MyTestBox.com:: เว็บซอฟต์แวร์บทวิจารณ์ข่าวเคล็ดลับและเทคนิค

เป็นบล็อก Wordpress ของ hacked? ทำไมไม่ปรับรุ่นเป็นรุ่นล่าสุด?

12 มิถุนายน 2008 โดย Mircea Goia ผู้เขียน ปิด: ชื่อ Mircea Goia: Mircea Goia
Email: mtb@mytestbox.com
เว็บไซต์: http://www.mytestbox.com
MyTestBox News เกี่ยวกับ Mircea Goia เกิดในโรมาเนียและอพยพไปยังสหรัฐอเมริกาในปี 2005. พระองค์ชีวิตใน Phoenix, AZ และทำงานเป็นนักพัฒนาเว็บ. นอกเหนือเขายังทำงานในหลายโครงการผู้บริหารกิจการ Web. เขาแสดงความสนใจในการพัฒนาเว็บเชิงพาณิชย์เช่นสังคมเครือข่ายการตลาดไวรัสวิดีโอออนไลน์. งานอดิเรกของพระองค์คือศิลปะ filmmaking ที่มีความสนใจเป็นพิเศษในการชี้นำ. ดูผู้เขียนบทความ (76) MyTestBox News

หากคุณใช้ ซอฟต์แวร์บล็อก Wordpress (และจะไม่ปรับรุ่นให้เป็นเวอร์ชันล่าสุด) คุณอาจได้รับการกำหนดเป้าหมายสำหรับแฮกเกอร์ผู้ที่กำลังมองหาที่จะไปบล็อกเพื่อค้นหาการเพิ่มประสิทธิภาพเครื่องยนต์ (SEO) ของเว็บไซต์อื่นๆที่พวกเขาควบคุมการจราจรที่เปลี่ยนเส้นทางและวัตถุประสงค์ร้ายอื่นๆ.

ที่สุดของการโจมตีประกอบด้วยในการใช้ ฉีด SQL และ XSS ข้ามสคริปต์เว็บไซต์ และเนื่องจากเข้าของผู้ใช้จะไม่ถูกกรองโดยซอฟต์แวร์. บางโจมตีใช้ bots ซึ่งสามารถสร้างหลายร้อยหน้าสแปมในบล็อกของคุณโดยอัตโนมัติวางลับๆ (เพื่อให้แฮกเกอร์สามารถกลับมาในภายหลัง) หรือขโมยรหัสผ่านผู้ใช้.

แฮกเกอร์มีประโยชน์เปิดแหล่งธรรมชาติของซอฟต์แวร์ที่จะดูและวิเคราะห์ซอร์สโค้ดของซอฟต์แวร์เฉพาะที่พวกเขาต้องการโจมตีและทดสอบสำหรับช่องโหว่ที่อาจ. แล้วนักพัฒนาและผู้ใช้ต้องตรวจสอบติดตามและปิดช่องโหว่ในโค้ดที่ attackers ผู้ใช้.
รูปแบบน่าจะเป็นเดียวกัน: เมื่อหลุมใหม่พบก็ exploited ทั่วไปแล้วนักพัฒนาวิ่งออกแพทช์และ / หรือออกใหม่. ที่สุดของความเสียหาย inflicted โดยการหาประโยชน์อัตโนมัติโดยสามารถกลับมีการปรับรุ่นแต่ในบางกรณีคุณสามารถซ้ายกับพันหน้าขยะและทำความสะอาดภาพ up (และพวกเขามักจะซ่อนไว้ด้วย). หากซอฟต์แวร์โจมตีได้รับความนิยมอย่างมาก (และที่ดึงดูดแฮกเกอร์เกินไป) - เช่น Wordpress - แล้วนับพันติดตั้งสามารถทำลาย.

คงที่เจ้าของบล็อกตระหนักถึงปลายที่บล็อกของเขาคือ hacked ว่าทำไมมันเป็นสิ่งสำคัญเพื่อให้กับการปรับรุ่นล่าสุดและปรับปรุงการรักษาความปลอดภัยจาก Wordpress.com และสังเกตการณ์ในบล็อกของคุณ: ตรวจสอบสถิติที่ใช้บล็อกได้บ่อยสำรองข้อมูลและบล็อกการรักษาความปลอดภัยอื่นๆติดตามข่าวสารเกี่ยวกับการรักษาความปลอดภัยใดหลุมหนึ่งพวกเขาจะ BlogSecurity.net.

