Interaktiv design

Hvor sikkert er dit WordPress-websted?

Et af de største problemer med teknologi er de hyppige udfald i sikkerhed vi oplever. mange oplysninger bliver stjålet dagligt og bruges til at stjæle mere information, sende spambeskeder, åbne bagdøre til systemer og til tider beskadige vores computere.

Intet af disse problemer er ukendt for WordPress, et svimlende antal websteder er blevet ofre for ubehagelige kriminelle, der udnytter samfundet til deres egen personlige gevinst.

For at du kan slå denne trussel, har vi samlet en rundup af nogle gode værktøjer og tips om, hvordan du undgår at være det næste offer. Eller hvis du er uheldig, at du allerede er offer, hvordan du kæmper tilbage og reparerer din installation.

Udnytte angreb

Du har måske hørt om det, du kan endda kende detaljerne, men for dem, der ikke har her er problemet: en udnyttelse er en del ondsindet kode distribueret til at udnytte en svaghed i eksisterende kode.

TimThumb var modtagelig for et sådant angreb en dens funktioner, som giver brugerne mulighed for at uploade billeder fra forskellige steder og få adgang til dem frit, gemte billeder i en cache-mappe, så Timthumb ikke behøver at omarbejde dem igen. Denne funktion kan udnyttes af en hacker, der uploader filer til serveren, så de får adgang til så mange ressourcer fra WordPress-installationen som de ønsker.

Præcis det samme problem berørt Uploadify , et plugin, der giver brugerne mulighed for at uploade filer. Når det ikke kontrolleres korrekt, tillader plug-in hackere fri adgang til webstedet ved at uploade PHP-scripts for at give adgangstilladelser.

Maintenance

Vedligeholdelsesbillede via Shutterstock.

Problemet i disse tilfælde, som med de fleste udnyttelsesangreb, var ikke WordPress, men snarere plugins selv. Løsningen er enkel, holde dine plugins opdaterede og rapportere eventuelle fejl, du møder for udviklerne, for at hjælpe dem med at patchere potentielle problemer.

SQL-injektioner

WordPress-installationen er ikke immune for problemer. Afhængig af versionen kan SQL-injektion være en stor hovedpine. En SQL-indsprøjtning er en proces, hvor en angriber forsøger at sende SQL-kode via en webstedsformular eller et script i håb om, at SQL-koden vil analysere 'korrekt' og hente data fra databasen. Disse data kan være e-mailadresser, men mere sandsynligt ville det være brugernavne og adgangskoder, der ville give brugeren mere adgang til andre angreb.

Årsagen til, at SQL-angreb kan være så irriterende, er at for at bekæmpe dem, skal du ofte sikkerhedskopiere din database. Fortrinsvis mindst en gang om dagen.

Mainenance

Vedligeholdelsesbillede via Shutterstock.

For at undgå dette kan du forsøge at sikre dine filer ved hjælp af Apache med en kode som denne i din .htaccess-fil: 

RewriteEngine OnRewriteBase /RewriteCond %{REQUEST_METHOD} ^(HEAD|TRACE|DELETE|TRACK) [NC]RewriteRule ^(.*)$ - [F,L]RewriteCond %{QUERY_STRING} ../ [NC,OR]RewriteCond %{QUERY_STRING} boot.ini [NC,OR]RewriteCond %{QUERY_STRING} tag= [NC,OR]RewriteCond %{QUERY_STRING} ftp:  [NC,OR]RewriteCond %{QUERY_STRING} http:  [NC,OR]RewriteCond %{QUERY_STRING} https:  [NC,OR]RewriteCond %{QUERY_STRING} (<|%3C).*script.*(>|%3E) [NC,OR]RewriteCond %{QUERY_STRING} mosConfig_[a-zA-Z_]{1,21}(=|%3D) [NC,OR]RewriteCond %{QUERY_STRING} base64_encode.*(.*) [NC,OR]RewriteCond %{QUERY_STRING} ^.*([|]|(|)|<|>|ê|"|;|?|*|=$).* [NC,OR]RewriteCond %{QUERY_STRING} ^.*("|'|<|>||{||).* [NC,OR]RewriteCond %{QUERY_STRING} ^.*(%24&x).* [NC,OR]RewriteCond %{QUERY_STRING} ^.*(%0|%A|%B|%C|%D|%E|%F|127.0).* [NC,OR]RewriteCond %{QUERY_STRING} ^.*(globals|encode|localhost|loopback).* [NC,OR]RewriteCond %{QUERY_STRING} ^.*(request|select|insert|union|declare).* [NC]RewriteCond %{HTTP_COOKIE} !^.*wordpress_logged_in_.*$RewriteRule ^(.*)$ - [F,L]

Dette vil afværge en amatør, men en professionel hacker vil finde et andet sikkerhedshul til at udnytte. Heldigvis er de fleste angreb begået af nybegyndere eller spammere, der bruger scripts som PHP r57 eller Shell. At reducere disse angreb vil i høj grad reducere mængden af ​​problemer, du skal håndtere.

