É o seu blog Wordpress cortado? Por que não atualizar para a versão mais recente?

12 de junho de 2008 por Mircea Goia
Email: mtb@mytestbox.com
Site: http://www.mytestbox.com
MyTestBox News MyTestBox Notícias

Wordpress logo

Se você estiver executando o Wordpress blog software (e não é atualizado para a versão mais recente), você poderia ter sido um alvo para os hackers que estão olhando para fazer exame sobre blogs para a pesquisa-engine optimization (SEO) de outros sites que eles controlam, redirecionamento de tráfego e outros efeitos ruins.

A maioria dos ataques consistem na utilização de injeção SQL e XSS cross-site scripting e isso é porque a entrada do usuário não é devidamente filtrada pelo software. Alguns dos ataques de usar bots que pode criar centenas de páginas de spam em seu blog automaticamente, coloque um backdoor (de modo que o hacker pode voltar no tempo mais tarde) ou roubar senhas de usuários.

Hackers estão aproveitando a natureza open-source do software a olhar e analisar o código-fonte de um software específico que querem atacar e testá-lo para potenciais vulnerabilidades. Então os desenvolvedores e usuários para detectar, rastrear e encerrar as vulnerabilidades no código que os atacantes estão usando.
O padrão parece ser o mesmo: quando um novo buraco é encontrado, é amplamente explorada, em seguida, desenvolvedores de apressar uma correção e / ou liberação de um novo. A maior parte dos danos causados pelas façanhas automatizado pode ser revertida com uma atualização, mas em alguns casos, você pode ficar com milhares de páginas de spam e imagens para serem limpas (e são normalmente bem escondido). Se o software atacado é muito popular (e que atrai os hackers também) - como Wordpress - então, milhares de instalações pode ser comprometida.

As chances são de que um proprietário do blog tarde percebe que seu blog foi hackeado por isso que é importante manter-se atualizado com as últimas atualizações e patches de segurança em Wordpress.com e manter um olho em seu blog: acompanhar as estatísticas, o uso de blog, têm freqüentes backups e blogs outra faixa de segurança para notícias sobre falhas de segurança de qualquer um deles é BlogSecurity.net.

Sempre atualizar sua instalação do Wordpress para a versão mais recente (também qualquer últimos patches de segurança lançado deve ser instalado). Esteja ciente que se você instalou o Wordpress a partir do pacote Fantastico então provavelmente você não vai ter a versão mais recente do pacote (que parecem caras Fantastico leva o seu tempo na atualização de seu pacote com as mais recentes versões do software que eles colocaram no pacote -- Wordpress incluído). Mais rápido do que eles na atualização de seus softwares os caras da SimpleScripts (Fantástico e SimpleScripts são geralmente offerend por muitas empresas de hospedagem para seus assinantes).

Como você segura sua instalação do Wordpress?

Seu "plugins" diretório não está protegido por padrão!

E isso significa que não há "index.html" ou "index.php" file no diretório para que qualquer pessoa pode ver quais plugins você está usando apenas indo a www.yoursite.com "/ wp-content / plugins". É fácil parar isso criando um arquivo HTML em branco com o nome "index.html" e colocá-lo no mesmo diretório. Trabalho feito!

Escolha uma senha forte!

Não use um fácil de ser adivinhado a senha de administrador (seu nome vários personagens pequenos, o nome de sua esposa, nomes de animais de estimação, etc) ... escolher uma senha mais longa e tentar combiná-lo com números e letras maiúsculas / minúsculas (mesmo outros personagens como #,$,%,^ ...). E alterar sua senha de administrador regurarly!

Use relacionados à segurança plugins!

