MyTestBox.com:: software-ul de web comentarii, ştiri, sfaturi şi trucuri

Este blog-ul dvs. Wordpress hacked? De ce să nu faceţi upgrade la ultima versiune?

12 iunie 2008 de către Mircea Goia Autor strânsă: Mircea Goia Nume: Mircea Goia
E-mail: mtb@mytestbox.com
Site-ul: http://www.mytestbox.com
MyTestBox News Despre: Mircea Goia sa născut în România şi a emigrat în SUA în 2005. El locuieşte în Phoenix, AZ si lucreaza ca web developer. Circuitul agricol, el lucrează, de asemenea, pe mai multe proiecte antreprenoriale web. El arată un interes deosebit în dezvoltarea comercială Web, cum ar fi sociale reţele, viral marketing, video on-line. hobby-ul lui artistic este realizarea de filme cu un interes deosebit în regie. A se vedea Autori Posts (76) MyTestBox News

Dacă executaţi Wordpress software-ul blog-ul (şi nu este actualizat la cea mai recentă versiune), s-ar putea fi o ţintă pentru hackeri, care caută să preia blog-uri pentru a-optimizare pentru motoarele de cautare (SEO) din alte site-uri le controlează, traficului şi de redirecţionare în alte scopuri rău.

Cele mai multe dintre atacurile constau în utilizarea SQL injection şi XSS cross-site scripting şi că se datorează faptului că datele introduse de utilizator nu este filtrat în mod corespunzător de software-ul. Unele dintre atacurile de utilizare roboţii care poate crea sute de pagini de spam pe blog-ul dvs. în mod automat, loc un backdoor (atât de hacker a putea reveni la momentul mai recent) sau fura parolele utilizatorilor.

Hackerii profită de natura open-source a software-ului pentru a arăta şi analiza codului sursă al unui software specific pe care doresc să atace şi să testeze o pentru vulnerabilităţi potenţiale. Apoi, dezvoltatorii şi utilizatorii au de a detecta, urmări în jos, şi de oprire vulnerabilităţi în codul că aceste atacatorii folosesc.
Modelul pare a fi la fel: atunci când o gaură nouă este găsit, este exploatată în linii mari, apoi dezvoltatorii graba dintr-un plasture şi / sau o nouă versiune. Cele mai multe dintre daunele provocate de exploateaza automatizate pot fi inversate cu un upgrade, dar în unele cazuri, puteţi fi lăsat cu mii de pagini de spam şi imagini de la spre clar sus (şi aceştia sunt de obicei bine ascunse). Dacă software-ul a atacat este foarte popular (şi care atrage prea hackeri) - cum ar fi Wordpress - apoi mii de instalare poate fi compromise.

Sunt şanse ca un proprietar de blog-ul îşi dă seama târziu că blog-ul său a fost hacked că de ce este important să ţină pasul cu cele mai noi upgrade-urile şi patch-uri de securitate de la Wordpress.com şi să păstreze un ochi pe blog-ul dvs.: monitorul statistici, utilizarea blog-ul, au frecvente backup-uri şi urmări alte blog-uri de securitate pentru ştiri cu privire la orice gauri de securitate una dintre ele este BlogSecurity.net.

Întotdeauna de instalare de upgrade dvs. Wordpress la ultima versiune (de asemenea, orice târziu de securitate a lansat patch-uri ar trebui să fie instalat). Fiţi conştient de faptul că, dacă aţi instalat Wordpress din interiorul pachet Fantastico, atunci cel mai probabil nu veţi avea cea mai recentă versiune în pachetul (se pare guys Fantastico nevoie de timp pentru actualizarea acestora în pachetul lor cu cele mai recente versiuni ale software-ului au pus în acel pachet -- Wordpress inclus). Mai repede decât le în actualizarea software-ul lor, cei de la SimpleScripts (Fantastico şi SimpleScripts sunt, de obicei offerend de multe companii gazduieste abonaţilor lor).

Cum te in deplina siguranta in instalarea dvs. Wordpress?

• Plugin-uri dvs. "" directorul NU este asigurată în mod implicit!

Şi asta înseamnă că nu index.html "" sau "index.php" fisier in acel director, astfel încât oricine să poată vedea ce plugin-uri sunt folositi cu doar mergi la "www.yoursite.com / wp-content / plugin-uri". Este uşor pentru a opri acest lucru prin crearea unui martor HTML fişier numit "index.html" şi pune-l în acel director. Job done!

• Alegeţi o parolă puternică!

Nu folosiţi o să fie uşor de ghicit admin password (personajele de mai multe nume de mici, numele soţiei dvs., nume de animale de companie, etc) ... alegeţi o parolă mai lungă şi încercaţi să combine cu numerele şi majuscule / litere mici (chiar alte caractere cum ar fi #,$,%,^ ...). Şi de a vă schimba parola admin regurarly!

• Utilizarea de securitate legate de plugin-uri!

