Holen Sie sich mit WebsiteDefender eine Sicherheitsüberarbeitung für Ihre WordPress-Site

Werbung

Da die Popularität von WordPress immer größer wird, waren Sicherheitsprobleme noch nie so relevant - aber wie kann ein Anfänger oder ein durchschnittlicher Benutzer nicht nur auf dem Laufenden bleiben, sondern auch den Überblick behalten? Würdest du überhaupt wissen, ob dein Blog gehackt wurde? Ein hilfreicher neuer Service von WebsiteDefender zielt darauf ab, dieses Problem zu lösen.

Lohnt sich die Mühe? Ich meine, es würde mir nie passieren, würde es? Nun, eine Schwachstelle wurde kürzlich in timthumb.php entdeckt, ein Dienstprogramm zur Erstellung von Miniaturansichten, das in einem beträchtlichen Prozentsatz alter Themen und Plugins verwendet wird (bevor WordPress Miniaturansichten und vorgestellte Bilder in das Kernsystem integriert hat). Angesichts der Tatsache, dass diese Datei mit automatisierten Scannern erkannt werden kann, sind die Chancen von Ihr Blog wird gehackt Neue Malware unterstreicht die Bedeutung der Aktualisierung und Sicherung Ihres WordPress-BlogsWenn eine Malware-Infektion auftritt, die so verheerend ist wie die neu entdeckte SoakSoak.ru, ist es wichtig, dass WordPress-Blog-Besitzer handeln. Schnell.

Weiterlesen in den kommenden Monaten ist ziemlich hoch - und Sie werden nicht einmal wissen, ob es so war. Ich habe es allein in der letzten Woche ein paar Mal gesehen und jetzt beschäftigen sie sich mit den Folgen.

Woher wissen Sie, ob Ihre Website gehackt wurde?

Normalerweise tust du das nicht. Der häufigste Hack, den ich gesehen habe, ist, dass die regulären Website- und Admin-Panels wie gewohnt funktionieren. Besucher von Google werden jedoch entführt und an eine Website in Russland gesendet. Da es unwahrscheinlich ist, dass Sie Ihre eigene Website googeln, bleibt der Hack natürlich unentdeckt, bis Ihre Nutzer Ihnen Feedback geben, Ihre Website Hosts schalten Sie als Bedrohung aus oder Sie erhalten die gefürchtete Warnung von Google selbst, dass Ihre Website jetzt offiziell Malware hostet. Tschüss Verkehr!

Der Hacker installiert normalerweise auch ein vollständiges GUI-Backend auf Ihrem Server, sodass jeder mit der URL Zugriff auf alle Ihre Dateien hat und frei entscheiden kann, was er möchte. Es ist ziemlich beängstigend und aufgrund der Art und Weise, wie sie Kerndateien anpassen können, erfordert die Wiederherstellung nach einem solchen Angriff viel Arbeit und ist sicherlich nichts, was ein normaler Benutzer tun kann.

Also... Wie kann ich mein Blog schützen?

Zum Glück ist dies kostenlos WebsiteDefender Service kann Ihre Site scannen. Gehen Sie dort hin zu Anmelden. Dieser Dienst steht jedoch nur WordPress-Bloggern zur Verfügung selbst gehostet Die verschiedenen Formen des Website-Hostings erklärt [Technologie erklärt] Weiterlesen installiert. Wenn Sie WordPress.com, Blogger.com oder ein anderes ähnliches kostenlos gehostetes Blog verwenden, können Sie es nicht verwenden. Kostenlose Hosting-Angebote funktionieren ebenfalls nicht. Sie müssen in der Lage sein, eine Bestätigungsdatei auf Ihren Server hochzuladen, bevor der Scan beginnt, und kostenlose Konten sind auf eine Website beschränkt.

Registrierung & Überprüfung

Sobald Sie Ihre bei der Registrierung eingegebene E-Mail-Adresse überprüft haben, werden Sie zu einer Seite weitergeleitet, auf der Sie eine kleine Bestätigungsdatei herunterladen können. Dies muss in das Stammverzeichnis Ihrer Website hochgeladen werden. Wenn Sie dies getan haben, kehren Sie zur Website zurück und klicken Sie auf die Schaltfläche "TEST".

Wenn Sie eine ähnliche Fehlermeldung erhalten, laden Sie einfach die Zip-Datei wie angegeben herunter und laden Sie dann auch die hoch kompatibel Verzeichnis zum Stammverzeichnis Ihrer Site.

