reklama
S rostoucí popularitou WordPress nikdy nebyly problémy s bezpečností nikdy důležitější - ale kromě jednoduché aktualizace informací, jak může zůstat začátečník nebo průměrný uživatel na špičce? Věděli byste dokonce, zda byl váš blog napaden hackery? Užitečná nová služba od WebsiteDefender si klade za cíl tento problém vyřešit.
Stojí to za to úsilí? Myslím, že by se mi to nikdy nestalo, by to? Zranitelnost byl nedávno objeven v timthumb.php, nástroj pro vytváření miniatur, který se používá ve značně velkém procentu starých témat a pluginů (dříve než WordPress vytvořil miniatury a hlavní obrázky do základního systému). Vzhledem k tomu, že tento soubor lze zjistit pomocí automatických skenerů, je pravděpodobné, že váš blog je hacknut Nový malware zdůrazňuje význam aktualizace a zabezpečení blogu WordPressKdyž dojde k ničivému napadení malwarem jako nově objevený SoakSoak.ru, je nezbytné, aby vlastníci blogů WordPress jednali. Rychle. Přečtěte si více v nadcházejících měsících je poměrně vysoká - a ani nevíte, jestli to bylo. Viděl jsem, že se to stalo několikrát za poslední týden a teď se zabývají vypadnutím.
Jak víte, zda byl váš web napaden hackery?
Normálně to tak není. Nejobvyklejším hackem, kterého jsem viděl, je místo, kde běžné stránky a panely administrátorů fungují normálně - ale všichni návštěvníci z Googlu jsou uneseni a posláni na web v Rusku. Jelikož je nepravděpodobné, že Google vlastní web, hacker zůstane nezjištěn, dokud vám vaši uživatelé nedají zpětnou vazbu, váš web hostitelé vás vypnou jako hrozbu, nebo se obávají varování od samotné společnosti Google, že váš web nyní oficiálně hostuje malware. Bye-bye provoz!
Hacker obvykle také na váš server nainstaluje kompletní backend GUI, který každému, kdo má URL přístup, má přístup ke všem vašim souborům a zdarma vládne k tomu, jak chce. Je to docela děsivé a kvůli způsobu, jakým mohou upravit základní soubory, zotavení se z takového útoku vyžaduje spoustu práce a rozhodně to není něco, co může běžný uživatel dělat.
Takže... Jak mohu chránit svůj blog?
Naštěstí je to zdarma WebsiteDefender služba může prohledat váš web. Vydejte se tam Přihlásit se. Tato služba je však dostupná pouze pro běžící blogery WordPress hostitelem Různé formy hostování webových stránek vysvětleny [vysvětleny technologie] Přečtěte si více instalace. Pokud používáte WordPress.com, Blogger.com nebo jiný podobný hostovaný blog, nemůžete jej používat. Nefungují ani bezplatné hostingové plány. Před zahájením kontroly musíte mít možnost nahrát ověřovací soubor na svůj server a bezplatné účty jsou omezeny na jeden web.
Registrace a ověření
Po ověření e-mailové adresy zadané při registraci se zobrazí stránka, na které si můžete stáhnout malý ověřovací soubor. Toto je třeba nahrát do kořenového adresáře vašeho webu. Až to uděláte, vraťte se na web a klikněte na tlačítko TEST.
Pokud se vám zobrazí chyba podobná tomu, co jsem obdržel, stáhněte si zip podle pokynů a nahrajte také kompatibilní adresář do kořenového adresáře vašeho webu.
Pravděpodobně potřebuje další knihovny PHP, které by pomohly při skenování, které váš server nemá. Po nahrání složky do stejného kořenového adresáře jako ověřovací soubor, který jste udělali znovu, stiskněte znovu TEST a měli byste obdržet potvrzení, že kontrola bude brzy spuštěna.
Při mém testování přišel e-mail přibližně za 2 hodiny s podrobnostmi o problémech, takže se nemusíte bát, že to bude chvíli trvat.
Varování, která obdržíte, budou zařazena od kritických po nízké, ale v mé zprávě se objevilo několik neočekávaných bezpečnostních chyb, které budu muset řešit. Také považuje aktualizace WordPress a pluginů za střední zabezpečení, takže pokud jste ostudně něco neaktualizovali, možná to bude sloužit jako užitečné připomenutí.
Každé vydání bude také odkazovat na podrobnější vysvětlení a pokyny, jak to vyřešit, což je neuvěřitelně užitečné pro ty z nás, kteří jsou o webových stránkách a serverech méně techničtí. Nemějte obavy, pokud jste e-mail smazali - ke zprávě můžete kdykoli získat přístup k úplnému rozpisu přístrojová deska.
Pluginy
Tým programu Defender webových stránek má také několik doplňků, které můžete použít k zabezpečení WordPress, ale je zajímavé, že se o nich nezmiňuje, když provádíte skenování pomocí výše uvedené webové metody.
Provede se vám základní bezpečnostní audit ve věcech, jako jsou oprávnění adresáře, předpona databáze, oprávnění .htaccess, výchozí uživatelská jména a skrytí verze WordPress.
Tím se uzamkne a provede několik bezpečnostních opatření k ochraně vašeho wordpress. To v podstatě znamená odebrání všech odkazů na vaši verzi WordPress, odstranění některých řádků z vaší záhlaví pro Windows Live Writer a zabránění výpisu adresáře vašich motivů a pluginů - mimo jiné.
Oba pluginy zahrnují registrační formuláře pro online službu Website Defender a zdá se, že umožňují propojení s existujícím účtem. Během testování jsem však nebyl schopen je propojit, protože moje bezplatná kvóta jednoho webu již byla vyčerpána (přestože jsem se přesto snažil stejnou adresu URL propojit, zdálo se, že to bylo jiné web).
Závěr
Skutečnost, že jsou k dispozici dva pluginy a že je možné spustit skenování bez pluginu přes web, je docela matoucí, abych byl upřímný - a ani skenování iniciované webem nezmiňuje ani pluginy, a logiku nevidím že. I když je každý plugin jedinečný, je těžké pochopit, proč neudělali jediný konečný bezpečnostní plugin, který by zpevnil WordPress a zkontroloval problémy. Zjistil jsem také, že metoda skenování prostřednictvím webu ukázala další bezpečnostní problémy, které využívají plugin WP-Security-Scan, pravděpodobně kvůli omezením na to, co Doplňky WordPress Nejlepší WordPress Pluginy Přečtěte si více může skutečně udělat.
To neznamená, že bezplatnou službu zcela nedoporučuji - protože si myslím, že byste měli jít zaregistrujte se hned a ujistěte se, že nejste náchylní k rostoucímu počtu aplikací založených na WordPress využívá. Ve skutečnosti bych doporučil kombinaci zabezpečeného zásuvného modulu WordPress, aby byl uzamčen, a zároveň provedl skutečné skenování metodou webových stránek. Dejte mi vědět, jak to dopadne v komentářích.
James má bakalářský titul v oboru umělé inteligence a je držitelem certifikátu CompTIA A + a Network +. Je hlavním vývojářem MakeUseOf a tráví svůj volný čas hraním VR paintballu a deskových her. Staví počítače od dětství.