Unele dintre aceste legate de securitate plugin-uri pot ajuta:

- BS-WP-NoVersion
O mulţime de atacatori şi a instrumentelor automate va încerca şi să determine versiunile software-ului înainte de lansare a exploata cod. Scoaterea versiunea dvs. de WordPress blog pot descuraja unele atacatorii şi cu siguranţă va atenua virus şi programe de viermi care se bazează pe versiunile de software.
Puteţi obţine acest plug-in de aici (download-l ca PHP dosar - nu txt - şi pune-l în plugin-uri "dvs., directorul, apoi activa)
Sau puteţi folosi Înlocuiţi plugin WP versiune.

- Login Lockdown
Login Lockdown înregistrează adresa IP şi timestamp de orice încercare de conectare a eşuat WordPress. Dacă mai mult de un anumit număr de încercări sunt detectate într-o perioadă scurtă de timp, din aceeasi gama de anchetă, atunci funcţia de conectare este dezactivată pentru toate cererile din această gamă. Acest lucru ajută la prevenirea descoperirea brute force parola. În prezent, implicit la un plug-in de 1 oră de blocare dintr-un bloc de IP nu a reuşit după 3 încercări de conectare în termen de 5 minute. Acest lucru poate fi modificat prin intermediul panoului de Options. Admisitrators poate de presă al bloca IP variază de manual de la panoul de.
Descărca de aici.

- AskApache
AskApache Password A proteja adaugă unele de protecţie grave parola pentru a blog-ul dvs. WordPress. Nu numai că vă proteja wp-director admin, dar, de asemenea, dvs. wp-include, wp-conţinut, plugin-uri, plugin-uri etc, de asemenea. Imaginaţi-vă un zid de caramida ENORM protejarea fragilă dumneavoastră. Script-uri php de la atacuri fără sfârşit de roboţi de web automate şi parola-guessing exploata-servire virii. Uită de spam, aceste milioane de boti zombie sunt prea scandalos pentru a ignora, acestea sunt cunoscute încearcă (dar ciudat de depăşite) exploateaza cautati vulnerabilităţi cunoscute împotriva blog-uri şi alte software-uri de Internet. Mai devreme sau mai târziu un blogger săraci este de va fi dor de un upgrade şi a deveni o victimă la acest tip de video-joc-ca-atac.
Ia-l de aici.

- WP Security Scan
Scanează instalarea dvs. WordPress pentru vulnerabilităţi de securitate şi sugerează şi acţiuni corective: parole, permisiunile de fişiere, baze de date de securitate, ascunderea versiune, WordPress protecţie admin / de securitate, indeparteaza WP Generator de eticheta META din codul de bază
Descărca de aici.

- Utilizarea firewall Wordpress!
O platformă weblog este vulnerabil la tentativele de hacking, care este în cazul în care protecţia lor unic de firewall pentru Wordpress vă va da pace a mintii (asa spun ei).
Firewall acceptă script PHP şi MySQL ceea ce face un partener ideal pentru Wordpress. Indiferent ce versiune de Wordpress pe care îl utilizaţi Script Firewall va face in deplina siguranta in blog-ul dvs. (protejarea blog-ul dvs. de la SQL preparate injectabile, de codificare a mărfurilor Erori, Cross Site Scripting (XSS), Cross-Site cererea Falsificarea (CSRF), Parola furt (IP Blocare) , Comentariu spam, atacuri DDoS, ruleset Particularizate WordPress (blochează toate exploateaza)).
Descărcaţi software-ul Firewall acum pentru a face instalarea Wordpress protejate împotriva atacurilor bazate pe web (acest software-ul nu este gratuit!).

• Redenumire contul administrativ!

Puteţi face acest lucru în comanda MySQL-client, cu o linie de comandă ca "actualizare tableprefix_users set user_login = 'utilizator nou" în cazul în admin =' user_login '; ", sau prin utilizarea unui frontend MySQL ca phpMyAdmin.

• Backup baza de date!

Ar trebui să copie de siguranţă a datelor dumneavoastră regurarly (care include baza de date). Criptarea de backup, păstrarea unei discuri independente de hashes MD5 pentru fiecare fişier copie de rezervă, şi / sau de backup-uri introducerea pe mass-media read-only (cum ar fi CD-R), creşte încrederea dvs. ca datele dumneavoastra nu au fost alterate în scop malefic.
Unul utilitate bună este WP-DBManager şi poate fi descărcat de aici sau de WP-DB-backup, care poate fi descărcat de aici.
Sau puteti folosi administratorul bazei de date MySQL, la alegere: phpMyAdmin (cum să folosească acest lucru ca pe un instrument de rezervă citeste aici)

• Log toate variabilele dumneavoastră $ post!

Standard jurnalele Apache nu oferă prea mare ajutor, cu care se ocupă de criminalistica de securitate.
Deci, pentru a vă conecta toate variabilele $ post trimis la WordPress, puteţi utiliza aceste plug-in numit Postlogger (descărca de aici).
Dacă se întâmplă să fie folosind acest plug-in, precum şi în mod activ de logare toate variabilele $ post, şi WordPress dvs. de a instala este exploatat, veţi putea să se întoarcă şi de fapt, a se vedea locul şi modul în exploatare a avut loc. Înarmat cu aceste informaţii, puteţi lua de date pentru a dezvoltatorilor WordPress.

