MyTestBox.com:: web software reviews, nieuws, tips en trucs

Is uw Wordpress blog gehackt? Waarom niet upgraden naar de nieuwste versie?

12 juni 2008 door Mircea Goia sluiten Auteur: Mircea Goia Naam: Mircea Goia
E-mail: mtb@mytestbox.com
Site: http://www.mytestbox.com
MyTestBox News Over: Mircea Goia werd geboren in Roemenië en emigreerde naar de VS in 2005. Hij woont in Phoenix, AZ en werkt als web-ontwikkelaar. Opzij, werkt hij tevens bij verschillende ondernemers web-projecten. Hij toont een bijzondere interesse in de commerciële ontwikkeling van het web, zoals de sociale netwerken, virale marketing, online video. Zijn artistieke hobby is film met speciale interesse in de leiding. Auteurs Zie Posten (76) MyTestBox Nieuws

Als je Wordpress blog software draaien (en het is niet bijgewerkt naar de nieuwste versie) die u misschien een doelwit voor hackers die op zoek zijn over te nemen blogs voor search-engine optimization (SEO) van andere sites zij zeggenschap hebben, is het verkeer-en redirection andere slechte doeleinden.

Het merendeel van de aanvallen bestaan in het gebruik van SQL injection en XSS cross-site scripting en dat is omdat de input van de gebruiker niet goed gefilterd door de software. Sommige van de aanvallen maken gebruik van robots, die kunnen zorgen honderden spam pagina's op uw blog automatisch, plaats een backdoor (zodat de hacker terug kan komen op latere tijd) gebruikers te stelen of wachtwoorden.

Hackers zijn te profiteren van de open-source karakter van de software om te kijken en de broncode van een specifiek software ze willen aanvallen en te testen voor potentiële kwetsbaarheden te analyseren. Dan is de ontwikkelaars en gebruikers op te sporen, sporen, en afsluiten van de kwetsbaarheden in de code dat die aanvallers gebruikt.
Het patroon lijkt hetzelfde te zijn: wanneer een nieuw gat is gevonden, is het in grote lijnen is benut, dan rush ontwikkelaars een patch en / of een nieuwe release. Het merendeel van de schade veroorzaakt door de automatische benut kan worden omgedraaid met een upgrade, maar in sommige gevallen kunt u worden gelaten met duizenden spam pagina's en afbeeldingen op te ruimen (en zij meestal goed verborgen). Als de aangevallen software zeer populair is (en dat hackers ook) - zoals Wordpress - dan duizenden installeert kan worden aangetast aantrekt.

De kans is groot dat een blog eigenaar beseft te laat dat zijn blog is gehackt dat de reden waarom het belangrijk is om gelijke tred te houden met de nieuwste upgrades en beveiligingspatches uit Wordpress.com en houden een oogje op uw blog: toezicht houden op de statistieken, de blog gebruik, hebben vaak back-ups en andere veiligheidsdiensten blogs bijhouden voor nieuws over eventuele gaten in de beveiliging een van hen is BlogSecurity.net.

Altijd uw Wordpress-installatie upgrade naar de nieuwste versie (ook alle nieuwste beveiligingspatches uitgebracht moet worden geïnstalleerd). Wees ervan bewust dat als je Wordpress geïnstalleerd vanuit Fantastico pakket dan waarschijnlijk zult u niet de nieuwste versie van het pakket (het lijken Fantastico jongens neemt hun tijd in het updaten van hun pakket met de nieuwste versies van de software die ze zetten in dat pakket -- Wordpress inbegrepen). Sneller dan ze in het updaten van hun software van de jongens van SimpleScripts (Fantastico en SimpleScripts zijn meestal offerend door veel hosting bedrijven aan hun abonnees).

Hoe je veilig uw Wordpress-installatie?

• Uw "plugins" map is niet verzekerd door standaard!

En dat betekent dat er geen "index.html" of "index.php" file in die directory, zodat iedereen kan zien wat plugins gebruik je gewoon door te gaan naar "www.yoursite.com / wp-content / plugins". Het is gemakkelijk om dit te stoppen door het creëren van een blanco HTML-bestand met de naam "index.html" en plaats het in die map. Job done!

• Kies een sterk wachtwoord!

Gebruik geen makkelijk te raden admin wachtwoord (je verschillende personages kleine, naam van uw vrouw, huisdier namen, enz.) ... kiest voor een langer wachtwoord en probeer het te combineren met nummers en hoofd-en kleine letters (zelfs andere tekens als #,$,%,^ ...). En verander je admin wachtwoord regurarly!

