Czy twój Wordpress blog hacked? Dlaczego nie uaktualnienie do najnowszej wersji?

12 czerwca 2008 przez Mircea Goia
Email: mtb@mytestbox.com
Strony: http://www.mytestbox.com
MyTestBox News MyTestBox News

Wordpress logo

Jeśli używasz oprogramowania WordPress blog (i to nie jest zaktualizowany do najnowszej wersji) może być celem dla hakerów, którzy chcą przejąć blogi dla wyszukiwania engine optimization (SEO) innych witrynach sterowania ruchem i przekierowanie innych złych celów.

Większość ataków polega na użyciu SQL injection oraz XSS Cross-site scripting, a to dlatego, że wprowadzania danych przez użytkownika nie jest odpowiednio filtrowany przez oprogramowanie. Niektóre z ataków wykorzystania robotów, które mogą tworzyć setki stron spamu na blogu automatycznie miejsce Backdoor (tak haker może wrócić w późniejszym czasie) lub wykraść hasła użytkowników.

Hakerzy wykorzystując otwarty charakter źródła oprogramowania patrzeć i analizować kod źródłowy specjalnego oprogramowania chcą ataku i testów dla potencjalnych słabych punktów. Następnie programiści i użytkownicy muszą wykryć, śledzić, a zamknięcie luki w kodzie, że tych ataków korzystają.
Wzór wydaje się być tak samo: kiedy nowy otwór znajduje się, to nic szeroko wykorzystywane, to programiści wypadać poprawki i / lub nowej wersji. Większość szkody wyrządzone przez zautomatyzowane wyczyny można odwrócić z aktualizacji, ale w niektórych przypadkach można pozostawić z tysięcy stron spamu i obrazy oczyścić (i zwykle są one dobrze ukryte). Jeśli zaatakowany oprogramowania jest bardzo popularny (i to przyciąga hakerów zbyt) - jak Wordpress - to tysiące instalacji może zostać naruszona.

Jest szansa, że właściciel bloga późno zdaje sobie sprawę, że jego blog był posiekany że dlatego ważne jest, aby nadążać za najnowszymi aktualizacji i poprawek zabezpieczeń, z Wordpress.com i mieć oko na swoim blogu: monitor statystyki, blog użytkowania, mają częsty kopii zapasowych i utwór innych blogów bezpieczeństwa na informacje o wszelkich dziur bezpieczeństwa Jednym z nich jest BlogSecurity.net.

Zawsze aktualizacji instalacji Wordpress do najnowszej wersji (również wszelkie najnowsze poprawki zabezpieczeń wydane powinny być zainstalowane). Należy pamiętać, że zainstalowany Wordpress od wewnątrz pakietu Fantastico to najprawdopodobniej nie będzie już najnowsza wersja pakietu (wydaje się, faceci Fantastico ma swój czas na aktualizację swoich pakietów z najnowszymi wersjami oprogramowania, które wprowadzają w tym pakiet -- Wordpress wliczone w cenę). Szybciej niż ich aktualizacji programów faceci z SimpleScripts (Fantastico i SimpleScripts zwykle offerend przez wiele firm hostingowych do abonentów).

Sposób zabezpieczenia instalacji Wordpress?

Twoje "plugins" w katalogu nie jest zabezpieczona domyślnie!

A to oznacza, że nie "index.html" lub "index.php" pliku w tym katalogu, więc każdy może zobaczyć, co wtyczek używasz tylko o zamiar "www.yoursite.com / wp-content / plugins". Łatwo jest przystanek to poprzez stworzenie pustego pliku HTML o nazwie "index.html" i umieścić go w tym katalogu. Sprawa załatwiona!

Wybierz silnego hasła!

Nie stosować łatwo się domyślić hasła administratora (imię i kilku znaków małych nazwisko, żonie imię, imiona zwierząt domowych, itp.) ... wybierz dłuższe hasło i spróbuj połączyć go z cyframi i duże i małe litery (a nawet inne postacie, jak #,$,%,^ ...). I zmienić hasło administratora regurarly!

Użyj zabezpieczeń związanych z wtyczek!

Niektóre z nich związane z bezpieczeństwem wtyczek może pomóc:

- PN-WP-NoVersion
Dużo napastników i narzędzia automatycznej spróbuje i ustalić wersje oprogramowania przed rozpoczęciem wykorzystania kodu. Usuwanie wersji WordPress blog może zniechęcić niektórych napastników i na pewno złagodzą wirusów i robaków programy, które bazują na wersje oprogramowania.
Możesz pobrać tę wtyczkę z tutaj (do pobrania jako plik PHP - nie txt - i umieścić go w swoim "plugins" w katalogu, a następnie aktywować)
Albo użyć wtyczki Wymień wersja WP.

