Annons

Med WordPress-popularitet som ständigt ökar har säkerhetsfrågor aldrig varit mer relevanta - men annat än att bara hålla sig uppdaterad, hur kan en nybörjare eller en genomsnittlig användare hålla sig uppdaterad? Skulle du till och med veta om din blogg har hackats? En bra ny tjänst från WebsiteDefender syftar till att lösa detta problem.

Är det dock värt ansträngningen? Jag menar, det skulle aldrig hända mig, skulle det? Tja, en sårbarhet upptäcktes nyligen i timtatt.php, ett verktyg för miniatyrframställning som används i en betydligt stor andel gamla teman och plugins (innan WordPress byggde miniatyrbilder och presenterade bilder i kärnsystemet). Med tanke på att den här filen kan upptäckas med hjälp av automatiserade skannrar, är chansen att din blogg hackas Nytt Malware framhäver vikten av att uppdatera och säkra din WordPress-bloggNär en infektion med skadlig kod som är så förödande som den nyligen upptäckta SoakSoak.ru kommer med, är det viktigt att WordPress-bloggägare agerar. Snabb. Läs mer

instagram viewer
under de kommande månaderna är ganska hög - och du vet inte ens om det har varit det. Jag har sett det hända några gånger bara den senaste veckan och nu har de att göra med fall-out.

Hur vet du om din webbplats har hackats?

Normalt gör du inte det. Det vanligaste hacket som jag har sett är där den vanliga webbplatsen och adminpanelerna fungerar som vanligt - dock besöks alla besökare från Google och skickas till en webbplats i Ryssland. Naturligtvis, eftersom du osannolikt kommer att Google din egen webbplats, förblir hackan oupptäckt tills antingen dina användare ger dig feedback, din webbplats värdar stänger dig som ett hot, eller så får du den fruktade varningen från Google själva om att din webbplats nu officiellt är värd för skadlig programvara. Bye-bye trafik!

Hackaren installerar vanligtvis också en komplett GUI-backend på din server, vilket ger alla med URL-tillgång till alla dina filer och gratis regerande att göra som de vill. Det är ganska skrämmande saker, och på grund av hur de kan justera kärnfiler kräver det mycket arbete att återhämta sig från en sådan attack, och det är verkligen inte något som en vanlig användare kan göra.

Så... Hur kan jag skydda min blogg?

Lyckligtvis är detta gratis WebsiteDefender tjänsten kan skanna din webbplats. Gå vidare dit till Bli Medlem. Den här tjänsten är dock endast tillgänglig för WordPress-bloggare som kör själv värd De olika formerna av webbhotell förklarade [Teknisk förklarad] Läs mer installationer. Om du använder WordPress.com, Blogger.com eller en annan liknande gratis värdblogg kan du inte använda den. Gratis värdplaner fungerar inte. Du måste kunna ladda upp en verifieringsfil till din server innan skanningen börjar, och gratis konton är begränsade till en webbplats.

wordpress säkerhet

Registrering och verifiering

När du har verifierat din e-postadress som angetts under registreringen skickas du till en sida där du kan ladda ner en liten verifieringsfil. Detta måste laddas upp till roten på din webbplats. När du har gjort det, gå tillbaka till webbplatsen och klicka på TEST-knappen.

wordpress säkerhet plugins

Om du får ett fel som liknar det jag fick, ladda bara ner zip-filen enligt instruktionerna och ladda också upp den compat katalog till roten till din webbplats.

wordpress säkerhet plugins

Antagligen behöver den några extra PHP-bibliotek för att hjälpa skanningen som din server inte har. Efter att ha laddat upp mappen till samma rotkatalog som verifieringsfilen som du gjorde ett ögonblick igen, tryck på TEST igen och du bör få en bekräftelse på att skanningen kommer att köras snart.

wordpress säkerhet plugins

I min testning kom ett e-postmeddelande efter ungefär två timmar med information om eventuella problem, så låt dig inte oroas om det tar ett tag.

Varningarna du får kommer att rangordnas från kritiskt till lågt, men det visade sig några oväntade säkerhetsfel i min rapport som jag kommer att behöva hantera. Det anser också att WordPress- och plugin-uppdateringar är medelstora säkerhet, så om du skamligt inte har uppdaterat något ännu kanske detta kommer att fungera som en bra påminnelse.

Varje nummer kommer också att länka till en mer detaljerad förklaring och instruktioner om hur du löser det, vilket är oerhört användbart för oss som är mindre tekniska om webbplatser och servrar. Oroa dig inte om du har tagit bort e-postmeddelandet - du kan komma åt en fullständig uppdelning av rapporten när som helst från instrumentbräda.

wordpress säkerhet

plugins

Webbplatsförsvarare-teamet har också några plugins som du kan använda för att säkra WordPress, men märkligt talar det inte om dem när du utför skanningen via webbplatsmetoden som beskrivs ovan.

Detta gör en grundläggande säkerhetsrevision för dig om saker som katalogbehörigheter, databasprefix, .htaccess behörigheter, standardnamn och WordPress-version döljer.

Detta låser sig och utför ett antal säkerhetsåtgärder för att skydda ditt wordpress. Detta motsvarar i huvudsak att ta bort alla referenser till din WordPress-version, ta bort några rader från din rubrik för Windows Live Writer, och förhindra listning av dina temakataloger och plugins-bland annat.

Båda insticksprogrammen innehåller registreringsformulär för webbplatsen Defender onlinetjänst och verkar låta dig länka till ett befintligt konto. Men under testet kunde jag inte länka dem eftersom min gratis kvot för en webbplats redan var upptagen (trots att jag ändå försökte länka samma URL verkade det tycka att det var annorlunda webbplats).

Slutsats

Det faktum att det finns två plugins tillgängliga såväl som att kunna köra skanningen utan ett plugin via webbplatsen är ganska förvirrande att vara ärlig - och den initierade skanningen av webbplatsen nämner inte ens plugins, och jag kan inte se logiken bakom det där. Medan varje plugin är unikt, är det svårt att se varför de inte bara har skapat ett enda ultimat säkerhetsplugin istället som både härdar ditt WordPress och kontrollerar om det finns problem. Jag fann också att metoden för skanning via webbplatsen visade fler säkerhetsproblem som använder WP-Security-Scan-plugin, antagligen på grund av begränsningar på vad WordPress-plugins De bästa WordPress-plugins Läs mer faktiskt kan göra.

Det är inte att säga att jag inte rekommenderar gratistjänsten - för jag tycker att du borde gå registrera dig nu och se till att du inte är sårbar för det växande antalet WordPress-baserade utnyttjar. I själva verket skulle jag rekommendera en kombination av Secure WordPress-insticksprogrammet för att låsa det, medan jag utför den verkliga genomsökningen via webbplatsmetoden. Låt mig veta hur det visar sig i kommentarerna.

James har en kandidatexamen i artificiell intelligens och är CompTIA A + och Network + certifierad. Han är ledande utvecklare av MakeUseOf och tillbringar sin fritid med att spela VR-paintball och brädspel. Han har byggt datorer sedan han var liten.