ทุกรุ่นติดตั้ง Wordpress ของคุณให้เป็นเวอร์ชันล่าสุด (ยังมีแพทช์รักษาความปลอดภัยล่าสุดที่ออกควรจะติดตั้ง). ทราบว่าถ้าคุณติดตั้ง Wordpress จากภายในแพ็คเกจ Fantastico แล้วที่สุดอาจจะไม่ได้รุ่นล่าสุดในแพคเกจ (มันดูเหมือน guys Fantastico ใช้เวลาในการปรับปรุงชุดของพวกเขากับเวอร์ชันล่าสุดของซอฟต์แวร์ที่พวกเขาวางในแพคเกจที่ -- Wordpress รวม). เร็วกว่าพวกเขาในการปรับปรุงซอฟต์แวร์ของ guys จาก SimpleScripts (Fantastico และ SimpleScripts มี offerend ปกติโดยบริษัทหลายพื้นที่บริการของพวกเขา).

วิธีการติดตั้ง Wordpress ปลอดภัยของคุณหรือไม่

• ปลั๊กอิน "ของไดเรกทอรี" คือปลอดภัยไม่โดยค่าเริ่มต้น!

และหมายถึงไม่มี index.html "หรือ index.php" "แฟ้มในไดเรกทอรีที่ให้ทุกคนสามารถดูปลั๊กอินคุณใช้โดยเพียงแค่ไป www.yoursite.com" / wp-ปลั๊กอิน / เนื้อหา ". มันเป็นเรื่องง่ายที่จะหยุดการนี้โดยการสร้าง blank HTML file ชื่อ "index.html" และวางไว้ในไดเรกทอรีที่. งานทำ!

• เลือกรหัสผ่าน strong!

ไม่ใช้ง่ายจะ guessed รหัสผ่านผู้ดูแลระบบ (ตัวอักษรหลายๆท่านชื่อเล็กชื่อภรรยาของคุณชื่อสัตว์เลี้ยงฯลฯ) ... เลือกรหัสผ่านอีกต่อไปและพยายามที่จะรวมกับตัวเลขและบน / ตัวอักษรตัวพิมพ์เล็ก (ตัวอักษรอื่นๆได้เช่น #,$,%,^ ...). และเปลี่ยนรหัสผ่านผู้ดูแลระบบของคุณ regurarly!

• การรักษาความปลอดภัยที่เกี่ยวข้องกับการใช้ปลั๊กอิน!

บางส่วนของการรักษาความปลอดภัยเกี่ยวกับปลั๊กอินอาจช่วยให้คุณเหล่านี้

- BS-WP-NoVersion
มาก attackers และเครื่องมืออัตโนมัติจะพยายามตรวจสอบซอฟต์แวร์รุ่นก่อนเปิดใช้ประโยชน์จากรหัส. ลบรุ่นบล็อกของคุณ WordPress อาจท้อบาง attackers และแน่นอนจะลดไวรัสและโปรแกรมหนอนที่พึ่งพารุ่นซอฟต์แวร์.
คุณจะได้รับโปรแกรมเสริมนี้จาก ที่นี่ (ดาวน์โหลดเป็นไฟล์ PHP - ไม่ TXT - และนำมาใส่ปลั๊กอิน "ของไดเรกทอรี" แล้วเปิดใช้งาน)
หรือคุณสามารถใช้ แทนที่รุ่นปลั๊กอิน WP.