Vermutlich werden einige zusätzliche PHP-Bibliotheken benötigt, um den Scan zu unterstützen, über den Ihr Server nicht verfügt. Nachdem Sie den Ordner in dasselbe Stammverzeichnis wie die Bestätigungsdatei hochgeladen haben, die Sie einen Moment lang erneut ausgeführt haben, drücken Sie erneut auf TEST, und Sie sollten eine Bestätigung erhalten, dass der Scan bald ausgeführt wird.

Bei meinen Tests kam nach ca. 2 Stunden eine E-Mail mit detaillierten Informationen zu Problemen. Seien Sie also nicht beunruhigt, wenn es eine Weile dauert.

Die Warnungen, die Sie erhalten, werden von "Kritisch" bis "Niedrig" eingestuft. In meinem Bericht sind jedoch einige unerwartete Sicherheitsfehler aufgetreten, mit denen ich mich befassen muss. Es betrachtet auch WordPress- und Plugin-Updates als mittlere Sicherheit. Wenn Sie also schändlicherweise noch nichts aktualisiert haben, kann dies als hilfreiche Erinnerung dienen.

Jedes Problem enthält auch eine ausführlichere Erklärung und Anweisungen zur Lösung. Dies ist unglaublich nützlich für diejenigen von uns, die weniger technisch mit Websites und Servern umgehen. Machen Sie sich keine Sorgen, wenn Sie die E-Mail gelöscht haben. Sie können jederzeit auf eine vollständige Aufschlüsselung des Berichts zugreifen Instrumententafel.

Plugins

Das Website Defender-Team verfügt auch über einige Plugins, mit denen Sie WordPress sichern können. Seltsamerweise werden sie jedoch nicht erwähnt, wenn Sie den Scan über die oben beschriebene Website-Methode durchführen.

Dadurch wird für Sie eine grundlegende Sicherheitsüberprüfung für Dinge wie Verzeichnisberechtigungen, Datenbankpräfix, .htaccess-Berechtigungen, Standardbenutzernamen und das Ausblenden der WordPress-Version durchgeführt.

Dadurch wird eine Reihe von Sicherheitsmaßnahmen zum Schutz Ihres WordPress-Systems gesperrt. Dies bedeutet im Wesentlichen, dass Sie alle Verweise auf Ihre WordPress-Version entfernen und einige Zeilen aus Ihrer entfernen Header für Windows Live Writer und Verhinderung der Auflistung Ihrer Themen und Plugins - unter anderem.

Beide Plugins enthalten Anmeldeformulare für den Website Defender-Onlinedienst und ermöglichen anscheinend die Verknüpfung mit einem vorhandenen Konto. Während des Tests konnte ich sie jedoch nicht verknüpfen, da mein kostenloses Kontingent für eine Website bereits aufgebraucht war (Trotz der Tatsache, dass ich trotzdem versuchte, dieselbe URL zu verlinken, schien es, als wäre es eine andere Seite? ˅).

Fazit

Die Tatsache, dass zwei Plugins verfügbar sind und der Scan ohne Plugin über die Website ausgeführt werden kann, ist Um ehrlich zu sein, ziemlich verwirrend - und der von der Website initiierte Scan erwähnt auch nicht die Plugins, und ich kann die Logik dahinter nicht erkennen Das. Obwohl jedes Plugin ein Unikat ist, ist es schwer zu verstehen, warum nicht nur ein einziges ultimatives Sicherheits-Plugin erstellt wurde, das sowohl Ihr WordPress härtet als auch nach Problemen sucht. Ich fand auch heraus, dass die Methode des Scannens über die Website mehr Sicherheitsprobleme aufwies als die Verwendung des WP-Security-Scan-Plugins, vermutlich aufgrund von Einschränkungen für was WordPress-Plugins Die besten WordPress Plugins Weiterlesen kann eigentlich tun.

Das heißt nicht, dass ich den kostenlosen Service nicht wirklich empfehle - weil ich denke, dass Sie gehen sollten Melden Sie sich jetzt an und stellen Sie verdammt sicher, dass Sie nicht anfällig für die wachsende Anzahl von WordPress-basierten sind Exploits. Tatsächlich würde ich eine Kombination des Secure WordPress-Plugins empfehlen, um es zu sperren, während der eigentliche Scan über die Website-Methode durchgeführt wird. Lassen Sie mich wissen, wie es in den Kommentaren ausgeht.