• Gebruik veiligheidsgerelateerde plugins!

Sommige van deze veiligheid gerelateerde plugins kan je helpen:

- BS-WP-NoVersion
Veel aanvallers en geautomatiseerde hulpmiddelen zal proberen en te bepalen software versies voor de lancering van exploit code. Het verwijderen van uw WordPress blog versie kunnen ontmoedigen sommige aanvallers en zeker zal verzachten virus en worm programma's die afhankelijk zijn van software-versies.
U kunt deze plugin krijgen van hier (download als PHP-bestand - niet TXT - en plaats het in uw "plugins" map, dan activeren)
Of u kunt gebruiken Vervang WP plugin versie.

- Login LockDown
Inloggen LockDown registreert het IP-adres en tijdstempel van elke mislukte poging WordPress login. Als er meer dan een bepaald aantal pogingen worden gedetecteerd binnen een korte tijd vanaf hetzelfde IP-bereik, dan is de login-functie is uitgeschakeld voor alle verzoeken van dat bereik. Dit helpt te voorkomen dat brute kracht wachtwoord ontdekking. Momenteel is de plugin standaard een 1 uur uit te sluiten van een IP-blok login na 3 pogingen niet binnen 5 minuten. Dit kan worden gewijzigd via het Opties paneel. Admisitrators kan vrijgeven geblokkeerd IP-reeksen handmatig uit het panel.
Download het van hier.

- AskApache
AskApache Password Bescherm voegt enkele ernstige wachtwoord bescherming aan uw WordPress Blog. Niet alleen het beschermen van uw wp-admin map, maar ook uw wp-includes, wp-content, plugins, plugins enz. ook. Stel je een HUGE bakstenen muur beschermen van uw broos. PHP scripts uit de eindeloze aanvallen van geautomatiseerde web robots en wachtwoord raden exploiteren-serving virii. Vergeet spam, deze miljoenen zombie-bots te schandalig zijn om te negeren, exploits ze probeert bekend (maar vreemd verouderde) op zoek naar bekende kwetsbaarheden tegen blogs en andere Internet-software. Vroeg of laat een aantal arme blogger gaat om een upgrade missen en wordt een slachtoffer van dit soort video-game-like-aanval.
Haal het van hier.

- WP Security Scan
Scant uw WordPress-installatie voor beveiligingsproblemen en stelt correctieve acties: wachtwoorden, bestandstoegang, database beveiliging, versie verbergen, WordPress admin bescherming / beveiliging, verwijdert WP Generator META-tag van de core code
Download het van hier.

- Gebruik Wordpress firewall!
Een weblog platform is kwetsbaar voor hack pogingen die is waar hun unieke firewall-beveiliging voor Wordpress geeft u gemoedsrust (zeggen ze).
De firewall script ondersteunt PHP en MYSQL waardoor het een ideale partner voor Wordpress. Het maakt niet uit welke versie van Wordpress u de firewall script maakt uw blog veilig (het beschermen van uw blog van SQL-injecties, de codering van Fouten, Cross Site Scripting (XSS), Cross-site request forgery (CSRF), diefstal Password (IP Lock) , Comment Spam, DDoS aanvallen, Customized wordpress regelset (blokkeert alle exploits)).
Download Firewall-software nu om uw Wordpress-installatie te beveiligen tegen webgebaseerde aanvallen (deze software is niet gratis!).

• Wijzig de naam van de administratieve account!

U kunt dit doen in de MySQL command-line client met een commando als "update tableprefix_users set user_login = 'nieuwegebruiker' waar user_login admin = '';", of door gebruik van een MySQL-frontend zoals phpMyAdmin.

• Backup van uw database!

U moet back-up van uw gegevens regurarly (dat de database omvat). Versleutelen van de back-up, waarbij een onafhankelijke registratie van MD5-hashes voor elke backup bestand en / of het plaatsen van back-ups op read-only media (zoals CD-R) vergroot je vertrouwen dat uw gegevens niet is geknoeid.
Een goede hulpprogramma is WP-DBManager en kan worden gedownload vanaf hier of WP-DB-Backup die kan worden gedownload van hier.
Of u kunt gebruik maken van de MySQL database manager van keuze: phpMyAdmin (hoe deze te gebruiken als backup tool lees hier)

• Meld uw $ POST variabelen!

