Reklama

Ponieważ popularność WordPress stale rośnie, kwestie bezpieczeństwa nigdy nie były bardziej istotne - ale poza zwykłą aktualizacją, w jaki sposób początkujący lub średni poziom użytkownika może być na bieżąco. Czy w ogóle wiesz, czy Twój blog został zhakowany? Pomocna nowa usługa od WebsiteDefender ma na celu rozwiązanie tego problemu.

Ale czy warto? To znaczy, nigdy mi się to nie przydarzy zrobiłby to? Luka w zabezpieczeniach został niedawno odkryty w timthumb.php, narzędzie do tworzenia miniatur, które jest używane w znacznym odsetku starych motywów i wtyczek (zanim WordPress wbudował miniatury i polecał obrazy w głównym systemie). Biorąc pod uwagę, że ten plik można wykryć za pomocą automatycznych skanerów, istnieje prawdopodobieństwo Twój blog jest zhakowany Nowe złośliwe oprogramowanie podkreśla znaczenie aktualizacji i zabezpieczenia bloga WordPressKiedy pojawia się infekcja złośliwym oprogramowaniem tak niszcząca jak nowo odkryty SoakSoak.ru, ważne jest, aby właściciele blogów WordPress działali. Szybki. Czytaj więcej

instagram viewer
w ciągu najbliższych miesięcy jest dość wysoki - a nawet nie wiadomo, czy tak było. Widziałem, że zdarzyło się to kilka razy w ciągu ostatniego tygodnia, a teraz mają do czynienia z wypadkiem.

Skąd wiesz, że Twoja witryna została zaatakowana przez hakerów?

Zwykle nie. Najczęstszym hackem, jaki widziałem, jest to, że zwykła witryna i panele administracyjne działają normalnie - jednak wszyscy odwiedzający Google są przejmowani i wysyłani na stronę w Rosji. Oczywiście, ponieważ mało prawdopodobne jest, aby Twoja własna witryna była w Google, włamanie pozostaje niewykryte, dopóki użytkownicy nie przekażą Ci opinii, Twoja witryna hosty wyłączają Cię jako zagrożenie lub otrzymujesz przerażające ostrzeżenie od samego Google, mówiąc, że Twoja witryna oficjalnie hostuje złośliwe oprogramowanie. Do widzenia!

Haker zwykle instaluje również kompletny interfejs GUI na twoim serwerze, dając każdemu z dostępem URL do wszystkich twoich plików i swobodnie rób to, co chcesz. Jest to dość przerażające i ze względu na sposób, w jaki mogą dostosowywać podstawowe pliki, odzyskanie po takim ataku zajmuje dużo pracy, a na pewno nie jest to coś, co zwykły użytkownik może zrobić.

Więc… Jak mogę chronić mojego bloga?

Na szczęście to za darmo WebsiteDefender usługa może skanować twoją stronę. Udaj się tam do Zapisz się. Ta usługa jest jednak dostępna tylko dla działających blogerów WordPress samodzielnie hostowane Wyjaśnienie różnych form hostingu witryn internetowych [technologia wyjaśniona] Czytaj więcej instaluje się. Jeśli używasz WordPress.com, Blogger.com lub innego podobnego bezpłatnego hostowanego bloga, nie możesz go używać. Bezpłatne plany hostingowe również nie działają. Aby rozpocząć skanowanie, musisz mieć możliwość przesłania pliku weryfikacyjnego na serwer, a bezpłatne konta są ograniczone do jednej witryny internetowej.

bezpieczeństwo wordpress

Rejestracja i weryfikacja

Po zweryfikowaniu adresu e-mail podanego podczas rejestracji zostaniesz przekierowany na stronę, na której możesz pobrać mały plik weryfikacyjny. To musi być przesłane do katalogu głównego witryny. Gdy to zrobisz, wróć na stronę i kliknij przycisk TEST.

wtyczki bezpieczeństwa wordpress

Jeśli pojawi się błąd podobny do tego, który otrzymałem, po prostu pobierz plik zip zgodnie z instrukcją, a następnie prześlij plik kompatybil katalog do katalogu głównego witryny.

wtyczki bezpieczeństwa wordpress

Prawdopodobnie potrzebuje dodatkowych bibliotek PHP, aby pomóc w skanowaniu, którego nie ma twój serwer. Po przesłaniu folderu do tego samego katalogu głównego, co plik weryfikacyjny, który zrobiłeś jeszcze raz, ponownie naciśnij TEST i powinieneś otrzymać potwierdzenie, że skanowanie rozpocznie się wkrótce.

wtyczki bezpieczeństwa wordpress

W moich testach po około 2 godzinach pojawił się e-mail z opisem wszelkich problemów, więc nie przejmuj się, jeśli to zajmie trochę czasu.

