MyTestBox.com:: Webbprogramvara recensioner, nyheter, tips och tricks

Är din Wordpress blogg hackad? Varför inte uppgradera till den senaste versionen?

12 juni 2008 med Mircea Goia stäng Författare: Mircea Goia Namn: Mircea Goia
Email: mtb@mytestbox.com
Site: http://www.mytestbox.com
MyTestBox News About: Mircea Goia föddes i Rumänien och emigrerade till USA år 2005. Han bor i Phoenix, AZ och arbetar som webbutvecklare. Bortsett jobbar han också på flera företagande webbprojekt. Han visar ett stort intresse för kommersiell webbutveckling såsom social nätverk, viral marketing, online video. Hans konstnärliga hobby är filmskapande med speciellt intresse i att styra. See Authors Posts (76) MyTestBox Nyheter

Om du kör Wordpress blogg programvara (och det är inte uppgraderat till den senaste versionen) kanske du har varit ett mål för hackare som vill ta över bloggar for search-engine optimization (SEO) av andra webbplatser som de kontrollerar, trafik-omdirigering och andra dåliga syften.

De flesta av attackerna består i att använda SQL-injektion och XSS cross-site scripting och det beror på användarens indata filtreras inte riktigt av programvaran. Några av de attacker använda robotar som kan skapa hundratals spam sidor på din blogg automatiskt, plats en bakdörr (så att hackare kan komma tillbaka vid senare tillfälle) eller stjäla användarnas lösenord.

Hackare utnyttjar open-source typ av programvara för att titta och analysera källkoden till en särskild programvara som de vill anfalla och testa den för potentiella sårbarheter. Då utvecklare och användare har att upptäcka, spåra och stänga av sårbarheter i koden som de angriparna använder.
Mönstret verkar vara densamma: när ett nytt hål hittas, det är i stort sett utnyttjas, då utvecklare rusa ut en lapp och / eller en ny release. De flesta av de skador som orsakats av den automatiska bedrifter kan brytas med en uppgradering men i vissa fall kan du vara kvar med tusentals spam sidor och bilder för att rensa upp (och de är oftast väl dold). Om den angripne mjukvaran är mycket populär (och som lockar hackers också) - gillar Wordpress - då tusentals installationer kan äventyras.

Chansen finns att en blogg ägare inser sent att hans blogg var hackad varför det är viktigt att hålla jämna steg med den senaste uppgraderingen och säkerhetskorrigeringar från Wordpress.com och hålla ett öga på din blogg: övervaka statistik bloggen användning, har ofta säkerhetskopior och låt andra bloggar trygghet för nyheter om eventuella säkerhetshål en av dem är BlogSecurity.net.

Alltid uppgradera din Wordpress installation till den senaste versionen (även de senaste säkerhetsuppdateringarna installerade frisläppas ska installeras). Var medveten om att om du har installerat Wordpress inifrån Fantastico paketet då förmodligen kommer du inte ha den senaste versionen i paketet (det verkar Fantastico killar tar sin tid att uppdatera sina paket med de senaste versionerna av programvaran de sätter i det paketet -- Wordpress ingår). Snabbare än dem i uppdatera sin programvara killarna från SimpleScripts (Fantastico och SimpleScripts vanligtvis offerend av många webbhotell till sina abonnenter).

Hur du säkrar din Wordpress installation?

• Din "plugins" katalog säkras inte som standard!

Och det betyder att det finns ingen "index.html" eller "index.php" filen i den katalogen så att alla kan se vad insticksprogram du använder genom att bara gå till "www.yoursite.com / wp-content / plugins". Det är lätt att stoppa detta genom att skapa ett tomt HTML-fil med namnet "index.html" och lägg den i den katalogen. Jobbet gjort!

• Välj ett starkt lösenord!

Använd inte lätt att gissa admin lösenord (du flera tecken små namn, din frus namn, namn på husdjur, osv) ... välja en längre lösenord och försök att kombinera den med siffror och stora / små bokstäver (även andra tecken som #,$,%,^ ...). Och ändra ditt lösenord för administration regurarly!

• Använd säkerhetsrelaterade plugins!