• Plugin-uri care au nevoie de acces a scrie!

În cazul în care un plugin doreşte accesul la scriere în fişiere şi directoare WordPress, apoi mai întâi citiţi codul pentru a vă asigura că este legit sau a verifica cu cineva aveţi încredere şi este mai savvy decât tine. Alte locuri posibile pentru a verifica sunt Wordpress Suport Forum si IRC Channel.

• Encrypt toate de comunicare în cadrul "WP-admin", director! (Dacă este posibil)

Aveţi posibilitatea să sigure şi cripta toate tale de comunicare şi de cookie-uri WordPress importante folosind Admin-Plugin SSL. Funcţionează cu private şi la comun de SSL. Acest plugin-ul poate fi descărcat de aici.

• Strângeţi până permisiunile fisier!

Unele dintre caracteristicile WordPress "misto provin de la care să permită unele fişiere să fie scris de către serverul de web. Cu toate acestea, permiţându-au scris o cerere de acces la fişierele dvs. este un lucru periculos, mai ales într-un mediu public.
Dintr-o perspectivă de securitate, este cel mai bine pentru a bloca jos permisiunile fişierului dvs. cât mai mult posibil şi să slăbească aceste restricţii cu privire la ocazii de care aveţi nevoie pentru a permite accesul a scrie, sau pentru a crea dosare speciale cu restricţii mai lejere, în scopul de a face lucruri ca incarcarea de imagini.

• Desigur, Update WordPress tău!

Cum am spus mai sus, păstrarea instalarea dvs. Wordpress până la data este una din cea mai importantă măsură împotriva hackerilor. Şi nu este complicat de a fi făcut fie (tot de rezervă înainte de a actualiza!).

Aflaţi mai multe despre Hardening o instalare de Wordpress aici, pe site-ul Wordpress.

Pentru a testa blog-ul dvs. WordPress pentru punctele slabe site-ul web Blogsecurity dezvoltat un scaner on-line Wordpress.
Puteţi încerca să-l aici.
* NOTĂ: Înainte de a utiliza acest scaner aveţi nevoie pentru a instala un plug-in (numit "WP-scanerului"), care le oferă şi poate fi descărcat de aici! Activaţi plug-in, scanare blog-ul dvs., apoi a dezactiva plugin-ul pentru a preveni scanarea blog-ul dvs. din nou.

BlogSecurity, de asemenea, oferă şi un WordPress de Securitate Whitepaper care are Informatii detaliate despre securizarea instalarea dvs. de Wordpress. Citeste mai mult aici.

Acum, că aveţi asigurate blog-ul dvs. (sperăm că ai făcut punerea în aplicare a acestor măsuri de mai sus, nu?, Cel puţin, cele mai multe dintre ele ...) Vă rugăm să citiţi mai mult modul în care alţii au fost atacaţi şi ceea ce au facut pentru a remedia acest lucru. Sau chiar gata Cum poti fi atacat de mijloace diferite.

• Wordpress Probleme de securitate de livrare la masa Hacking. Is Your Next blog? (Chiar TechCrunch acoperite acest lucru şi înseamnă că acest lucru este grav)
• Ti-vă Wordpress get hacked?
• Hacked!
• Wordpress hacked!
• Am fost hacked
• Wordpress hacked: googlerank.info
• Wordpress hacked. Upgrade-ul ACUM!
• Wordpress hack cauze site-ul pentru a fi eliminate de la Google
• Wordpress hacked, site-ul penalizat
• Omniprezent WordPress Hack, Sustrage Search Engine Traffic
• Wordpress 2.3.3 Securitate Retro-Fit
• WordPress Hack: A nota şi Fix Google şi Cercetare Motor sau Nu Cookie Trafic redirecţionat către dvs. a-Needs.info, AnyResults.Net, Golden-Info.net şi alte site-uri ilegale

------------
Mircea Goia sa născut în România şi a emigrat în SUA în 2005.
El locuieşte în Phoenix, AZ si lucreaza ca web developer. În afară, el lucrează, de asemenea, pe mai multe proiecte antreprenoriale Web.
El arată un interes deosebit în dezvoltarea comercială Web, cum ar fi reţelele sociale, de marketing viral si video on-line.
Hobby-ul lui artistica este realizarea de filme cu un interes deosebit în regie.
------------

Vrei mai mult software-ul de web comentarii, ştiri şi sfaturi / trucuri?
Apoi, asiguraţi-vă că vă abona la RSS feed nostru!

Tag-uri: blog, Hacking, instalare sigure, sfaturi şi trucuri, WordPress, plugin-uri de securitate Wordpress

(6 voturi, medie: 5.00 din 5)

Se incarca ...