是你的WordPress博客入侵？为什么不升级到最新版本？

2008年6月12日由米尔恰Goia
电子邮件：mtb@mytestbox.com
网站：http://www.mytestbox.com
MyTestBox News ，（76）MyTestBox新闻

Wordpress logo

如果您正在运行的WordPress博客软件（和它的不升级到最新版本），你可能被黑客谁正在寻找接替博客搜索引擎优化他们的控制，其他网站（SEO）的目标流量重定向和其他不良目的。

大多数袭击包括使用SQL注入和跨站脚本跨站点脚本这是因为用户输入不过滤软件正常。袭击的一些使用机器人，可以创建在您的博客垃圾自动数百页，地点后门（这样黑客就可以回来在稍后时间）或窃取用户的密码。

黑客正在利用开放软件的源性质的优势，寻找和分析一个特定的软件，他们要攻击和测试其潜在漏洞的源代码。然后，开发人员和用户必须探测，追踪，并关闭在代码中，这些黑客利用的漏洞。
该模式似乎是相同的：当一个新漏洞被发现，它的广泛利用，那么开发人员赶了一个补丁和/或新版本。由自动攻击造成的损失，几乎是可以逆转的升级，但在一些你可以用垃圾邮件的网页和图像数千离开清理病例（以及他们通常也隐藏）。如果攻击软件是非常流行的（这也吸引） - 像WordPress的 - 当时的安装数以千计的黑客受到损害。

机会是一个博客的主人认识到晚期，他的博客被黑，为何重要的是要跟上最新的升级和Wordpress.com安全补丁，并保留在您的博客的眼睛了：监测统计，博客使用，经常备份和任何安全漏洞，其中一个新闻追踪其他安全博客是BlogSecurity.net。

总是你的WordPress安装升级到最新版本（也有最新的安全补丁发布应安装）。注意，如果您是从安装在Fantastico包，然后把你大概不会有在包的最新版本的WordPress（它似乎Fantastico球员需要与他们在更新他们的软件在软件包中提出的最新版本的软件包时间- WordPress的包括在内）。更快的更新其软件从SimpleScripts的家伙（Fantastico和SimpleScripts通常是由许多托管公司为他们的用户offerend）比他们。

你如何保护您的WordPress安装？

您的�插件�目录默认情况下不担保！

这意味着就没有为搃ndex.html�或�编辑�，在该目录中的文件，使任何人都可以看到你的插件只是为了搘ww.yoursite.com /可湿性粉剂内容/插件�使用。很容易停止通过创建一个空白的这个HTML文件命名为搃ndex.html�，把在该目录中。完成任务！

选择一个强密码！

不要使用容易被猜测管理员密码（您的几个小角色的名字，你妻子的名字，宠物的名字等）...选择较长的密码，并尝试结合数字和大写它/小写字母（甚至是其它字符，如#,$,%,^ ...）。并更改您的管理员密码regurarly！

使用安全相关的插件！

一些相关的插件可能会帮助您这些安全：

- 第BS -可湿性粉剂NoVersion
阿的攻击和大量的自动化工具将尝试确定软件版本推出前的攻击代码。删除您的WordPress博客的版本可能会阻止一些攻击，肯定会减少病毒和蠕虫程序的软件版本依赖。
你可以从这里这个插件（下载的PHP文件-而不是本文档-它放进了你的�插件它�目录，然后激活它）
或者你可以使用替换可湿性粉剂版本插件。

- 登录锁定
登录锁定记录的IP地址和WordPress的每一个失败的登录尝试时间戳。如果超过一定数量的尝试发现在短时间内从同一IP地址范围，然后登录功能是从该范围内的所有要求禁用。这有助于防止暴力破解密码的发现。目前，以1小时插件默认锁定一个IP块3次失败后5分钟内登录尝试。这可以通过修改选项面板。 Admisitrators可以释放被锁定的IP范围手动从小组。
下载从这里。

- AskApache
AskApache密码保护增加了一些严重的密码保护你的WordPress博客。它不仅保护你的wp - admin目录，而且您的可湿性粉剂，包括，可湿性粉剂内容，插件，插件等也。想象一下，一个巨型砖墙保护你的脆弱。从机器人和自动化网络无休止的攻击，密码猜测攻击提供服务的virii - PHP脚本。忘记垃圾邮件，这些僵尸机器人也太不像话了数百万忽视，他们正试图知道（但奇怪的过时）利用寻找对博客和其他互联网软件已知的漏洞。迟早一些贫穷的博客会错过的升级，并成为这种类型的受害者视频游戏类攻击。
从这里它。

