Wordpress en webontwikkeling

Ontvang een beveiligings-make-over voor uw WordPress-site met WebsiteDefender

Ontvang een beveiligings-make-over voor uw WordPress-site met WebsiteDefender / Wordpress en webontwikkeling

Nu WordPress steeds populairder wordt, zijn beveiligingsproblemen nog nooit zo relevant geweest - maar hoe kan een beginnend gebruiker of gebruiker van een gemiddeld niveau niet alleen op de hoogte blijven van updates? Wilt u weten of uw blog is gehackt? Een nuttige nieuwe dienst van WebsiteDefender is bedoeld om dit probleem op te lossen.

Is het de moeite waard? Ik bedoel, het zou mij nooit overkomen, zou het? Welnu, er is onlangs een kwetsbaarheid ontdekt in timthumb.php, een hulpprogramma voor het maken van miniaturen dat wordt gebruikt in een aanzienlijk groot aantal oude thema's en plug-ins (voordat WordPress thumbnailing en aanbevolen afbeeldingen in het kernsysteem bouwde). Aangezien dit bestand kan worden gedetecteerd met behulp van geautomatiseerde scanners, is de kans dat uw blog wordt gehackt Nieuwe malware Hoogtepunten Belang van het updaten en beveiligen van uw WordPress Blog Wanneer een malware-infectie zo verwoestend is als de nieuw ontdekte SoakSoak.ru komt langs, het is van vitaal belang dat WordPress-blogbezitters handelen. Snel. Lees Meer in de komende maanden is vrij hoog - en je zult niet eens weten of het geweest is. Ik heb het een paar keer in de laatste week alleen zien gebeuren en nu hebben ze te maken met de fall-out.

Hoe weet u of uw site is gehackt?

Normaal gesproken niet. De meest voorkomende hack die ik heb gezien, is waar de reguliere site- en beheerderspanelen normaal werken, maar bezoekers van Google worden gekaapt en naar een site in Rusland gestuurd. Aangezien je waarschijnlijk niet je eigen site op Google gebruikt, blijft de hack onopgemerkt totdat je gebruikers je feedback geven, je website hosts je afsluiten als een bedreiging, of je de gevreesde waarschuwing van Google zelf krijgt dat je website nu is officieel malware hosten. Tot ziens verkeer!

De hacker installeert meestal ook een volledige GUI-backend op uw server, waardoor iedereen met de URL toegang heeft tot al uw bestanden en vrijelijk regeert om te doen wat zij willen. Het is best eng, en vanwege de manier waarop ze kernbestanden kunnen aanpassen, kost het herstellen van zo'n aanval veel werk, en zeker niet iets wat een gewone gebruiker kan doen.

Dus ... Hoe kan ik mijn blog beschermen?

Gelukkig kan deze gratis websiteDefender-service uw site scannen. Ga naar daar om je aan te melden. Deze service is echter alleen beschikbaar voor WordPress-bloggers met door de host gehoste The Various Forms of Website Hosting Explained [Technology Explained] De verschillende vormen van website-hosting Explained [technologie toegelicht] Meer informatie over installaties. Als u WordPress.com, Blogger.com of een andere soortgelijke gratis gehoste blog gebruikt, kunt u deze niet gebruiken. Gratis hostingplannen werken ook niet. U moet een verificatiebestand naar uw server kunnen uploaden voordat de scan begint en gratis accounts zijn beperkt tot één website.

Registratie en verificatie

Zodra u uw tijdens de registratie ingevoerde e-mailadres heeft geverifieerd, wordt u naar een pagina gestuurd waar u een klein verificatiebestand kunt downloaden. Dit moet worden geüpload naar de hoofdmap van uw website. Als je dat hebt gedaan, ga je terug naar de site en klik je op de TEST-knop.

Als u een foutmelding krijgt die lijkt op wat ik heb ontvangen, downloadt u het zipbestand zoals aangegeven en uploadt u vervolgens het compat map naar de hoofdmap van uw site.