- ล็อค Login
เข้าสู่ระบบล็อคข้อมูลที่อยู่ IP และเวลาของทุกคนไม่พยายามเข้าระบบ WordPress. ถ้าเกินกว่าจำนวนหนึ่งของความพยายามจะตรวจพบภายในระยะเวลาสั้นๆเวลาจากช่วงเดียวกัน IP แล้วงานเข้าสู่การยกเลิกการร้องขอจากช่วงที่. นี้จะช่วยป้องกันการบังคับค้นพบเดรัจฉาน password. ปัจจุบันค่าเริ่มต้นปลั๊กอินไป 1 ชั่วโมงล็อคจากบล็อก IP หลังจากที่ 3 ล้มเหลว login ภายใน 5 นาที. นี้สามารถแก้ไขผ่านทางแผง Options. Admisitrators สามารถปล่อยล็อค out IP ช่วงเองจากแผง.
ดาวน์โหลดได้จาก ที่นี่.

- AskApache
AskApache Password Protect เพิ่มการป้องกันรหัสผ่านบางอย่างเพื่อ WordPress Blog ของคุณ. ไม่เพียงแต่ไม่ได้ป้องกัน wp-ไดเรกทอรีผู้ดูแลระบบของคุณแต่ยัง wp ของคุณรวมถึง wp-เนื้อหาปลั๊กอิน, ปลั๊กอินฯลฯรวมทั้ง. นึกกำแพงอิฐขนาดใหญ่ที่สุดของการปกป้องเสาะ. สคริปต์ PHP จากการโจมตีสิ้นสุดของกลไกอัตโนมัติเว็บและรหัสผ่านคาดเดาประโยชน์-แสดง virii. ลืมสแปมล้านนี้ bots ผีดิบเกินไปอุกอาจไม่สนใจพวกเขากำลังพยายามเรียก (แต่เก่าตระการ) การหาประโยชน์มองหาช่องโหว่รู้จักกับบล็อกและซอฟต์แวร์ Internet อื่นๆ. ไม่ช้าก็เร็วบาง blogger ยากจนเป็นไปพลาดอัพเกรดและกลายเป็นเหยื่อในการพิมพ์ของวิดีโอนี้เกมส์-ต้องการโจมตี-.
ได้จาก ที่นี่.

- WP Security Scan
สแกนติดตั้ง WordPress สำหรับช่องโหว่ความปลอดภัยและแนะนำการดำเนินการแก้ไข: รหัสผ่านสิทธิแฟ้มการรักษาความปลอดภัยฐานข้อมูลซ่อนรุ่นการปกป้องดูแลระบบ WordPress / การรักษาความปลอดภัยเอาแท็ก WP Generator meta จากรหัส core
ดาวน์โหลดได้จาก ที่นี่.

- ไฟร์วอลล์ใช้ Wordpress!
แพลตฟอร์มเว็บบล็อกเป็นความเสี่ยงที่จะแฮ็คพยายามที่จะป้องกันไฟร์วอลล์ที่ไม่ซ้ำกันสำหรับ Wordpress ของพวกเขาจะทำให้คุณสมถะ (เพื่อพวกเขากล่าวว่า).
สคริปต์ไฟร์วอลล์สนับสนุน PHP และ MySQL ทำให้คู่เหมาะสำหรับ Wordpress. ไม่ว่ารุ่น Wordpress สิ่งที่คุณใช้ Firewall Script จะทำให้บล็อกปลอดภัยของคุณ (ป้องกัน blog ของคุณจาก SQL Injections, รหัสผิดพลาด Cross Site Scripting (XSS), Cross-site ขอปลอม (CSRF) ขโมยรหัสผ่าน (IP ล็อค) , ความคิดเห็นขยะโจมตี DDoS, ruleset wordpress เอง (ป้องกันการหาประโยชน์ทั้งหมด)).
ซอฟต์แวร์ดาวน์โหลด Firewall ขณะนี้ เพื่อให้การติดตั้ง Wordpress ของคุณปลอดภัยจากการโจมตีจากเว็บ (โปรแกรมนี้ไม่ฟรี).

• เปลี่ยนชื่อบัญชีผู้ดูแลระบบ!

คุณสามารถทำในคำสั่ง MySQL-client ตามคำสั่งเช่น "การปรับปรุง tableprefix_users ตั้ง user_login newuser = '' ที่ผู้ดูแล = 'user_login';" หรือโดยใช้ส่วนหน้า MySQL เช่น phpMyAdmin.

• ฐานข้อมูลสำรองของคุณ!

