Ottieni un cambio di sicurezza per il tuo sito WordPress con WebsiteDefender

Annuncio pubblicitario

Con la popolarità di WordPress in costante aumento, i problemi di sicurezza non sono mai stati più rilevanti, ma a parte il semplice aggiornamento, come può un principiante o un utente di livello medio rimanere in cima alle cose? Sapresti anche se il tuo blog è stato violato? Un nuovo servizio utile da WebsiteDefender mira a risolvere questo problema.

Vale la pena lo sforzo però? Voglio dire, non mi succederebbe mai, lo farebbe? Bene, una vulnerabilità è stato recentemente scoperto in timthumb.php, un'utilità per la creazione di miniature che viene utilizzata in una percentuale considerevolmente grande di vecchi temi e plug-in (prima che WordPress incorporasse le miniature e le immagini in primo piano nel sistema principale). Dato che questo file può essere rilevato utilizzando scanner automatici, le possibilità di il tuo blog è stato violato I nuovi malware evidenziano l'importanza di aggiornare e proteggere il tuo blog WordPressQuando si verifica un'infezione da malware devastante come il SoakSoak.ru appena scoperto, è fondamentale che i proprietari dei blog di WordPress agiscano. Veloce.

Leggi di più nei prossimi mesi è piuttosto alto e non saprai nemmeno se lo è stato. L'ho visto accadere alcune volte solo nell'ultima settimana e ora hanno a che fare con la caduta.

Come fai a sapere se il tuo sito è stato violato?

Normalmente no. L'hack più comune che ho visto è dove il normale sito e i pannelli di amministrazione funzionano normalmente, tuttavia tutti i visitatori di Google vengono dirottati e inviati a un sito in Russia. Naturalmente, dal momento che è improbabile che il tuo sito sia Google, l'hacking non viene rilevato fino a quando entrambi i tuoi utenti non ti danno un feedback, gli host ti bloccano come una minaccia o ricevi l'avvertimento temuto dagli stessi Google che dicono che il tuo sito Web ora ospita ufficialmente malware. Ciao ciao traffico!

L'hacker di solito installa anche un backend GUI completo sul tuo server, dando a chiunque abbia l'URL l'accesso a tutti i tuoi file e regni liberi di fare come vogliono. È roba abbastanza spaventosa e, a causa del modo in cui possono regolare i file core, il recupero da un attacco di questo tipo richiede molto lavoro e certamente non è qualcosa che un utente normale può fare.

Quindi... Come posso proteggere il mio blog?

Fortunatamente, questo gratis WebsiteDefender il servizio può scansionare il tuo sito. Vai laggiù per Iscriviti. Tuttavia, questo servizio è disponibile solo per i blogger di WordPress in esecuzione self-hosted Spiegate le varie forme di hosting di siti Web [Spiegazione della tecnologia] Leggi di più installa. Se stai utilizzando WordPress.com, Blogger.com o un altro blog ospitato gratuito simile, non puoi utilizzarlo. Anche i piani di hosting gratuiti non funzionano. Devi essere in grado di caricare un file di verifica sul tuo server prima che inizi la scansione e gli account gratuiti sono limitati a un sito Web.

Registrazione e verifica

Dopo aver verificato il tuo indirizzo email inserito durante la registrazione, verrai inviato a una pagina in cui puoi scaricare un piccolo file di verifica. Questo deve essere caricato nella radice del tuo sito web. Al termine, torna al sito e fai clic sul pulsante TEST.

Se ricevi un errore simile a quello che ho ricevuto, scarica il file zip come indicato, quindi carica anche il file compat directory alla radice del tuo sito.

Presumibilmente, ha bisogno di alcune librerie PHP aggiuntive per aiutare la scansione che il tuo server non ha. Dopo aver caricato la cartella nella stessa directory principale del file di verifica che hai fatto di nuovo per un momento, premi nuovamente TEST e dovresti ottenere una conferma che la scansione verrà eseguita presto.

Durante i miei test, dopo circa 2 ore è arrivata un'e-mail con i dettagli di eventuali problemi, quindi non allarmarti se ci vorrà del tempo.

Gli avvisi che riceverai verranno classificati da Critico a Basso, ma nel mio rapporto sono emersi alcuni errori di sicurezza imprevisti che dovrò affrontare. Considera anche gli aggiornamenti di WordPress e plugin come una sicurezza media, quindi se non hai vergognosamente aggiornato qualcosa, forse questo servirà come promemoria utile.

Ogni numero si collegherà anche a una spiegazione più dettagliata e istruzioni su come risolverlo, che è incredibilmente utile per quelli di noi che sono meno tecnici su siti Web e server. Non preoccuparti se hai eliminato l'email: puoi accedere a una suddivisione completa del rapporto in qualsiasi momento dal pannello di controllo.

plugin

Il team di Website Defender ha anche alcuni plugin che puoi usare per proteggere WordPress, anche se curiosamente non ne fa menzione quando esegui la scansione tramite il metodo del sito web descritto sopra.

Questo esegue un controllo di sicurezza di base su cose come permessi della directory, prefisso del database, permessi .htaccess, nomi utente predefiniti e nascondere la versione di WordPress.

Questo bloccherà ed eseguirà una serie di misure di sicurezza per proteggere il tuo wordpress. Ciò equivale essenzialmente a rimuovere tutti i riferimenti alla tua versione di WordPress, rimuovendo alcune righe dalla tua intestazione per Windows Live Writer e impedendo, tra le altre cose, di elencare la directory dei temi e dei plugin.

Entrambi i plug-in includono moduli di iscrizione per il servizio online di Website Defender e sembrano consentire il collegamento a un account esistente. Tuttavia durante i test non sono riuscito a collegarli poiché la mia quota gratuita di un sito Web era già esaurita (nonostante il fatto che stavo provando a collegare lo stesso URL comunque, sembrava pensare che fosse diverso luogo).

Conclusione

Il fatto che ci siano due plugin disponibili oltre a poter eseguire la scansione senza un plugin tramite il sito Web è abbastanza confuso, ad essere sinceri, né la scansione avviata dal sito web menziona nemmeno i plugin, e non riesco a vedere la logica quello. Sebbene ogni plug-in sia unico, è difficile capire perché non abbiano appena creato un singolo plug-in di sicurezza finale che rafforzi WordPress e controlli i problemi. Ho anche scoperto che il metodo di scansione tramite il sito Web ha mostrato più problemi di sicurezza rispetto all'uso del plug-in WP-Security-Scan, presumibilmente a causa delle restrizioni poste su ciò che Plugin di WordPress I migliori plugin di WordPress Leggi di più può effettivamente fare.

Questo non vuol dire che non consiglio vivamente il servizio gratuito, perché penso che dovresti andare iscriviti ora e assicurati dannatamente di non essere vulnerabile al numero crescente di WordPress-based sfrutta. In effetti, consiglierei una combinazione del plugin Secure WordPress per bloccarlo, mentre eseguo la scansione effettiva attraverso il metodo del sito Web. Fammi sapere come risulta nei commenti.