- Zaloguj LockDown
Zaloguj LockDown rekordy adres IP timestamp każdej nieudanej próbie logowania WordPress. Jeśli jest więcej niż pewne próby wykrycia w krótkim czasie z tego samego zakresu adresów IP, a następnie zalogować funkcja jest niedostępna dla wszystkich wniosków z tego zakresu. To pomaga zapobiec odkryciu hasła brutalnej siły. Obecnie wtyczki domyślnie 1 godzina lock out z bloku IP po 3 nieudane próby logowania w ciągu 5 minut. To mogą być modyfikowane przez panelu Opcje. Admisitrators może zwolnić zablokowane IP zakresów ręcznie z panelu.
Pobierz go z tutaj.

- AskApache
AskApache Password Protect dodaje poważne ochrony hasła do WordPress Blog. Nie tylko chronić katalogu wp-admin, ale także swój wp-includes, wp-content, wtyczek, itp. jak również wtyczek. Wyobraź sobie, mur z cegły HUGE chroniąc swoje kruche. Skrypty PHP z niekończących się ataków zautomatyzowane roboty sieciowe i hasło odgadnięcie wykorzystać serwowanie virii. Zapomnij o spam, to miliony boty zombie są zbyt skandaliczne ignorować, są próby znana (ale dziwnie przestarzałe) wykorzystuje szukasz znane luki w stosunku blogi i inne programy internetowe. Prędzej czy później ubogich blogger będzie miss upgrade i stać się ofiarą tego typu video-game-like-ataku.
Get it from here.

- WP Security Scan
Skanowanie WordPress instalacji luk w zabezpieczeniach i sugeruje działania naprawcze: hasła dostępu do tego pliku, zabezpieczeń bazy danych, ukrywanie wersji ochrony WordPress admin / security, usuwa WP Meta Tag Generator główny kod
Pobierz go z tutaj.

- Wykorzystanie zapory Wordpress!
Blog platformy jest podatny na próby włamania czyli tam, gdzie ich niepowtarzalny zapory dla Wordpress daje spokój (tak mówią).
Firewall skrypt obsługuje PHP i MySQL, co czyni ją idealnym partnerem dla Wordpress. Bez względu na wersję Wordpress używasz Firewall Script pozwoli swoim blogu bezpieczne (ochrona swoim blogu z SQL injection, kodowanie Błędy, Cross-Site Scripting (XSS), Cross-site wniosek Fałszerstwo (CSRF), kradzieży Hasło IP (Lock) , Komentarz Spam, ataki DDoS, Customized ruleset wordpress (blokuje wszystkie wyczyny)).
Pobierz oprogramowanie zapory teraz do instalacji Wordpress zabezpieczony przed atakami z WWW (oprogramowanie to nie jest za darmo!).

Zmień nazwę konta administratora!

Można to zrobić w komendzie mysql-client zgodnie z poleceniem typu "update tableprefix_users zestaw user_login = 'nowy użytkownik", gdzie user_login =' admin '; "lub za pomocą MySQL frontend jak phpMyAdmin.

Zrób kopię zapasową bazy danych!

Należy wykonać kopię zapasową danych regurarly (który zawiera bazy danych). Szyfrowanie kopii zapasowych, prowadzenie niezależnej wytwórni wartości mieszania MD5 dla każdego pliku kopii zapasowej, i / lub wprowadzanie do tworzenia kopii zapasowych w trybie tylko do odczytu nośników (takich jak CD-R) zwiększa pewność, że Twoje dane nie zostały naruszone.
Dobrym narzędziem jest WP-DBManager można pobrać z tutaj lub WP-DB-Backup, który można pobrać ze strony tutaj.
Albo użyć menedżera bazy danych MySQL wyboru: phpMyAdmin (jak to wykorzystać jako narzędzie do tworzenia kopii zapasowych przeczytać tutaj)

Zaloguj się wszystkie zmienne $ POST!