คุณควรสำรองข้อมูลของคุณ regurarly (ที่มีฐานข้อมูล). การเข้ารหัสสำรองคอยบันทึกอิสระของ hashes MD5 สำหรับไฟล์สำรองกันและ / หรือสำรองวางบนอ่านสื่อเท่านั้น (เช่น CD-R) เพิ่มความมั่นใจของคุณที่ข้อมูลของคุณไม่ได้รับการแก้ไข.
หนึ่งอรรถประโยชน์ดี WP-DBManager และสามารถดาวน์โหลดได้จาก ที่นี่ หรือ WP-DB-Backup ที่สามารถดาวน์โหลดได้จาก ที่นี่.
หรือคุณสามารถใช้จัดการฐานข้อมูล MySQL เลือก: phpMyAdmin (วิธีการใช้นี้เป็นเครื่องมือสำรอง อ่านที่นี่)

• Log ตัวแปร $ โพสต์ทั้งหมดของคุณ

บันทึก Standard Apache ไม่ให้ความช่วยเหลือเท่าที่มีการซื้อขายกับการรักษาความปลอดภัย forensics.
ให้เข้าสู่ระบบตัวแปร $ โพสต์ทั้งหมดส่งไปยัง WordPress คุณสามารถใช้โปรแกรมเสริมที่เรียกว่า Postlogger นี้ (ดาวน์โหลดได้จาก ที่นี่).
หากคุณเกิดขึ้นที่จะใช้ปลั๊กอินนี้และงานเข้าตัวแปร $ โพสต์ทั้งหมดและ WordPress ของคุณติดตั้งเป็น exploited คุณจะสามารถกลับไปดูว่าจริงและวิธีการใช้ประโยชน์ที่เกิดขึ้น. อาวุธกับข้อมูลที่คุณสามารถนำข้อมูลไปพัฒนา WordPress.

• ปลั๊กอินที่จำเป็นต้องเขียนเข้า!

หากปลั๊กอินที่ต้องการเขียนการเข้าถึงไฟล์และไดเรกทอรี WordPress แล้วแรกอ่านรหัสเพื่อตรวจสอบว่ามี legit หรือตรวจสอบกับคนที่คุณไว้ใจและเข้าใจมากขึ้นกว่าที่คุณ. สถานที่อื่นๆได้ตรวจสอบเป็น Wordpress สนับสนุนฟอรั่ม และ IRC Channel.

• เข้ารหัสการสื่อสารทั้งหมดภายใน wp "ผู้ดูแลระบบไดเรกทอรี"! (ถ้าเป็นไปได้)

คุณสามารถมีความปลอดภัยและการเข้ารหัสทั้งหมดของการสื่อสารและคุกกี้ WordPress สำคัญที่ใช้ Admin-ปลั๊กอิน SSL ของคุณ. ทำงานร่วมกับภาคเอกชนและ Shared SSL. ปลั๊กอินนี้สามารถดาวน์โหลดได้จาก ที่นี่.

• ปรับปรุงสิทธิแฟ้ม!

คุณสมบัติเย็น WordPress 'มาจากการอนุญาตให้บางไฟล์เพื่อให้สามารถเขียนได้โดยเว็บเซิร์ฟเวอร์. แต่ให้เขียนใบสมัครมีการเข้าถึงไฟล์ของคุณเป็นสิ่งที่อันตรายโดยเฉพาะในสภาพแวดล้อมที่สาธารณะ.
จากมุมมองของความปลอดภัยจะดีที่สุดในการล็อคลงสิทธิ์ไฟล์ของคุณมากที่สุดและเพื่อคลายข้อจำกัดเหล่านั้นในโอกาสที่คุณต้องเขียนให้เข้าถึงหรือสร้างโฟลเดอร์พิเศษที่มีข้อจำกัดหละหลวมขึ้นเพื่อวัตถุประสงค์ในการทำสิ่งที่ต้องการอัพโหลดภาพ.

• ของหลักสูตรปรับปรุงของ Wordpress!

