Wordpress e sviluppo Web

Ottieni un trucco di sicurezza per il tuo sito WordPress con WebsiteDefender

Ottieni un trucco di sicurezza per il tuo sito WordPress con WebsiteDefender / Wordpress e sviluppo Web

Con la popolarità di WordPress sempre crescente, i problemi di sicurezza non sono mai stati più rilevanti, ma a parte il semplice aggiornamento, come può un principiante o un utente di livello medio stare al passo con le cose? Sapresti anche se il tuo blog è stato violato? Un utile nuovo servizio di WebsiteDefender ha lo scopo di risolvere questo problema.

Vale la pena lo sforzo però? Voglio dire, non mi succederebbe mai, lo farebbe? Bene, una vulnerabilità è stata recentemente scoperta in timthumb.php, un'utilità di creazione di miniature utilizzata in una considerevole percentuale di vecchi temi e plug-in (prima che WordPress creasse le anteprime e le immagini in primo piano nel sistema principale). Dato che questo file può essere rilevato utilizzando scanner automatici, le possibilità del tuo blog sono state compromesse Novità di Malware Importanza dell'aggiornamento e protezione del tuo blog WordPress Importanti novità dell'aggiornamento e protezione del tuo blog WordPress Quando un'infezione da malware è devastante come la scoperta recente SoakSoak.ru arriva, è fondamentale che i proprietari dei blog di WordPress agiscano. Veloce. Leggi di più nei prossimi mesi è piuttosto alto e non saprai nemmeno se lo è stato. L'ho visto succedere alcune volte nell'ultima settimana da solo e ora hanno a che fare con il fall-out.

Come fai a sapere se il tuo sito è stato hackerato?

Normalmente, non lo fai. Il trucco più comune che ho visto è quello in cui il normale sito e i pannelli di amministrazione funzionano normalmente, tuttavia, i visitatori di Google vengono dirottati e inviati a un sito in Russia. Naturalmente, dal momento che è improbabile che Google sia il tuo sito, l'hacking rimane nascosto fino a quando i tuoi utenti non ti danno un feedback, gli host del tuo sito web ti chiudono come una minaccia, o ricevi il temuto avvertimento da Google che dice che il tuo sito è ora hosting ufficiale di malware. Addio traffico!

In genere, l'hacker installa anche un back-end GUI completo sul server, consentendo a chiunque abbia l'accesso URL a tutti i tuoi file e al dominio gratuito di fare ciò che desidera. È una cosa abbastanza spaventosa e, a causa del modo in cui possono regolare i file core, il recupero da un tale attacco richiede molto lavoro, e certamente non è qualcosa che un utente normale può fare.

Quindi ... Come posso proteggere il mio blog?

Fortunatamente, questo servizio gratuito di WebsiteDefender può scannerizzare il tuo sito. Andate lì per iscrivervi. Tuttavia, questo servizio è disponibile solo per i blogger di WordPress che eseguono self-hosted Le varie forme di hosting di siti web spiegate [Tecnologia spiegata] Le varie forme di hosting di siti web spiegate [Tecnologia spiegata] Ulteriori informazioni. Se utilizzi WordPress.com, Blogger.com o un altro blog ospitato gratuito simile, non puoi utilizzarlo. Anche i piani di hosting gratuiti non funzionano. Devi essere in grado di caricare un file di verifica sul tuo server prima che inizi la scansione e gli account gratuiti siano limitati a un sito web.

Registrazione e verifica

Una volta verificato il tuo indirizzo email inserito durante la registrazione, ti verrà inviata una pagina in cui è possibile scaricare un piccolo file di verifica. Questo deve essere caricato nella root del tuo sito web. Quando hai finito, torna al sito e fai clic sul pulsante TEST.

Se ricevi un errore simile a quello che ho ricevuto, scarica il file zip come indicato, quindi carica anche il file compat directory alla radice del tuo sito.

Presumibilmente, ha bisogno di alcune librerie PHP aggiuntive per aiutare la scansione che il tuo server non ha. Dopo aver caricato la cartella nella stessa directory root del file di verifica che hai ripetuto un attimo, premi nuovamente TEST e dovresti ricevere una conferma che la scansione verrà eseguita presto.

Durante i miei test, una mail è arrivata dopo circa 2 ore nel dettaglio di eventuali problemi, quindi non allarmarsi se ci vuole un po '.

Gli avvisi che ricevi saranno classificati da Critico a Basso, ma nel mio rapporto sono emersi alcuni errori di sicurezza imprevisti di cui dovrò occuparmi. Inoltre, ritiene che WordPress e gli aggiornamenti dei plugin siano di media sicurezza, quindi se non hai ancora aggiornato qualcosa, forse questo servirà come utile promemoria.

Ogni numero si collegherà anche a una spiegazione più dettagliata e istruzioni su come risolverlo, il che è incredibilmente utile per quelli di noi che sono meno tecnici su siti Web e server. Non preoccuparti se hai eliminato l'e-mail: puoi accedere a un'analisi completa del rapporto in qualsiasi momento dalla dashboard.

plugin

Il team di Defender del sito Web ha anche alcuni plugin che puoi utilizzare per proteggere WordPress, sebbene curiosamente non ne faccia menzione quando esegui la scansione tramite il metodo del sito web descritto sopra.

WP-Security-Scan

Questo esegue un controllo di sicurezza di base per te su cose come permessi di directory, prefisso del database, permessi .htaccess, nomi utente predefiniti e nascondigli della versione di WordPress.

WordPress sicuro

Questo si bloccherà ed eseguirà una serie di misure di sicurezza per proteggere il tuo wordpress. Questo in sostanza equivale a rimuovere tutti i riferimenti alla tua versione di WordPress, rimuovere alcune righe dalla tua intestazione per Windows Live Writer e impedire l'elenco dei temi e la directory dei plugin - tra gli altri.

Entrambi i plug-in includono moduli di iscrizione per il servizio online di Website Defender e sembrano consentire il collegamento a un account esistente. Tuttavia durante il test non sono riuscito a collegarli poiché la mia quota gratuita di un sito Web era già esaurita (nonostante avessi tentato di collegare lo stesso URL comunque, sembrava che fosse un sito diverso).

Conclusione

Il fatto che siano disponibili due plug-in e che sia possibile eseguire la scansione senza un plug-in tramite il sito Web è abbastanza confuso per essere onesti - né la scansione avviata dal sito Web menziona nemmeno i plug-in e non riesco a vedere la logica dietro quello. Anche se ogni plugin è unico, è difficile capire perché non abbiano creato un singolo plug-in di sicurezza definitivo, sia che indurisca il tuo WordPress e controlli eventuali problemi. Ho anche scoperto che il metodo di scansione tramite il sito web ha mostrato più problemi di sicurezza che utilizzano il plug-in WP-Security-Scan, presumibilmente a causa delle restrizioni imposte su quali plugin WordPress I migliori plugin WordPress I migliori plugin WordPress Ulteriori informazioni possono effettivamente fare.

Questo non vuol dire che non raccomandi vivamente il servizio gratuito - perché penso che dovresti iscriverti ora e fare in modo che tu non sia vulnerabile al crescente numero di exploit basati su WordPress. In effetti, raccomanderei una combinazione del plug-in Secure WordPress per bloccarlo, mentre eseguivo la scansione effettiva attraverso il metodo del sito web. Fammi sapere come risulta nei commenti.

Scopri di più su: Anti-Malware, Wordpress Plugin.