С ростом популярности WordPress проблемы с безопасностью никогда не были более актуальными, но кроме того, чтобы просто быть в курсе, как новичок или пользователь среднего уровня может оставаться в курсе событий? Знаете ли вы, если ваш блог был взломан? Новая полезная услуга от WebsiteDefender направлена на решение этой проблемы.
Стоит ли усилий хотя? Я имею в виду, это никогда не случится со мной, не так ли ? Что ж, недавно была обнаружена уязвимость в timthumb.php , утилите создания миниатюр, которая используется в довольно большом проценте старых тем и плагинов (до того, как WordPress встроил миниатюры и добавлял изображения в основную систему). Учитывая, что этот файл может быть обнаружен с помощью автоматических сканеров, есть вероятность того, что ваш блог будет взломан. защиты вашего блога в ближайшие месяцы довольно высоко — и вы даже не узнаете, было ли это. Я видел, как это случалось несколько раз за последнюю неделю, и теперь они имеют дело с последствиями.
Как вы знаете, если ваш сайт был взломан?
Обычно нет. Самый распространенный хак, который я видел, — это то, где обычный сайт и админ-панели работают в обычном режиме, однако любые посетители из Google угоняются и отправляются на сайт в России. Конечно, поскольку вы вряд ли станете Google своим собственным сайтом, этот хак останется незамеченным до тех пор, пока ваши пользователи не оставят вам отзыв, хосты вашего сайта не закроют вас как угрозу, или вы не получите страшное предупреждение от самих Google о том, что ваш сайт сейчас официально хостинг вредоносных программ. Прощай, трафик!
Хакер обычно также устанавливает полный серверный GUI на ваш сервер, предоставляя всем, у кого есть URL, доступ ко всем вашим файлам и бесплатное правление, чтобы делать, как они пожелают. Это довольно пугающая вещь, и из-за того, как они могут корректировать основные файлы, восстановление после такой атаки требует большой работы и, конечно, не то, что обычный пользователь может сделать.
Итак … Как я могу защитить свой блог?
К счастью, эта бесплатная служба WebsiteDefender может сканировать ваш сайт. Пройдите туда, чтобы зарегистрироваться . Тем не менее, этот сервис доступен только блоггерам WordPress, работающим на собственных устанавливает. Если вы используете WordPress.com, Blogger.com или другой подобный бесплатный блог, вы не можете его использовать. Бесплатные планы хостинга также не работают. Вы должны иметь возможность загрузить файл подтверждения на ваш сервер до начала сканирования, и бесплатные аккаунты ограничены одним веб-сайтом.
Регистрация и проверка
После того, как вы подтвердите свой адрес электронной почты, введенный при регистрации, вы будете перенаправлены на страницу, где вы можете скачать небольшой файл подтверждения. Это должно быть загружено в корень вашего сайта. Когда вы это сделаете, вернитесь на сайт и нажмите кнопку TEST.
Если вы получаете сообщение об ошибке, похожее на то, что я получил, просто скачайте zip-файл в соответствии с инструкциями, а затем загрузите каталог compat в корневой каталог вашего сайта.
Предположительно, ему нужны дополнительные библиотеки PHP для сканирования, которого нет у вашего сервера. После загрузки папки в тот же корневой каталог, что и файл подтверждения, который вы сделали несколько раз, снова нажмите TEST, и вы должны получить подтверждение, что сканирование скоро запустится.
В моем тестировании через 2 часа пришло письмо с подробным описанием проблем, поэтому не беспокойтесь, если это займет некоторое время.
Полученные вами предупреждения будут ранжированы от Критического до Низкого, но в моем отчете обнаружилось несколько неожиданных ошибок безопасности, с которыми мне придется иметь дело. Он также рассматривает обновления WordPress и плагинов как средний уровень безопасности, поэтому, если вы постыдно еще не обновили что-то, возможно, это послужит полезным напоминанием.
Каждая проблема также будет содержать более подробное объяснение и инструкции о том, как ее решить, что невероятно полезно для тех из нас, кто менее технически относится к веб-сайтам и серверам. Не беспокойтесь, если вы удалили электронное письмо — вы можете в любое время получить доступ к полной разбивке отчета с панели инструментов .
Плагины
У команды Защитника веб-сайта также есть несколько плагинов, которые вы можете использовать для защиты WordPress, хотя любопытно, что они не упоминаются при сканировании с помощью метода веб-сайта, описанного выше.
WP-Security-Scan
Он выполняет базовый аудит безопасности для таких вещей, как права доступа к каталогу, префикс базы данных, разрешения .htaccess, имена пользователей по умолчанию и скрытие версии WordPress.
Безопасный WordPress
Это заблокирует и выполнит ряд мер безопасности, чтобы защитить ваш WordPress. По сути это означает удаление всех ссылок на вашу версию WordPress, удаление некоторых строк из заголовка для Windows Live Writer, а также предотвращение перечисления ваших тем и каталогов плагинов, среди прочего.
Оба плагина включают формы регистрации в онлайн-сервисе Защитника веб-сайта и позволяют вам ссылаться на существующую учетную запись. Однако во время тестирования я не смог связать их, так как моя свободная квота на один сайт уже была использована (несмотря на то, что я все равно пытался связать один и тот же URL-адрес, мне казалось, что это другой сайт).
Вывод
Тот факт, что есть два доступных плагина, а также возможность запуска сканирования без плагина через веб-сайт, является довольно запутанным, если честно, и при этом инициированное сканирование веб-сайта даже не упоминает плагины, и я не вижу логики позади что. Несмотря на то, что каждый плагин уникален, трудно понять, почему они просто не создали единый плагин для максимальной безопасности, который ужесточает ваш WordPress и проверяет наличие проблем. Я также обнаружил, что метод сканирования через веб-сайт показал больше проблем безопасности, чем при использовании плагина WP-Security-Scan, предположительно из-за ограничений, накладываемых на то, какие плагины можно на самом деле.
Это не значит, что я не очень рекомендую бесплатный сервис — потому что я действительно думаю, что вам следует зарегистрироваться и убедиться, что вы не уязвимы для растущего числа эксплойтов на WordPress. На самом деле, я бы порекомендовал комбинацию плагина Secure WordPress, чтобы заблокировать его, одновременно выполняя фактическое сканирование методом веб-сайта. Дайте мне знать, как это получается в комментариях.