เช่นฉันกล่าวข้างต้นทำให้ การติดตั้ง Wordpress ของคุณ ให้ทันสมัย เป็นหนึ่งในวัดที่สำคัญที่สุดต่อแฮกเกอร์. และไม่ยุ่งยากที่จะทำทั้งสอง (สำรองข้อมูลก่อนทุกรุ่น!).

เรียนรู้เกี่ยวกับ การทำให้ยากติดตั้ง Wordpress ที่นี่ ในเว็บไซต์ Wordpress.

เพื่อทดสอบบล็อก Wordpress สำหรับจุดอ่อนเว็บไซต์ Blogsecurity พัฒนาเครื่องสแกน Wordpress online.
คุณสามารถทดลองใช้ ที่นี่.
* หมายเหตุ: ก่อนที่จะใช้เครื่องสแกนที่คุณต้องการติดตั้งโปรแกรมเสริมนี้ (ชื่อ "wp สแกนเนอร์") พวกเขาเสนอและสามารถดาวน์โหลดได้จาก ที่นี่! เปิดใช้งานปลั๊กอินที่สแกนบล็อกของคุณแล้วยกเลิกโปรแกรมเสริมเพื่อป้องกันไม่ให้คนอื่นสแกนบล็อกของคุณอีกครั้ง.

BlogSecurity ยังมี WordPress Security Whitepaper ซึ่งมีข้อมูลเกี่ยวกับการรักษาความปลอดภัยของการติดตั้ง Wordpress. อ่านเพิ่มเติมที่นี่.

ขณะที่คุณปลอดภัยบล็อกของคุณ (หวังว่าคุณไม่ใช้มาตรการข้างต้นนั้นได้คุณหรืออย่างน้อยที่สุดของพวกเขา ...) โปรดอ่านรายละเอียดวิธีการอื่นๆถูกทำร้ายและสิ่งที่พวกเขาทำเพื่อแก้ไขปัญหานี้. หรือแค่อ่านวิธีที่คุณสามารถจะโจมตีด้วยวิธีต่างๆ.

• ปัญหา Wordpress Security นำไปสู่ Mass แฮ็ค. เป็นบล็อกต่อไปหรือไม่ (คุณ แม้ Techcrunch ปกคลุมนี้และวิธีนี้ร้ายแรง)
• Wordpress ได้รับของ hacked?
• Hacked!
• Wordpress hacked!
• ฉันถูก hacked
• Wordpress hacked: googlerank.info
• Wordpress hacked. อัพเกรดวันนี้
• Wordpress สับทำให้เว็บไซต์ถูกลบออกจาก Google
• Wordpress hacked เว็บไซต์ penalized
• แพร่ WordPress สับ, Steals Search Engine Traffic
• Wordpress 2.3.3 Security Retro-Fit
• WordPress สับ: กู้คืนและแก้ไข Google และ Search Engine หรือ No Cookie Traffic เปลี่ยนเส้นทางไป Needs.info, AnyResults.Net, คุณ Golden-Info.net และอื่นๆเว็บไซต์ที่ผิดกฎหมาย

------------
Mircea Goia เกิดในโรมาเนียและ immigrated ไปสหรัฐอเมริกาในปี 2005.
เขาชีวิตใน Phoenix, AZ และทำงานเป็นนักพัฒนาเว็บ. นอกเหนือเขายังทำงานในหลายโครงการ Web ผู้บริหารกิจการ.
เขาแสดงความสนใจในการพัฒนาเชิงพาณิชย์เช่นเว็บเครือข่ายสังคมการตลาดไวรัสและวิดีโอออนไลน์.
งานอดิเรกงดงามของพระองค์คือ filmmaking ที่มีความสนใจเป็นพิเศษในการชี้นำ.
------------

ต้องการความเห็นเพิ่มเติมเว็บซอฟต์แวร์ข่าวสารและเคล็ดลับ / เทคนิค?
แล้วตรวจสอบว่าคุณ สมัครรับฟีด RSS ของเรา!

Tags: blog, แฮ็ค, การติดตั้งปลอดภัย, เคล็ดลับและเคล็ดลับ, wordpress, Wordpress ปลั๊กอินรักษาความปลอดภัย

(6 โหวต, เฉลี่ย: 5.00 จาก 5)

โหลด ...