Alguns desses plugins de segurança relacionados podem lhe ajudar:

- BS-WP-noversion
Um monte de atacantes e ferramentas automatizadas vai tentar determinar as versões de software antes de lançar o código de exploração. Removendo a versão do WordPress blog pode desencorajar alguns atacantes e, certamente, irá atenuar o vírus worm e programas que dependem de versões de software.
Você pode obter este plugin aqui (download como arquivo PHP - não TXT - e colocá-lo no seu "plugins" do diretório, em seguida, ativá-lo)
Ou você pode usar Substituir versão plugin WP.

- Entrar LockDown
Login LockDown registra o endereço IP e timestamp de cada tentativa fracassada login WordPress. Se mais de um determinado número de tentativas forem detectadas num curto período de tempo desde o mesmo alcance de IP, então a função de login está desativada para todos os pedidos de intervalo. Isso ajuda a evitar a descoberta de senha por força bruta. Atualmente, o padrão plug-in para um bloqueio de 1 hora fora de um bloco IP, depois de 3 tentativas de login em 5 minutos. Isso pode ser modificado através do painel de opções. Admisitrators pode liberar bloqueada IP intervalos manualmente a partir do painel.
Baixá-lo aqui.

- AskApache
AskApache Password Protect acrescenta alguma proteção por senha grave no seu blog WordPress. Não se limita a proteger seu diretório wp-admin, mas também o seu wp-includes, wp-content, plugins, plugins etc também. Imagine uma parede de tijolos ENORME proteger sua frágil. Scripts PHP de ataques interminável de robôs automatizados na Web e senha de adivinhação explorar servindo-vírus. Esqueça o spam, esses milhões de robôs zumbis são demasiado escandalosa para ignorar, eles estão tentando conhecido (mas estranhamente desatualizado) explora procurando vulnerabilidades conhecidas contra blogs e outro software de Internet. Mais cedo ou mais tarde algum blogueiro pobre que vai perder um upgrade e se tornar uma vítima desse tipo de video-game-like-ataque.
Get it from here.

- WP Security Scan
Scans instalação seu WordPress para vulnerabilidades de segurança e sugere ações corretivas: senhas, permissões de arquivos, banco de dados de segurança, escondendo versão, o WordPress admin proteção / segurança, remove WP Gerador de META tag a partir do código do núcleo
Baixá-lo aqui.

- Use firewall Wordpress!
Uma plataforma de weblog é vulnerável a tentativas de hacking que é onde a sua protecção de firewall exclusivo para Wordpress vai lhe dar paz de espírito (so they say).
O script de firewall suporte PHP e MYSQL tornando-se um parceiro ideal para o Wordpress. Não importa qual a versão do Wordpress que você está usando o script de firewall irá fazer o seu seguro blog (que protege o seu blog de SQL Injections, erros de codificação, cross site scripting (XSS), Cross-site pedido falsificação (CSRF), roubo de senha (IP Lock) , Comment spam, ataques de DDoS, ruleset wordpress Personalizado (bloqueia todas as façanhas)).
Download software de firewall agora para fazer a sua instalação Wordpress seguro contra ataques baseados na web (este software não é livre!).

Renomear a conta administrativa!

Você pode fazer isso no comando do MySQL com um cliente de linha de comando como "atualização tableprefix_users conjunto user_login = 'novousuário' onde user_login admin = '';", ou usando uma interface como o MySQL phpMyAdmin.

Backup seu banco de dados!

Faça backup de seus dados regurarly (que inclui o banco de dados). Criptografar a cópia de segurança, mantendo um registo independente de hashes MD5 para cada arquivo de backup e / ou backups colocação mídia somente leitura (como CD-R) aumenta a sua confiança de que seus dados não foi adulterado.
Um utilitário é bom WP-DBManager e pode ser baixado aqui ou WP-DB-Backup, que pode ser baixado aqui.
Ou você pode usar o gerenciador de banco de dados MySQL de escolha: phpMyAdmin (como usar isto como uma ferramenta de backup leia aqui)

Faça todas as suas variáveis $ POST!