Standardbruger

Det største sikkerhedshul i hvert system er slutbrugeren. Det er ligegyldigt, hvor kompliceret et kodeord du opretter. Faktisk jo mere komplekst adgangskoden er, jo værre er sikkerhedsrisikoen; fordi meget komplekse adgangskoder skal gemmes et eller andet sted. Brugere gemmer ofte adgangskoder i .txt- eller .doc-filer på deres computer, og det gør systemet åbent for phishing-angreb ved hjælp af virusfiler som trojanske heste.

Det eneste sikre sted at opbevare et kodeord er inde i dit eget hoved.

Men selvom du kun gemmer dit kodeord i din egen hukommelse, er du stadig ikke sikker fra brute force angreb. Et brutalt kraftangreb vil simpelthen forsøge at "gætte" dit kodeord med gentagne forsøg på at logge ind. Det kan starte med 'aaaaaa', fortsætter til 'aaaaab' og så videre, indtil det når '000000'. Denne proces er ikke begrænset til en enkelt computer, normalt går hundredvis af maskiner gennem potentielle adgangskoder.

En måde at håndtere voldsangreb på er at installere en loginbegrænser, der kun tillader et par loginforsøg, før du blokkerer adgangen til den pågældende bruger i en time eller deromkring. Dette reducerer antallet af chancer, angriberen skal komme ind. Der er flere WordPress-plugins, der kan hjælpe dig med dette: Begræns indlogeringsforsøg , Bedre WP Security og Login Security Solution .

Endelig skal du være opmærksom på brugernavne. Standardbrugernavnet til WordPress er 'Admin', og hvis du forlader det som sådan, halverer du det antal arbejde, som hackeren skal gøre for at få adgang til dit websted. Hvis du ikke ændrede dit brugernavn, mens du installerede WordPress, gør det nu. Du skal bare logge ind på din konto, oprette en ny konto med det brugernavn, du ønsker, give det administratorrettigheder og derefter slette administratorkontoen.

Cleanup

Oprydning billede via Shutterstock.

Direkte adgang

Et andet problem, som vores WordPress-websteder muligvis har, giver direkte adgang til login-siden, hvilket forenkler processen med at hackere dit websted.

Mens sikring af dine adgangskoder er det mest presserende problem, vil en ondsindet bruger ikke kunne bruge noget, de har stjålet, hvis de ikke kan finde login-siden. Den enkleste løsning på dette er at bruge et plugin som Skjul login for at forklare login sideens placering.

Visse filer i vores WordPress-installation kan også fås, hvis de ikke er ordentligt sikret. Vi kan rydde op i disse løse ender ved at tilføje nogle flere regler til vores .htaccess-fil, som sådan: 

Options All -IndexesOrder allow,denyDeny from allOrder allow,denyDeny from allOrder allow,denyDeny from allOrder allow,denyDeny from allOrder allow,denyDeny from allOrder allow,denyDeny from allOrder allow,denyDeny from allOrder allow,denyDeny from all

Standard præfiks

Det skal være klart, at jo mere information vi giver vores ville være hacker, jo lettere er det for dem at lykkes.

Standard WordPress tabel præfiks er 'wp_'. Hvorfor vil vi give dem det? Lad os ændre dette præfiks til noget sværere at gætte, for eksempel 'oijrr58_', for eksempel vil det gøre deres liv meget vanskeligere og øge chancerne for, at dit websted forbliver sikkert.

For nye installationer er dette en no-brainer, fordi installationsskriptet beder os om et præfiks. For ældre websteder har du to muligheder, du kan enten foretage ændringen manuelt (kun forsøge dette hvis du har masser af tid og er sikker på, at du ved hvad du laver) eller bruge et plugin som Bedre WP Security som vil tage sig af det for dig.