Några av dessa säkerhetsrelaterade plugins kan hjälpa dig:

- BS-WP-NoVersion
Många anfallare och automatiserade verktyg kommer att försöka avgöra programversioner innan lanseringen utnyttja kod. Ta bort din WordPress blog version kan avskräcka vissa anfallare och säkert kommer att minska virus och program mask som är beroende programversioner.
Du kan få denna plugin från här (ladda ner den som PHP arkivera - inte TXT - och lägga den i "plugins" katalog, sedan aktivera den)
Eller du kan använda Ersätt WP version plugin.

- Logga in Lockdown
Login Lockdown registrerar IP-adress och tidsstämpel varje misslyckades WordPress inloggningsförsök. Om fler än ett visst antal försök har upptäckts inom en kort tid från samma IP-intervall, sedan logga in funktionen är inaktiverad för alla förfrågningar från det området. Detta bidrar till att förhindra dyre upptäckt kraft lösenord. Närvarande plugin defaults till en 1 timme lockout av en IP-block efter 3 misslyckats inloggning försök inom 5 minuter. Detta kan ändras via panelen Alternativ. Admisitrators kan släppa utelåst IP-adresser manuellt från panelen.
Hämta den här.

- AskApache
AskApache Lösenord Skydda lägger till några allvarliga lösenord till din WordPress blog. Inte nog med att skydda din wp-admin katalogen, men också din wp-omfattar, wp-innehåll, plugins, mm plugins också. Föreställ dig en vägg HUGE tegel skydda din svaga. PHP-skript från ändlösa attacker av automatiserade webb robotar och gissa lösenord Exploit-servering Virii. Glöm spam, dessa miljontals zombie bots är för upprörande att ignorera, utnyttjar de försöker kända (men märkligt föråldrad) söker efter kända sårbarheter mot bloggar och andra Internet-programvara. Förr eller senare någon stackars bloggare kommer att missa en uppgradering och bli ett offer för denna typ av video-game-like-attack.
Få den från här.

- WP Security Scan
Skannar din WordPress installation för säkerhetshål och föreslår korrigerande åtgärder: lösenord, behörigheter fil, databas säkerhet, version dölja, WordPress Admin skydd / säkerhet, bort WP Generator metatagg från centrala registret
Hämta den här.

- Använd Wordpress brandvägg!
En webblogg plattform är sårbar för intrångsförsök och det är där deras unika brandväggsskydd för Wordpress kommer att ge dig sinnesfrid (so they say).
Brandväggen script stödjer PHP och MySQL gör det till en idealisk partner för Wordpress. Oavsett vilken version av Wordpress du använder brandväggen Script gör din blogg säkert (skydda din blogg från SQL-injektioner, Kodningsfel, Cross Site Scripting (XSS), Cross-site request Forgery (CSRF), Lösenord stöld (IP-Lock) , Kommentera Spam, DDoS attacker, Customized wordpress regeluppsättning (blockerar alla exploits)).
Ladda ner brandvägg nu för att göra din Wordpress installation säkert mot webbaserade attacker (detta program är inte gratis!).

• Byt namn på den administrativa kontot!

Du kan göra detta i MySQL command-line klient med ett kommando som "uppdatera tableprefix_users ställa user_login =" anv.namn ", där user_login = 'admin';", eller genom att använda en MySQL-gränssnitt som phpMyAdmin.

• Backup din databas!

Du bör säkerhetskopiera dina data regurarly (som inkluderar databasen). Kryptering av backup, hålla ett oberoende skivbolag med MD5 hashes för varje backup fil och / eller utsläppande säkerhetskopior på read-only medier (t.ex. CD-R) ökar ditt självförtroende att dina uppgifter inte har manipulerats.
Ett bra verktyg är WP-DBManager och kan laddas ner från här eller WP-DB-Backup som kan laddas ner från här.
Eller så kan du använda MySQL databas manager i val: phpMyAdmin (hur man använder detta som en backup verktyg läs här)

• Logga alla dina $ POST variabler!