Logs Standard Apache não oferecem muita ajuda a lidar com a segurança forense.
Assim, para registrar todas as variáveis $ POST enviado para WordPress você pode usar este plugin chamado Postlogger (baixá-lo aqui).
Se acontecer de você estar usando este plugin, e ativamente registrando todas as variáveis $ POST e instalar o WordPress é explorado, você será capaz de voltar e ver realmente onde e como explorar o ocorrido. Armado com essa informação, você pode pegar os dados para os desenvolvedores do WordPress.

Plugins que precisam acesso de gravação!

Se quer escrever um plugin de acesso a arquivos e diretórios de seu WordPress, então primeiro leia o código para se certificar de que é legítimo ou verificar com alguém da sua confiança e é mais experiente do que você. Outros locais possíveis para verificar se o suporte Wordpress Fórum e IRC Channel.

Criptografar toda a comunicação dentro de "wp-admin" diretório! (Se possível)

Você pode proteger e criptografar todas as suas comunicações e os cookies WordPress importante usar o Admin-plugin SSL. Funciona com privados e SSL compartilhado. Este plugin pode ser baixado aqui.

Aperte as permissões de arquivo!

Alguns dos recursos interessantes WordPress 'vêm permitindo que alguns arquivos para poder ser escrito pelo servidor web. No entanto, deixar um pedido, ter acesso de gravação aos arquivos é uma coisa perigosa, especialmente em um ambiente público.
De uma perspectiva de segurança, é melhor para bloquear as permissões de arquivo, tanto quanto possível e para afrouxar as restrições sobre as ocasiões em que você precisa para permitir acesso de gravação, ou para criar pastas especiais com restrições mais relaxado com a finalidade de fazer as coisas como upload de imagens.

Claro, atualize seu Wordpress!

Como eu disse acima, mantendo a sua instalação Wordpress até à data é uma das medidas mais importantes contra hackers. E não é complicado de ser feito (tudo backup antes da atualização!).

Saiba mais sobre a Proteção de uma instalação do Wordpress aqui, no site Wordpress.

Para testar o seu blog Wordpress para fraquezas site Blogsecurity Wordpress desenvolveu um scanner online.
Você pode testá-lo aqui.
* Observação: Antes de usar este scanner é necessário instalar um plugin (chamado "wp-scanner") que oferecem e pode ser baixado aqui! Ativar o plugin, a varredura de seu blog, em seguida, desativar o plugin para impedir que outros a varredura de seu blog novamente.

BlogSecurity também oferece um WordPress Security Whitepaper que tem informações detalhadas sobre como proteger a sua instalação Wordpress. Leia mais aqui.

Agora que você tem garantido o seu blog (espero que você fez de execução das medidas acima, não é? Pelo menos a maioria deles ...) leia mais sobre como os outros foram atacados e que eles fizeram para resolver isso. Ou apenas ler como você pode ser atacado por diferentes meios.

------------
Mircea Goia, nasceu na Romênia e emigrou para E.U. em 2005.
Ele vive em Phoenix, AZ e trabalha como desenvolvedor web. De lado, ele também trabalha em vários projectos empresariais web.
Ele mostra um grande interesse no desenvolvimento da Web comercial, tais como redes sociais, marketing viral e vídeo online.
Seu hobby é cinema artístico com especial interesse na direção.
------------

Sphere: Related Content

Quer mais software web opiniões, notícias e dicas / truques?
Em seguida, certifique-se de assinar o nosso feed RSS!

Tags: blog, hacking, instalação segura, Dicas e Truques, wordpress, plugins de segurança Wordpress

(6 votos, média: 5,00 out of 5)

Carregando ...

Esta entrada foi postada em Thursday, June 12th, 2008 at 12:40 e está arquivado em MyTestBox News. Você pode acompanhar quaisquer respostas a esta entrada através do RSS 2.0 feed. Você pode deixar uma resposta, ou trackback de seu próprio site.