For sent…

Det er aldrig for sent. Du kan altid bekæmpe hackere og forhindre dig i at blive et evigt offer.

Hvis du er usikker på, om dit websted er blevet inficeret, er der værktøjer, der fortæller dig. Sucuri SiteCheck for eksempel vil scanne dit websted, og hvis du er smittet, vil du rådgive dig om, hvilke skridt der skal tages for at rette op på problemet (ne).

Hazardous

Farligt billede via Shutterstock.

Grundlæggende rettelser

Her er nogle grundlæggende trin at tage:

  • Backup webstedet og databasen, hacket eller ej, du vil ikke miste dit indhold.
  • Lav kopier af genstande, der ikke er i din database, ligesom billeder.
  • Download den nyeste version af WordPress.
  • Sørg for, at alle plugins er opdaterede, kontrollere hvilke versioner løse kendte problemer.
  • Sørg for, at skabeloner er opdaterede, og kontroller hvilke versioner der løser kendte problemer.
  • Brug en FTP-klient eller cPanel til at slette alt i WordPress-mappen.
  • Upload de nye filer, du downloadede.
  • Kør databaseopgraderingen.
  • Skift din adgangskode, du vil ikke lade hackerne lige ind igen.
  • Endelig tjekke alle indlæg, korrigere eventuelle skader.

Kæmper r57 scripts

r57 er et PHP-script, der giver en angriber en bred vifte af funktioner, selvom angriberen har disse funktioner, fungerer disse ikke, før skalen er på vores webserver. Derfor kan vi forhindre det i at fungere ved hjælp af følgende kommandoer: 

find /var/www/  -name "*".php  -type f -print0  | xargs -0 grep r57 | uniq -c  | sort -u  | cut -d":" -f1  | awk '{print "rm -rf " $2}' | uniq

Denne kommando vil lede efter PHP-filer, der er placeret på din WWW-mappe, og i de fundne filer vil det se efter omtale af r57 i filnavnet og indholdet. Derefter sletter den inficerede fil (er). 

find /var/www/  -name "*".txt  -type f -print0  | xargs -0 grep r57 | uniq -c  | sort -u  | cut -d":" -f1  | awk '{print "rm -rf " $2}' | uniq

Denne kode gør det samme, undtagen for TXT-filer i stedet for .php-filer.

Bemærk, at disse koder er for Linux, prøv dem ikke på Windows eller MacOS, og vær opmærksom på, at de er potentielt meget destruktive, da de sletter filer uden at anmode om tilladelse.

Obskured code

En væsentlig årsag til bekymring inden for temaer er skjult kode, fordi ondsindet kode tendens til at være sværere at finde inden for temaer. Alle mulige skader kan gøres fra omdirigerende brugere til andre websteder for at synke din SEO.

Et centralt våben i kampen mod denne form for problem er Tema Autenticitet Checker . Dette plugin vil ikke kun tjekke kode for mistænkte linjer, men detekterer statiske links og uklar kode som kode genereret i base64, der er svært at få øje på.

Narre mig engang, skam på dig

Bare fordi du er blevet fanget i fortiden, betyder det ikke, at du skal fortsætte med at blive spillet.

Overvej at tage disse skridt for at sikre dig yderligere:

  • Tillad kun PHP, hvor det er strengt nødvendigt.
  • Sørg for, at din webserver ikke tillader kunder at ændre .htacess-filen.
  • Implementer en firewall, der begrænser posten udad i port 25 til bare rod- og e-mail-server-id'et.
  • Overvåg uploads til dit websted med et program som ConfigServer eXploit Scanner .
Repair

Reparer billede via Shutterstock.

Endelig

WordPress-sikkerhed er lige så vigtig som ethvert webstedssikkerhed. Du skal sikre, at både dig og dine brugere er beskyttet mod spam, malware og phishing-angreb. Men husk at den første forsvarslinje faktisk er antivirusprogrammet på din stationære maskine.

Har du problemer med WordPress-sikkerhed? Hvordan løste du problemet? Lad os vide i kommentarerne.

Skrevet udelukkende til WDD af The Shock Family: et team af web-fagfolk og skabere af WordPress Temaer Shock (Premium wordpress temaer) WP Tema Generator (En stor wp tema creator), og DesignShock seful design sets). (du seful design sæt).

wordpress sikkerhed udnytte angreb phishing angreb r57 scripts sql injektioner tinthumb opdatering wordpress Uploadify