Waarschijnlijk heeft het wat extra PHP-bibliotheken nodig om de scan te ondersteunen die uw server niet heeft. Nadat je de map hebt geüpload naar dezelfde hoofdmap als het verificatiebestand dat je nog een keer hebt uitgevoerd, druk je nogmaals op TEST en je krijgt een bevestiging dat de scan binnenkort wordt uitgevoerd.

Bij mijn testen kwam er na ongeveer 2 uur een e-mail met details over eventuele problemen, dus wees niet bang als het even duurt.

De waarschuwingen die u ontvangt, worden gerangschikt van Kritiek tot Laag, maar er kwamen een aantal onverwachte beveiligingsfouten in mijn rapport naar voren die ik moet verwerken. Het beschouwt ook updates voor WordPress en plug-ins als mediumbeveiliging, dus als je schaamteloos iets nog niet hebt bijgewerkt, zal dit misschien een nuttige herinnering zijn.

Elk nummer zal ook een link bevatten naar een meer gedetailleerde uitleg en instructies voor het oplossen ervan, wat ontzettend handig is voor diegenen onder ons die minder technisch zijn over websites en servers. Maak je geen zorgen als je de e-mail hebt verwijderd - je kunt op elk gewenst moment via het dashboard een volledige uitsplitsing van het rapport bekijken.

plugins

Het team van Website Defender heeft ook een paar plug-ins die u kunt gebruiken om WordPress te beveiligen, hoewel u er merkwaardig genoeg geen melding van maakt wanneer u de scan uitvoert via de hierboven beschreven website-methode.

WP-Security-Scan

Dit voert een basisbeveiligingsaudit voor u uit over zaken als directory-machtigingen, databasevoorvoegsels, HACCESS-machtigingen, standaardgebruikersnamen en verbergen van WordPress-versie.

Veilige WordPress

Dit zal vergrendelen en een aantal beveiligingsmaatregelen uitvoeren om uw wordpress te beschermen. Dit komt in feite neer op het verwijderen van alle verwijzingen naar je WordPress-versie, het verwijderen van een aantal regels uit je header voor Windows Live Writer en het voorkomen van een lijst van je thema's en plug-ins directory - onder andere.

Beide plug-ins bevatten aanmeldingsformulieren voor de online-service van Website Defender en lijken u te laten linken naar een bestaand account. Tijdens het testen kon ik ze echter niet koppelen omdat mijn gratis quotum van één website al op was (ondanks het feit dat ik toch probeerde om dezelfde URL te koppelen, leek het te denken dat het een andere site was).

Conclusie

Het feit dat er twee plug-ins beschikbaar zijn en de mogelijkheid om de scan zonder een plug-in via de website uit te voeren, is nogal verwarrend om eerlijk te zijn - en de website geïnitieerde scan vermeldt zelfs de plug-ins niet, en ik kan de logica achter de schermen niet zien dat. Hoewel elke plug-in uniek is, is het moeilijk te begrijpen waarom ze niet slechts één ultieme beveiligingsinvoegtoepassing hebben gemaakt die uw WordPress zowel verhardt als op problemen controleert. Ik ontdekte ook dat de manier van scannen via de website meer beveiligingsproblemen opleverde die de WP-Security-Scan-plug-in gebruikten, vermoedelijk vanwege de beperkingen die werden gesteld aan wat WordPress-plug-ins De beste WordPress-plug-ins De beste WordPress-plug-ins Meer lezen kunnen feitelijk doen.

Dat wil niet zeggen dat ik de gratis service niet grondig aanbeveel - omdat ik denk dat je je nu moet aanmelden en ervoor zorgen dat je niet kwetsbaar bent voor het groeiende aantal op WordPress gebaseerde exploits. Ik zou zelfs een combinatie van de Secure WordPress-plug-in aanbevelen om hem te vergrendelen, terwijl hij de daadwerkelijke scan uitvoert via de website-methode. Laat me weten hoe het in de comments blijkt.

Meer informatie over: Anti-Malware, WordPress-plug-ins.