Получите макияж безопасности для вашего сайта WordPress с WebsiteDefender

Реклама

С ростом популярности WordPress проблемы с безопасностью никогда не были более актуальными, но кроме того, чтобы просто быть в курсе, как новичок или пользователь среднего уровня может оставаться в курсе событий? Знаете ли вы, если ваш блог был взломан? Полезный новый сервис от WebsiteDefender стремится решить эту проблему.

Стоит ли усилий хотя? Я имею в виду, это никогда не случится со мной, будет ли это? Ну, уязвимость был недавно обнаружен в timthumb.phpутилита для создания миниатюр, которая используется в довольно большом проценте старых тем и плагинов (до того, как WordPress встроил миниатюры и добавлял изображения в основную систему). Учитывая, что этот файл может быть обнаружен с помощью автоматических сканеров, шансы ваш блог взломан Новое вредоносное ПО подчеркивает важность обновления и защиты вашего блога WordPressКогда приходит вредоносная инфекция, столь же разрушительная, как недавно обнаруженный SoakSoak.ru, очень важно, чтобы владельцы блогов WordPress действовали. Быстро. Подробнее

в ближайшие месяцы довольно высока - и вы даже не будете знать, если это было. Я видел, как это случалось несколько раз за последнюю неделю, и теперь они имеют дело с последствиями.

Как вы знаете, если ваш сайт был взломан?

Обычно вы этого не делаете. Самым распространенным хаком, который я видел, является то, что обычный сайт и админ-панели работают как обычно - однако, любые посетители из Google угоняются и отправляются на сайт в России. Конечно, поскольку вы вряд ли зайдете на свой собственный сайт Google, этот хак останется незамеченным до тех пор, пока ваши пользователи не оставят отзыв, ваш сайт хосты закрывают вас как угрозу, или вы сами получаете страшное предупреждение от Google, утверждая, что ваш сайт теперь официально содержит вредоносное ПО. Прощай, трафик!

Хакер также обычно устанавливает полный серверный интерфейс GUI на ваш сервер, предоставляя всем, у кого есть URL-доступ, ко всем вашим файлам и свободному правлению делать то, что они хотят. Это довольно страшная вещь, и из-за того, как они могут корректировать основные файлы, восстановление после такой атаки требует большой работы, и, конечно, это не то, что может сделать обычный пользователь.

Итак... Как я могу защитить свой блог?

К счастью, это бесплатно WebsiteDefender Сервис может сканировать ваш сайт. Идите туда, чтобы Зарегистрироваться. Однако этот сервис доступен только для блоггеров WordPress, работающих резидентных Разъяснение различных форм хостинга веб-сайтов [Объяснение технологии] Подробнее устанавливает. Если вы используете WordPress.com, Blogger.com или другой подобный бесплатный блог, вы не можете его использовать. Бесплатные планы хостинга также не работают. Вы должны иметь возможность загрузить файл подтверждения на свой сервер до начала сканирования, и бесплатные аккаунты ограничены одним веб-сайтом.

Регистрация и проверка

После того, как вы подтвердите свой адрес электронной почты, введенный при регистрации, вы будете перенаправлены на страницу, где вы можете скачать небольшой файл подтверждения. Это должно быть загружено в корень вашего сайта. Когда вы это сделаете, вернитесь на сайт и нажмите кнопку TEST.

Если вы получили сообщение об ошибке, похожее на то, что я получил, просто скачайте zip-файл в соответствии с инструкциями, а затем загрузите Compat каталог в корне вашего сайта.

Предположительно, для сканирования, которого нет у вашего сервера, нужны дополнительные библиотеки PHP. После загрузки папки в тот же корневой каталог, что и файл подтверждения, который вы сделали несколько раз, снова нажмите TEST, и вы должны получить подтверждение, что сканирование скоро запустится.

В моем тестировании через 2 часа пришло письмо с подробным описанием любых проблем, поэтому не беспокойтесь, если это займет некоторое время.

Полученные вами предупреждения будут ранжированы от Критического до Низкого, но в моем отчете обнаружилось несколько неожиданных ошибок безопасности, с которыми мне придется иметь дело. Он также рассматривает обновления WordPress и плагинов как средний уровень безопасности, поэтому, если вы постыдно еще не обновили что-то, возможно, это послужит полезным напоминанием.

Каждая проблема также будет содержать более подробное объяснение и инструкции о том, как ее решить, что невероятно полезно для тех из нас, кто менее технически относится к веб-сайтам и серверам. Не беспокойтесь, если вы удалили письмо - вы можете в любое время получить доступ к полной разбивке отчета из приборная доска.

Плагины

У команды Защитника веб-сайта также есть несколько плагинов, которые вы можете использовать для защиты WordPress, хотя любопытно, что они не упоминаются при сканировании с помощью метода веб-сайта, описанного выше.

Он выполняет базовый аудит безопасности для таких вещей, как права доступа к каталогу, префикс базы данных, разрешения .htaccess, имена пользователей по умолчанию и скрытие версии WordPress.

Это заблокирует и выполнит ряд мер безопасности, чтобы защитить ваш WordPress. По сути это означает удаление всех ссылок на вашу версию WordPress, удаление некоторых строк из вашего заголовок для Windows Live Writer и предотвращение перечисления ваших тем и директорий плагинов - среди прочего.

Оба плагина включают формы регистрации для онлайн-сервиса Защитника веб-сайта и, по-видимому, позволяют вам ссылаться на существующую учетную запись. Однако во время тестирования я не смог связать их, так как моя бесплатная квота на один сайт уже была использована (несмотря на то, что я все равно пытался связать один и тот же URL, мне казалось, что это другой сайт).

Вывод

Тот факт, что есть два доступных плагина, а также возможность запуска сканирования без плагина через веб-сайт довольно запутанно, если честно - при этом сканирование, инициированное веб-сайтом, даже не упоминает плагины, и я не вижу логики тот. Несмотря на то, что каждый плагин уникален, трудно понять, почему они просто не создали единый плагин для максимальной безопасности, который ужесточает ваш WordPress и проверяет наличие проблем. Я также обнаружил, что метод сканирования через веб-сайт показал больше проблем безопасности, чем при использовании плагина WP-Security-Scan, предположительно из-за ограничений, накладываемых на Плагины для WordPress Лучшие плагины для WordPress Подробнее на самом деле может сделать.

Это не значит, что я не рекомендую полностью бесплатный сервис - потому что я думаю, что вы должны пойти Зарегистрируйтесь сейчас и убедитесь, что вы не уязвимы для растущего числа пользователей WordPress. эксплуатирует. Фактически, я бы порекомендовал комбинацию подключаемого модуля Secure WordPress, чтобы заблокировать его при выполнении фактического сканирования с помощью метода веб-сайта. Дайте мне знать, как это получается в комментариях.