Ostrzeżenia, które otrzymasz, zostaną uszeregowane od krytycznego do niskiego, ale w moim raporcie pojawiło się kilka nieoczekiwanych błędów bezpieczeństwa, z którymi muszę się zmierzyć. Uznaje również aktualizacje WordPress i wtyczek za średni poziom bezpieczeństwa, więc jeśli nie wstydź się czegoś nie zaktualizowałeś, być może będzie to pomocne przypomnienie.

Każdy numer będzie zawierał także link do bardziej szczegółowego wyjaśnienia i instrukcji, jak go rozwiązać, co jest niezwykle przydatne dla tych z nas, którzy mniej technicznie podchodzą do stron internetowych i serwerów. Nie martw się, jeśli usunąłeś e-maila - możesz uzyskać dostęp do pełnego podziału raportu w dowolnym momencie z deska rozdzielcza.

bezpieczeństwo wordpress

Wtyczki

Zespół Website Defender ma również kilka wtyczek, których możesz użyć do zabezpieczenia WordPressa, choć, co ciekawe, nie wspomina o nich podczas wykonywania skanowania za pomocą metody strony internetowej opisanej powyżej.

Przeprowadza dla Ciebie podstawowy audyt bezpieczeństwa w zakresie takich uprawnień, jak uprawnienia do katalogu, prefiks bazy danych, uprawnienia .htaccess, domyślne nazwy użytkowników i ukrywanie wersji WordPress.

Spowoduje to zablokowanie i wykonanie szeregu środków bezpieczeństwa w celu ochrony twojego wordpress. Zasadniczo sprowadza się to do usunięcia wszystkich odniesień do twojej wersji WordPressa, usunięcia niektórych wierszy z twojego nagłówek programu Windows Live Writer i zapobieganie wyświetlaniu katalogu motywów i wtyczek - między innymi.

Obie wtyczki zawierają formularze rejestracyjne dla usługi online Defender witryny i wydają się umożliwiać połączenie z istniejącym kontem. Jednak podczas testów nie mogłem ich połączyć, ponieważ mój darmowy przydział jednej strony internetowej został już wyczerpany (pomimo faktu, że i tak próbowałem połączyć ten sam adres URL, wydawało się, że jest inaczej teren).

Wniosek

Fakt, że dostępne są dwie wtyczki, a także możliwość uruchomienia skanowania bez wtyczki za pośrednictwem strony internetowej, jest dość mylące, szczerze mówiąc - skan zainicjowany przez witrynę nawet nie wspomina o wtyczkach i nie widzę logiki za że. Chociaż każda wtyczka jest wyjątkowa, trudno jest zrozumieć, dlaczego nie stworzyli pojedynczej ostatecznej wtyczki zabezpieczającej, która zarówno utwardza ​​WordPress, jak i sprawdza problemy. Odkryłem również, że metoda skanowania za pośrednictwem strony internetowej wykazała więcej problemów związanych z bezpieczeństwem niż używanie wtyczki WP-Security-Scan, prawdopodobnie z powodu ograniczeń nakładanych na to, co Wtyczki WordPress Najlepsze wtyczki WordPress Czytaj więcej może faktycznie zrobić.

Nie oznacza to, że nie polecam całkowicie bezpłatnej usługi - ponieważ uważam, że powinieneś iść zarejestruj się teraz i do cholery upewnij się, że nie jesteś narażony na rosnącą liczbę aplikacji opartych na WordPress wykorzystuje. W rzeczywistości poleciłbym kombinację wtyczki Secure WordPress, aby ją zablokować, podczas rzeczywistego skanowania za pomocą metody strony internetowej. Daj mi znać, jak się okazuje w komentarzach.

James ma licencjat z zakresu sztucznej inteligencji i jest certyfikowany przez CompTIA A + i Network +. Jest głównym programistą MakeUseOf i spędza wolny czas grając w paintball VR i gry planszowe. Buduje komputery od dziecka.