の不正なサイトへのリンクはありませんCookieのトラフィックのリダイレクトを回復

------------
ミルチアGoiaルーマニアで生まれ 、 米国は2005年に移住しました。
彼はアリゾナ州フェニックス 、 ウェブ開発者として働いて住んでいます。 とは別に、彼はまた 、 いくつかの起業家Webプロジェクトに取り組んでいます。
氏は 、 ソーシャルネットワーク、バイラルマーケティングやオンラインビデオなどの商用のWeb開発に強い関心を示しています。
彼の芸術的な趣味の演出で特別な関心を持つ映画です。
------------

より多くのWebソフトウェアのレビュー、ニュースやヒントをしたい/トリック？
次に 、 私たちのRSSフィードを購読することを確認します！

タグ： ブログ 、 ハッキング 、 セキュアなインストール 、 ヒントとコツ 、 ワードプレス 、 ワードプレスのセキュリティプラグイン

（6投票、平均：5.00 5のうち）

読み込んでいます...