Standard Apache loggar erbjuder inte mycket hjälp med att rätta trygghet kriminalteknik.
Så för att logga alla $ POST variabler skickas till WordPress kan du använda denna plugin kallas Postlogger (hämta den här).
Om du råkar använda detta plugin, och aktivt loggning av alla $ POST variabler, och din WordPress installation utnyttjas, kommer du att kunna gå tillbaka och verkligen se var och hur de utnyttjar inträffade. Beväpnad med denna information, kan du ta uppgifterna till WordPress utvecklare.

• Plugins som behöver skrivrättigheter!

Om en plugin vill skriva tillgång till din WordPress filer och kataloger, då först läsa koden för att se till att det är legit eller kolla med någon du litar på och är smartare än du. Andra möjliga ställen att besöka är Wordpress support forum och IRC-kanal.

• Kryptera all kommunikation inom "WP-admin"-katalogen! (Om möjligt)

Du kan säker och kryptera all din kommunikation och viktiga cookies WordPress använder Admin-SSL-plugin. Fungerar med privata och delade SSL. Denna plugin kan laddas ner från här.

• Skärpa filrättigheter!

Några av WordPress "häftiga funktioner kommer att tillåta några filer så att skrivbar av webbservern. Har dock låter en ansökan skriva tillgång till dina filer är en farlig sak, särskilt i en offentlig miljö.
Ur säkerhetspolitisk synvinkel är det bäst att låsa dina filrättigheter så mycket som möjligt och att lossa dessa inskränkningar på de tillfällen som du behöver för att ge skrivrättigheter, eller att skapa särskilda mappar med mer strikta begränsningar för att göra saker som ladda upp bilder.

• Naturligtvis uppdatera din Wordpress!

Som jag sa ovan, att hålla din Wordpress installation aktuell är en av de viktigaste åtgärden mot hackare. Och det är inte komplicerat att göra antingen (säkerhetskopiera allt före uppgradering!).

Läs mer om Härdning en Wordpress installation här, på Wordpress hemsida.

Att testa din Wordpress blogg för brister Blogsecurity hemsida utvecklat en online Wordpress scanner.
Du kan prova det här.
* OBS: Innan du använder denna scanner behöver du installera ett plugin (som heter "WP-scanner") som de erbjuder och kan laddas ner från här! Aktivera plugin, skanna din blogg, så inaktivera plugin för att förhindra att andra skanna din blogg igen.

BlogSecurity erbjuder också en WordPress Security Whitepaper som har detaljerad information om säkra din Wordpress installation. Läs mer här.

Nu när du har fått din blogg (förhoppningsvis du gjorde genomföra dessa ovan nämnda åtgärder, sa du? Åtminstone de flesta av dem ...) Läs mer om hur andra attackerades och vad de gjorde för att fixa detta. Eller bara läsa hur kan du bli attackerad på olika sätt.

• Wordpress Säkerhetsproblem Bly till massa Hacking. Är din blogg Nästa? (Även Techcrunch mer om detta och det innebär att det är allvarligt)
• Har din Wordpress get hacked?
• Hackat!
• Wordpress hackat!
• Jag blev hackad
• Wordpress hackade: googlerank.info
• Wordpress hackade. Upgrade Now!
• Wordpress hacka orsakar webbplats tas bort från Google
• Wordpress hacka, site straffas
• Utbredd WordPress Hack, stjäl Search Engine Traffic
• Wordpress 2.3.3 Säkerhet Retro-Fit
• WordPress Hacka: Återvinna och Fix Google och sökmotor eller Nej Cookie Trafiken hänvisas till ditt-Needs.info, AnyResults.Net, Golden-Info.net och annan olaglig Sites

------------
Mircea Goia föddes i Rumänien och emigrerade till USA under 2005.
Han bor i Phoenix, AZ och arbetar som webbutvecklare. Åt sidan, han arbetar också på flera företagande webbprojekt.
Han visar ett stort intresse för kommersiell webbutveckling såsom sociala nätverk, viral marknadsföring och online video.
Hans konstnärliga hobby är filmskapande med speciellt intresse för att leda.
------------

Vill du ha mer recensioner webb mjukvara, nyheter och tips / knep?
Sedan se till att du prenumerera på våra RSS-flöde!

Tags: blog, hacking, säker installation, tips och tricks, wordpress, Wordpress trygghet plugins

(6 votes, average: 5.00 out of 5)

Laddar ...