Standard logi Apache nie oferują wiele pomóc czynienia z kryminalistyki bezpieczeństwa.
Tak więc, aby rejestrować wszystkie zmienne $ post wysłany do WordPress możesz użyć tej wtyczki o nazwie Postlogger (pobierz ją tutaj).
Jeśli zdarzy się za pomocą tej wtyczki, a także aktywne rejestrowania wszystkich zmiennych $ POST oraz WordPress rata jest wykorzystywana, będzie można wrócić i naprawdę zobaczyć, gdzie i jak wykorzystać miejsce. Uzbrojony w te informacje, można wziąć dane do deweloperów WordPress.

Wtyczki, które potrzebują dostępu do zapisu!

Jeśli chce napisać wtyczki dostęp do plików i katalogów WordPress, to przeczytaj najpierw kod, aby upewnić się, że jest legit lub skontaktuj się z osób, którym ufasz i jest bardziej bystry od Ciebie. Inne możliwe miejsca do sprawdzenia to WordPress Support Forums i kanał IRC.

Szyfrować całą komunikację w "wp-admin" katalogu! (Jeśli to możliwe)

Można zabezpieczyć i zaszyfrować wszystkie komunikacji i ważne pliki cookie WordPress użyciu Admin-wtyczki SSL. Współpracuje z prywatnego i wspólnego protokołu SSL. Plugin można pobrać ze strony tutaj.

Zaostrzenie prawa dostępu do plików!

Niektóre z cech cool WordPress "pochodzą z tym pewien plików do zapisu przez serwer WWW. Jednak najmu zastosowanie mają dostęp do zapisu plików jest rzeczą niebezpieczną, zwłaszcza w otoczeniu publicznym.
Z punktu widzenia bezpieczeństwa, najlepiej na zabezpieczenie dostępu do tego pliku jak najwięcej i rozluźnienie tych ograniczeń okazjach, że należy umożliwić zapisu, lub utworzyć specjalne foldery z bardziej pobłażliwym ograniczeń w celu robienia rzeczy, jak przesyłania obrazków.

Oczywiście, należy zaktualizować Wordpress!

Jak powiedziałem powyżej, utrzymując instalacji Wordpress aktualne jest jednym z najważniejszych środków przed atakami hakerów. I nie jest skomplikowana do zrobienia, albo (backup wszystko przed aktualizacją!).

Dowiedz się więcej o hartowania instalacji Wordpress tutaj, na stronie internetowej Wordpress.

Aby przetestować Wordpress blog o słabości stronie Blogsecurity rozwiniętych skaner online Wordpress.
Możesz wypróbować tutaj.
* UWAGA: Przed użyciem skanera należy zainstalować wtyczki (o nazwie "wp-scanner") oferują i można je pobrać z tutaj! Aktywacja wtyczki, skanowanie swoim blogu, to wyłączyć wtyczki, aby zapobiec innymi skanowanie bloga ponownie.

BlogSecurity oferuje WordPress Bezpieczeństwa Whitepaper która szczegółowe informacje na temat zabezpieczania instalacji Wordpress. Czytaj więcej tutaj.

Teraz, gdy uzyskali bloga (masz nadzieję, że nie wprowadzenie tych wyżej wymienionych środków, prawda? Przynajmniej większość z nich ...) proszę przeczytać więcej jak inni zostali zaatakowani i co zrobić, żeby to naprawić. Albo po prostu przeczytaj jak możesz być atakowany przez różne sposoby.

------------
Mircea Goia urodził się w Rumunii i wyemigrował do USA w 2005 roku.
Mieszka w Phoenix, AZ i pracuje jako web developer. Obok, pracuje również na wielu projektów w zakresie przedsiębiorczości internetowej.
On pokazuje zainteresowanie w rozwoju handlu w sieci Web, takie jak serwisy społecznościowe, marketing wirusowy i wideo online.
Jego artystyczne hobby to kino z specjalnego interesu w kierowaniu.
------------

Sphere: Related Content

Chcesz więcej opinii oprogramowanie internetowe, informacje i porady / sztuczki?
Następnie upewnij się, zapisać się do naszego kanału RSS!

Tagi: blog, hacking, bezpiecznych instalacji, Tips and Tricks, wordpress, wordpress plugins bezpieczeństwa

Podobne posty

(6 głosów, średnia: 5.00 z 5)

Ładowanie ...

Ten wpis został wysłany w czwartek, 12 czerwca 2008 at 12:40 am i jest złożony w ramach MyTestBox News. Możesz śledzić odpowiedzi do tego wpisu poprzez RSS 2.0 feed. Możesz zostawić odpowiedź, lub trackback ze swojej własnej strony.