Michael Cain
0 
704
2
С ростом популярности WordPress проблемы с безопасностью никогда не были более актуальными, но кроме того, чтобы просто быть в курсе, как новичок или пользователь среднего уровня может оставаться в курсе событий? Знаете ли вы, если ваш блог был взломан? Новая полезная услуга от WebsiteDefender направлена на решение этой проблемы..
Стоит ли усилий хотя? Я имею в виду, это никогда не случится со мной, было бы это? Что ж, недавно была обнаружена уязвимость в timthumb.php, утилите создания миниатюр, которая используется в довольно большом проценте старых тем и плагинов (до того, как WordPress встроил миниатюры и добавлял изображения в основную систему). Учитывая, что этот файл может быть обнаружен с помощью автоматических сканеров, есть вероятность того, что ваш блог будет взломан. Новое вредоносное ПО подчеркивает важность обновления и защиты вашего блога WordPress Новое вредоносное ПО подчеркивает важность обновления и защиты вашего блога WordPress Когда заражение вредоносным ПО столь же разрушительно, как и недавно обнаруженный SoakSoak.ru приходит, жизненно важно, чтобы владельцы блогов WordPress действовали. Быстро. в ближайшие месяцы довольно высока - и вы даже не будете знать, если это было. Я видел, как это случалось несколько раз за последнюю неделю, и теперь они имеют дело с последствиями.
Как вы знаете, если ваш сайт был взломан?
Обычно нет. Самый распространенный хак, который я видел, - это то, где обычный сайт и админ-панели работают в обычном режиме, однако любые посетители из Google угоняются и отправляются на сайт в России. Конечно, поскольку вы вряд ли зайдете на свой собственный сайт Google, этот хак останется незамеченным до тех пор, пока ваши пользователи не оставят вам отзыв, хосты вашего сайта не закроют вас как угрозу, или вы не получите страшное предупреждение от Google, что ваш сайт сейчас официально хостинг вредоносных программ. Прощай трафик!
Хакер обычно также устанавливает полный серверный GUI на ваш сервер, предоставляя всем, у кого есть URL, доступ ко всем вашим файлам и бесплатное правление, чтобы делать, как они пожелают. Это довольно пугающая вещь, и из-за того, как они могут корректировать основные файлы, восстановление после такой атаки занимает много работы, и, конечно, это не то, что обычный пользователь может сделать.
Итак ... Как я могу защитить свой блог?
К счастью, эта бесплатная служба WebsiteDefender может сканировать ваш сайт. Идите туда, чтобы зарегистрироваться. Однако этот сервис доступен только блоггерам WordPress, работающим с самостоятельным размещением. Различаются различные формы хостинга веб-сайтов [объясняется технология] Различаются различные формы хостинга веб-сайтов [объясняется технология]. Если вы используете WordPress.com, Blogger.com или другой подобный бесплатный блог, вы не можете его использовать. Бесплатные планы хостинга также не работают. Вы должны иметь возможность загрузить файл подтверждения на свой сервер до начала сканирования, и бесплатные аккаунты ограничены одним веб-сайтом.
Регистрация и проверка
После того, как вы подтвердите свой адрес электронной почты, введенный при регистрации, вы будете перенаправлены на страницу, где вы можете скачать небольшой файл подтверждения. Это должно быть загружено в корень вашего сайта. Когда вы это сделаете, вернитесь на сайт и нажмите кнопку TEST.
Если вы получите сообщение об ошибке, похожее на то, что я получил, просто скачайте zip-файл в соответствии с инструкциями, а затем загрузите Compat каталог в корне вашего сайта.
Предположительно, ему нужны дополнительные библиотеки PHP для сканирования, которого нет у вашего сервера. После загрузки папки в тот же корневой каталог, что и файл подтверждения, который вы сделали несколько раз, снова нажмите TEST, и вы должны получить подтверждение, что сканирование скоро запустится.
В моем тестировании через 2 часа пришло письмо с подробным описанием проблем, поэтому не беспокойтесь, если это займет некоторое время..
Полученные вами предупреждения будут ранжированы от Критического до Низкого, но в моем отчете обнаружилось несколько неожиданных ошибок безопасности, с которыми мне придется иметь дело. Он также считает обновления WordPress и плагинов средним уровнем безопасности, поэтому, если вы постыдно еще не обновили что-то, возможно, это послужит полезным напоминанием..
Каждая проблема также будет содержать более подробное объяснение и инструкции о том, как ее решить, что невероятно полезно для тех из нас, кто менее технически относится к веб-сайтам и серверам. Не беспокойтесь, если вы удалили электронное письмо - вы можете в любое время получить доступ к полной разбивке отчета с помощью панели инструментов..
Плагины
У команды Защитника веб-сайта также есть несколько плагинов, которые вы можете использовать для защиты WordPress, хотя любопытно, что они не упоминаются о них при выполнении сканирования с помощью описанного выше метода веб-сайта..
WP-Security-Scan
Это выполняет базовый аудит безопасности для таких вещей, как права доступа к каталогу, префикс базы данных, разрешения .htaccess, имена пользователей по умолчанию и скрытие версии WordPress..
Безопасный WordPress
Это заблокирует и выполнит ряд мер безопасности, чтобы защитить ваш WordPress. По сути, это сводится к удалению всех ссылок на вашу версию WordPress, удалению некоторых строк из заголовка для Windows Live Writer и предотвращению перечисления вашей темы и каталога плагинов, среди прочего..
Оба плагина включают формы регистрации в онлайн-сервисе Защитника веб-сайта и позволяют вам ссылаться на существующую учетную запись. Однако во время тестирования я не смог связать их, так как моя свободная квота одного сайта уже была использована (несмотря на то, что я все равно пытался связать один и тот же URL, казалось, что это был другой сайт).
Заключение
Тот факт, что есть два доступных плагина, а также возможность запуска сканирования без плагина через веб-сайт, является довольно запутанным, если честно, и при этом инициированное сканирование веб-сайта даже не упоминает плагины, и я не вижу логики позади тот. Несмотря на то, что каждый плагин уникален, трудно понять, почему они просто не создали единый плагин для максимальной безопасности, который ужесточает ваш WordPress и проверяет наличие проблем. Я также обнаружил, что метод сканирования через веб-сайт показал больше проблем безопасности, чем при использовании плагина WP-Security-Scan, предположительно из-за ограничений, накладываемых на то, что плагины WordPress Лучшие плагины WordPress Лучшие плагины WordPress действительно могут делать.
Это не значит, что я не очень рекомендую бесплатный сервис - потому что я действительно думаю, что вам следует зарегистрироваться и убедиться, что вы не уязвимы для растущего числа эксплойтов на WordPress. На самом деле, я бы порекомендовал комбинацию плагина Secure WordPress, чтобы заблокировать его, одновременно выполняя фактическое сканирование методом веб-сайта. Дайте мне знать, как это получается в комментариях.