-可湿性粉剂安全扫描
扫描你的WordPress安装的安全漏洞，并提出纠正措施：密码，文件权限，数据库安全，版本隐藏，WordPress的管理保护/安全，免除核心代码生成META标记可湿性粉剂
下载从这里。

- 使用WordPress的防火墙！
网络博客平台，很容易受到黑客攻击的正是他们的WordPress的独特的防火墙保护会给你安心（所以他们说）。
防火墙脚本支持PHP和MySQL，使之成为WordPress的理想合作伙伴。无论什么样的Wordpress版本您使用防火墙脚本将让您的博客的安全（保护您的SQL注入，编码错误，跨站点脚本（XSS），跨站点请求伪造（CSRF的），密码盗窃（知识产权锁博客），垃圾评论，DDOS攻击，定制WordPress的规则集（阻止所有的攻击））。
现在下载防火墙软件，使您的WordPress安装基于对网络安全攻击（ 这种软件不是免费的！）。

重命名管理员帐户！

你可以在MySQL命令这行客户端与像�更新设置user_login tableprefix_users命令='新用户'，其中user_login ='管理';�，或通过使用像phpMyAdmin的 MySQL的前端。

备份你的数据库！

您应该备份您的数据regurarly（包括数据库）。加密备份，保存的MD5哈希独立记录每个备份文件，和/或将读取备份（如CD - R）的惟一的媒体增加你的信心，你的数据没有被篡改。
一个很好的工具是可湿性粉剂，DBManager，并可以下载从这里或可湿性粉剂的DB -备份可以从这里下载。
或者，您可以选择使用MySQL数据库管理：phpMyAdmin的（如何使用备份工具读到这里本）

记录所有的$ POST变量！

标准的Apache日志不提供安全取证与处理有很大帮助。
因此，要记录所有$ POST变量发送到WordPress你可以使用这个插件名为Postlogger（下载从这里它）。
如果你碰巧使用这个插件，并积极记录所有$ POST变量，和你的WordPress安装的剥削，你就可以回去真正看到哪里以及如何利用发生。与该信息，你可以将数据WordPress的开发者。

插件需要写权限！

如果想要写一个插件你的WordPress访问文件和目录，然后先读码，以确保它是合法的，或与人检查你的信任，并比你更精明。其他可能的地方，检查是WordPress的支持论坛和IRC频道。

加密所有在�可湿性粉剂管理员沟通�目录！（如果可能）

您可以安全和加密的通讯和重要WordPress的饼干使用管理，所有的SSL插件。工程与私营和共享的SSL。这个插件可以从这里。

建立严格的文件权限！

WordPress的'很酷的功能，允许一些来自一些文件，由Web服务器可写。然而，让应用程序有写访问您的文件是危险的事情，特别是在公共环境。
从安全角度来看，最好是锁定尽可能多的和放松的场合，您需要允许写访问，或创造与做事的目的，这样的限制较为宽松的特殊文件夹的文件权限的限制上传图片。

当然，更新您的WordPress！

正如我前面所说，让你的WordPress的安装最新的是最重要的措施之一防止黑客。它的操作并不复杂许多工作要做是（备份之前的所有升级！）。

了解更多关于硬化一个WordPress安装在这里，在WordPress的网站。

要测试的弱点，你的WordPress博客Blogsecurity网站开发了一款在线WordPress的扫描仪。
你可以试试这里。
* 注意：在使用本扫描器你需要安装一个插件（名为�可湿性粉剂，扫描仪�），他们提议 ， 可以从这里下载！ 激活插件，扫描你的博客，然后停用插件 ， 以防止他人再次扫描您的博客。

BlogSecurity还提供了一个WordPress的安全白皮书已经有关保护您的WordPress安装的详细信息。这里阅读更多。

现在你已经获得的博客（希望你没有上述措施的实施，是不是？至少大部分...）请阅读更多别人如何遭到袭击的，什么是他们如何解决这个问题。或者只是读你怎么能以不同的方式攻击。

------------
米尔恰Goia出生于罗马尼亚，2005年移居美国。
他住在亚利桑那州凤凰城和网页开发人员的作品。 除此之外，他的作品还几个创业Web项目。
他显示了诸如社会网络，病毒营销和在线视频的商业网站的发展非常关心。
他的爱好是电影艺术与导演特别感兴趣。
------------