Содержание
С ростом популярности WordPress проблемы с безопасностью никогда не были более актуальными, но кроме того, чтобы просто быть в курсе, как новичок или пользователь среднего уровня может оставаться в курсе событий? Знаете ли вы, если ваш блог был взломан? Полезный новый сервис от WebsiteDefender направлен на решение этой проблемы.
Стоит ли усилий хотя? Я имею в виду, это никогда не случится со мной, не так ли? Что ж, недавно была обнаружена уязвимость в timthumb.php, утилите создания миниатюр, которая используется в значительном проценте старых тем и плагинов (до того, как WordPress встроил миниатюры и добавлял изображения в основную систему). Учитывая, что этот файл может быть обнаружен с помощью автоматических сканеров, вероятность того, что ваш блог будет взломан
в ближайшие месяцы довольно высока — и вы даже не будете знать, если это было. Я видел, как это случалось несколько раз за последнюю неделю, и теперь они имеют дело с последствиями.
Как вы знаете, если ваш сайт был взломан?
Обычно вы этого не делаете. Самым распространенным хаком, который я видел, является то, что обычный сайт и админ-панели работают в обычном режиме, однако любые посетители из Google угоняются и отправляются на сайт в России. Конечно, поскольку вы вряд ли зайдете на свой собственный сайт Google, этот хак останется незамеченным до тех пор, пока ваши пользователи не оставят ваши отзывы, хосты вашего сайта не закроют вас как угрозу, или вы не получите страшное предупреждение от самих Google о том, что ваш сайт сейчас официально хостинг вредоносного ПО. Прощай, трафик!
Хакер также обычно устанавливает полный серверный интерфейс GUI на ваш сервер, предоставляя всем, у кого есть URL-доступ, ко всем вашим файлам и свободному правлению делать то, что они хотят. Это довольно пугающая вещь, и из-за того, как они могут корректировать основные файлы, восстановление после такой атаки требует большой работы и, конечно, не является чем-то, что обычный пользователь может сделать.
Итак … Как я могу защитить свой блог?
К счастью, эта бесплатная служба WebsiteDefender может сканировать ваш сайт. Пройдите туда, чтобы зарегистрироваться. Тем не менее, этот сервис доступен только блоггерам WordPress, работающим в автономном режиме.
устанавливает. Если вы используете WordPress.com, Blogger.com или другой подобный бесплатный блог, вы не можете его использовать. Бесплатные планы хостинга также не работают. Вы должны иметь возможность загрузить файл подтверждения на ваш сервер до начала сканирования, и бесплатные аккаунты ограничены одним веб-сайтом.
Постановка на учет верификация
После того как вы подтвердите свой адрес электронной почты, введенный во время регистрации, вы будете перенаправлены на страницу, где вы можете скачать небольшой файл подтверждения. Это должно быть загружено в корень вашего сайта. Когда вы это сделаете, вернитесь на сайт и нажмите кнопку TEST.
Если вы получаете сообщение об ошибке, похожее на то, что я получил, просто скачайте zip-файл в соответствии с инструкциями, а затем загрузите каталог compat в корневой каталог вашего сайта.
Предположительно, ему нужны дополнительные библиотеки PHP для сканирования, которого нет на вашем сервере. После загрузки папки в тот же корневой каталог, что и файл подтверждения, который вы сделали снова, снова нажмите TEST, и вы должны получить подтверждение, что сканирование скоро запустится.
В моем тестировании через 2 часа пришло письмо с подробным описанием любых проблем, поэтому не беспокойтесь, если это займет некоторое время.
Полученные вами предупреждения будут ранжированы от критического до низкого, но в моем отчете обнаружилось несколько неожиданных ошибок безопасности, с которыми мне придется иметь дело. Он также рассматривает обновления WordPress и плагинов как средний уровень безопасности, поэтому, если вы постыдно еще не обновили что-то, возможно, это послужит полезным напоминанием.
Каждая проблема также будет содержать более подробное объяснение и инструкции о том, как ее решить, что невероятно полезно для тех из нас, кто менее технически относится к веб-сайтам и серверам. Не беспокойтесь, если вы удалили электронное письмо — вы можете в любое время получить доступ к полной разбивке отчета с панели инструментов.
Плагины
У команды Защитника веб-сайта также есть несколько плагинов, которые вы можете использовать для защиты WordPress, хотя любопытно, что они не упоминаются при сканировании с помощью метода веб-сайта, описанного выше.
WP-Security-Scan
Он выполняет базовый аудит безопасности для таких вещей, как права доступа к каталогу, префикс базы данных, разрешения .htaccess, имена пользователей по умолчанию и скрытие версии WordPress.
Безопасный WordPress
Это заблокирует и выполнит ряд мер безопасности, чтобы защитить ваш WordPress. По сути, это сводится к удалению всех ссылок на вашу версию WordPress, удалению некоторых строк из вашего заголовка для Windows Live Writer и предотвращению перечисления ваших тем и каталогов плагинов — среди других.
Оба плагина включают формы регистрации для онлайн-сервиса Защитника веб-сайта и, по-видимому, позволяют вам ссылаться на существующую учетную запись. Однако во время тестирования я не смог связать их, так как моя свободная квота одного сайта уже была использована (несмотря на то, что я все равно пытался связать один и тот же URL, казалось, что это был другой сайт).
Заключение
Тот факт, что есть два доступных плагина, а также возможность запуска сканирования без плагина через веб-сайт, является довольно запутанным, если честно, и при этом инициированное сканирование веб-сайта даже не упоминает плагины, и я не вижу логики позади тот. Несмотря на то, что каждый плагин уникален, трудно понять, почему они просто не создали единый плагин для максимальной безопасности, который ужесточает ваш WordPress и проверяет наличие проблем. Я также обнаружил, что метод сканирования через веб-сайт показал больше проблем безопасности, чем при использовании плагина WP-Security-Scan, предположительно из-за ограничений, накладываемых на то, какие плагины WordPress
может на самом деле сделать.
Это не значит, что я не рекомендую полностью бесплатный сервис — потому что я действительно думаю, что вы должны зарегистрироваться сейчас и убедиться, что вы не уязвимы для растущего числа эксплойтов на основе WordPress. На самом деле, я бы порекомендовал комбинацию плагина Secure WordPress, чтобы заблокировать его, одновременно выполняя фактическое сканирование методом веб-сайта. Дайте мне знать, как это получается в комментариях.
