Advertentie
Nu WordPress steeds populairder wordt, zijn beveiligingsproblemen nog nooit zo relevant geweest, maar hoe kunnen gebruikers met een beginnend of gemiddeld niveau op de hoogte blijven? Zou je zelfs weten of je blog is gehackt? Een nuttige nieuwe service van WebsiteDefender probeert dit probleem op te lossen.
Is het echter de moeite waard? Ik bedoel, het zou me nooit overkomen, zou het? Nou, een kwetsbaarheid werd onlangs ontdekt in timthumb.php, een hulpprogramma voor het maken van miniaturen dat wordt gebruikt in een aanzienlijk groot aantal oude thema's en plug-ins (voordat WordPress miniatuurafbeeldingen en afbeeldingen in het kernsysteem inbouwde). Aangezien dit bestand met geautomatiseerde scanners kan worden gedetecteerd, is de kans groot dat je blog wordt gehackt Nieuwe malware benadrukt het belang van het bijwerken en beveiligen van uw WordPress-blogWanneer een malware-infectie zo verwoestend is als de nieuw ontdekte SoakSoak.ru, is het van vitaal belang dat eigenaren van WordPress-blog handelen. Snel. Lees verder
de komende maanden is vrij hoog - en je weet niet eens of het zo is geweest. Ik heb het de afgelopen week alleen al een paar keer zien gebeuren en nu hebben ze te maken met de fall-out.Hoe weet u of uw site is gehackt?
Normaal gesproken niet. De meest voorkomende hack die ik heb gezien, is waar de normale site en admin-panelen normaal werken - echter, alle bezoekers van Google worden gekaapt en naar een site in Rusland gestuurd. Omdat het onwaarschijnlijk is dat u uw eigen site op Google zet, blijft de hack natuurlijk onopgemerkt totdat uw gebruikers u feedback geven, uw website hosts sluit u af als een bedreiging, of u krijgt de gevreesde waarschuwing van Google zelf dat uw website nu officieel malware host. Tot ziens verkeer!
De hacker installeert meestal ook een complete GUI-backend op uw server, waardoor iedereen met de URL toegang heeft tot al uw bestanden en de vrijheid heeft om te doen wat hij wil. Het is heel eng, en vanwege de manier waarop ze kernbestanden kunnen aanpassen, kost het herstellen van een dergelijke aanval veel werk, en is dit zeker niet iets wat een gewone gebruiker kan doen.
Dus... Hoe kan ik mijn blog beschermen?
Gelukkig is dit gratis WebsiteDefender service kan uw site scannen. Ga daar naar toe inschrijven. Deze service is echter alleen beschikbaar voor actieve WordPress-bloggers zelfgehoste De verschillende vormen van website hosting uitgelegd [Technology Explained] Lees verder installeert. Als u WordPress.com, Blogger.com of een andere soortgelijke gratis gehoste blog gebruikt, kunt u deze niet gebruiken. Gratis hostingplannen werken ook niet. U moet een verificatiebestand naar uw server kunnen uploaden voordat de scan begint en gratis accounts zijn beperkt tot één website.
Registratie en verificatie
Nadat u uw e-mailadres heeft geverifieerd dat tijdens de registratie is ingevoerd, wordt u naar een pagina gestuurd waar u een klein verificatiebestand kunt downloaden. Dit moet worden geüpload naar de hoofdmap van uw website. Als je dat hebt gedaan, ga je terug naar de site en klik je op de knop TEST.
Als je een foutmelding krijgt die lijkt op wat ik heb ontvangen, download je het zip-bestand zoals aangegeven en upload je vervolgens ook het compat map naar de hoofdmap van uw site.
Vermoedelijk heeft het een aantal extra PHP-bibliotheken nodig om de scan te helpen die uw server niet heeft. Na het uploaden van de map naar dezelfde root-map als het verificatiebestand dat je opnieuw hebt gemaakt, druk je nogmaals op TEST en je zou een bevestiging moeten krijgen dat de scan binnenkort zal worden uitgevoerd.
Tijdens mijn testen kwam er na ongeveer 2 uur een e-mail met details over problemen, dus wees niet gealarmeerd als het even duurt.
De waarschuwingen die u ontvangt, worden gerangschikt van kritiek naar laag, maar er zijn een paar onverwachte beveiligingsfouten in mijn rapport opgetreden die ik moet behandelen. Het beschouwt WordPress en plug-in-updates ook als gemiddelde beveiliging, dus als je schandelijk iets nog niet hebt bijgewerkt, is dit misschien een nuttige herinnering.
Elk nummer zal ook een link bevatten naar een meer gedetailleerde uitleg en instructies over hoe het op te lossen, wat ongelooflijk handig is voor degenen onder ons die minder technisch zijn over websites en servers. Maakt u zich geen zorgen als u de e-mail hebt verwijderd. U kunt op elk gewenst moment een volledig overzicht van het rapport bekijken dashboard.
plugins
Het Website Defender-team heeft ook een paar plug-ins die u kunt gebruiken om WordPress te beveiligen, hoewel nieuwsgierig er geen melding van wordt gemaakt wanneer u de scan uitvoert via de hierboven beschreven websitemethode.
Dit voert een basisbeveiligingsaudit voor u uit op zaken als maprechten, databasevoorvoegsel, .htaccess-machtigingen, standaardgebruikersnamen en het verbergen van WordPress-versies.
Dit vergrendelt en voert een aantal beveiligingsmaatregelen uit om uw WordPress te beschermen. Dit komt neer op het verwijderen van alle verwijzingen naar uw WordPress-versie en het verwijderen van enkele regels van uw header voor Windows Live Writer en het voorkomen van een lijst met uw map met thema's en plug-ins - onder andere.
Beide plug-ins bevatten aanmeldingsformulieren voor de online service Website Defender en lijken u te kunnen linken naar een bestaand account. Tijdens het testen kon ik ze echter niet koppelen, omdat mijn gratis quotum van één website al op was (ondanks het feit dat ik toch probeerde dezelfde URL te linken, leek het een andere te zijn site).
Conclusie
Het feit dat er twee plug-ins beschikbaar zijn en de scan zonder plug-in via de website kunnen uitvoeren, is dat nogal verwarrend om eerlijk te zijn - noch vermeldt de door de website geïnitieerde scan de plug-ins, en ik zie de logica erachter niet dat. Hoewel elke plug-in uniek is, is het moeilijk in te zien waarom ze niet slechts één ultieme beveiligingsplug-in hebben gemaakt die zowel uw WordPress verhardt als op problemen controleert. Ik heb ook geconstateerd dat de scanmethode via de website meer beveiligingsproblemen vertoonde dan het gebruik van de WP-Security-Scan-plug-in, vermoedelijk vanwege beperkingen op wat WordPress plug-ins De beste WordPress-plug-ins Lees verder kan eigenlijk doen.
Dat wil niet zeggen dat ik de gratis service niet grondig aanbeveel, omdat ik vind dat je moet gaan meld je nu aan en zorg ervoor dat je niet kwetsbaar bent voor het groeiende aantal WordPress-gebaseerde exploiteert. Ik zou zelfs een combinatie van de Secure WordPress-plug-in aanbevelen om deze te vergrendelen, terwijl ik de werkelijke scan via de website-methode voer. Laat het me weten hoe het in de reacties blijkt.
James heeft een BSc in kunstmatige intelligentie en is CompTIA A + en Network + gecertificeerd. Hij is de hoofdontwikkelaar van MakeUseOf en besteedt zijn vrije tijd aan het spelen van VR paintball en bordspellen. Hij bouwt al pc's sinds hij een kind was.