Standaard Apache logs niet erg helpen met veiligheid omgaan met forensisch onderzoek.
Dus, alle variabelen $ post log gestuurd naar WordPress kunt u deze plugin genaamd Postlogger gebruik (downloaden vanaf hier).
Als je toevallig met deze plugin, en actief te loggen alles $ POST variabelen, en uw WordPress installatie wordt benut, zal je in staat om terug te gaan en werkelijk te zien waar en hoe de exploitatie heeft plaatsgevonden. Gewapend met deze informatie, kunt u de gegevens naar de WordPress ontwikkelaars.

• Plugins die behoefte schrijf toegang!

Als een plugin schrijven wil toegang tot uw WordPress bestanden en directory's, lees dan eerst de code om ervoor te zorgen dat het legitiem of kijk met iemand die je vertrouwt en is meer verstand van dan jij. Andere mogelijke plaatsen om te controleren zijn de Wordpress Support Forums en IRC-kanaal.

• Codeer alle communicatie binnen "wp-admin" directory! (Indien mogelijk)

U kunt veilig en coderen van al uw communicatie-en belangrijke WordPress cookies via de Admin-SSL-plugin. Werkt met prive en gedeelde SSL. Deze plugin kan worden gedownload vanaf hier.

• Draai het bestand permissies!

Sommige van koele eigenschappen WordPress 'komen uit waardoor sommige bestanden te beschrijfbaar door web server. Hebben echter een aanvraag in te laten schrijven toegang tot uw bestanden is een gevaarlijk ding, met name in een publieke omgeving.
Vanuit een oogpunt veiligheid, is het het beste te vergrendelen van uw bestand permissies zo veel mogelijk en met die beperkingen van de gelegenheden die je nodig hebt om toegang te schrijven, of om speciale mappen te creëren met meer laks beperkingen voor het doel van het doen van dingen als los uploaden van afbeeldingen.

• Natuurlijk, update uw Wordpress!

Zoals ik al zei hierboven, waarbij je je Wordpress-installatie up-to-date is een van de belangrijkste maatregel tegen hackers. En het is niet ingewikkeld om beide te doen (back-up alles vóór upgrade!).

Meer informatie over Harden een Wordpress installatie hier, op Wordpress website.

Om uw Wordpress blog voor zwakke proef Blogsecurity website ontwikkeld Wordpress een online scanner.
U kunt uitproberen hier.
* OPMERKING: Voordat u deze scanner moet je een plugin installeren (genaamd "wp-scanner") die zij aanbieden en kunnen worden gedownload van hier! Activeer de plugin, scant uw blog, dan deactiveren plugin om anderen het scannen van uw blog weer te voorkomen.

BlogSecurity biedt ook een WordPress Security Whitepaper die gedetailleerde informatie over het beveiligen van uw WordPress-installatie heeft. Lees hier meer.

Nu dat u uw blog hebben gezorgd (hopelijk u heeft uitgevoerd die bovengenoemde maatregelen, hè? Tenminste de meesten van hen ...) kunt u meer lezen hoe anderen werden aangevallen en wat deden ze doen om dit op te lossen. Of gewoon lezen hoe kun je aangevallen door verschillende middelen.

• Wordpress Security Issues Lood Om Massa Hacking. Is Your Blog Next? (Zelfs Techcrunch waarop dit en dat betekent dat dit ernstig)
• Heeft uw Wordpress get gehackt?
• Hacked!
• Wordpress hacked!
• Ik hacked
• Wordpress gehackt: googlerank.info
• Wordpress gehackt. Upgrade NOW!
• Wordpress hack oorzaken website te verwijderen uit Google
• Wordpress gehackt, site bestraft
• Wijdverbreide WordPress Hack, Steelt Search Engine Traffic
• Wordpress 2.3.3 Security Retro-Fit
• WordPress Hack: Verhaal halen en Fix Google en Search Engine of Nee Cookie Verkeer omgeleid naar uw-Needs.info, AnyResults.Net, Golden-Info.net en andere illegale sites

------------
Mircea Goia werd geboren in Roemenië en emigreerde naar de VS in 2005.
Hij woont in Phoenix, AZ en werkt als web-ontwikkelaar. Naast werkt hij ook op diverse ondernemers web projecten.
Hij toont een grote interesse in de commerciële Web ontwikkeling zoals sociale netwerken, virale marketing en online video.
Zijn artistieke hobby is film met speciale interesse in de leiding.
------------

Wilt u meer web software reviews, nieuws en tips / trucs?
Dan zorg ervoor dat u zich abonneren op onze RSS feed!

Tags: blog, hacking, veilige installatie, Tips & Trucs, wordpress, veiligheid Wordpress plugins

(6 stemmen, gemiddelde: 5.00 uit 5)

Loading ...