פרסומת
עם הפופולריות של וורדפרס גוברת והולכת, בעיות אבטחה מעולם לא היו רלוונטיות יותר - אבל מלבד פשוט להתעדכן, כיצד יכול משתמש מתחיל או ממוצע להישאר מעודכן? האם היית יודע אפילו אם הבלוג שלך נפרץ? שירות חדש ומועיל מ- אתר דיפנדר שואפת לפתור את הבעיה.
האם זה שווה את המאמץ? כלומר, זה לעולם לא יקרה לי, האם זה? ובכן, פגיעות התגלה לאחרונה ב- timtatt.php, כלי ליצירת תמונות ממוזערות המשמש באחוז גדול משמעותית של נושאים ותוספים ישנים (לפני שוורדפרס בנתה תמונות ממוזערות והציגה תמונות במערכת הליבה). בהתחשב בכך שניתן לאתר קובץ זה באמצעות סורקים אוטומטיים, הסיכוי לכך הבלוג שלך נפרץ תוכנות זדוניות חדשות מדגישות את החשיבות של עדכון ואבטחת הבלוג שלך ב- WordPressכאשר זיהום זדוני הרסני כמו SoakSoak.ru שהתגלה לאחרונה, חיוני שבעלי הבלוגים של וורדפרס יפעלו. מהיר. קרא עוד במהלך החודשים הקרובים הוא די גבוה - ואתה אפילו לא יודע אם זה היה. ראיתי את זה קורה כמה פעמים בשבוע האחרון בלבד ועכשיו הם מתמודדים עם הנפילה.
איך אתה יודע אם האתר שלך נפרץ?
בדרך כלל אתה לא. האקר הנפוץ ביותר שראיתי הוא המקום בו לוחות האתר הרגילים וניהול המערכת פועלים כרגיל - עם זאת, כל מבקרים מגוגל נחטפים ונשלחים לאתר ברוסיה. כמובן, מכיוון שלא סביר שתגול באתר שלך משלך, האק לא ישתתף עד שמשתמשים מהמשתמשים שלך נותנים לך משוב, האתר שלך המארחים מכבים אותך כאיום, או שאתה מקבל את האזהרה המפחידה מגוגל עצמם כי האתר שלך מתארח כעת באופן רשמי בתוכנה זדונית. ביי ביי ביי!
ההאקר בדרך כלל מתקין בשרת שלך ממשק GUI מלא, ונותן לכל מי שיש לו כתובת URL לכל הקבצים שלך ולמלוך בחינם לעשות כרצונם. זה דברים די מפחידים, ובגלל האופן בו הם יכולים להתאים קבצי ליבה, ההחלמה מהתקף כזה דורשת הרבה עבודה, ובוודאי שזה לא משהו שמשתמש רגיל יכול לעשות.
אז... איך אוכל להגן על הבלוג שלי?
למרבה המזל, זה בחינם אתר דיפנדר שירות יכול לסרוק את האתר שלך. ראש לשם לשם הירשם. עם זאת, שירות זה זמין רק לבלוגרים של וורדפרס הפועלים מתארח בעצמי הצורות השונות של אירוח אתרים הוסברו [הסביר טכנולוגיה] קרא עוד מתקין. אם אתה משתמש ב- WordPress.com, Blogger.com או בלוג אחר בחינם מתארח בחינם, אינך יכול להשתמש בו. תוכניות אירוח בחינם גם לא עובדות. עליך להיות מסוגל להעלות קובץ אימות לשרת שלך לפני תחילת הסריקה, וחשבונות בחינם מוגבלים לאתר אחד.
רישום ואימות
לאחר שתאמת את כתובת הדוא"ל שלך שהוזנה במהלך ההרשמה, תישלח לדף בו תוכל להוריד קובץ אימות קטן. יש להעלות את זה לשורש האתר שלך. כשתסיים את זה, חזור לאתר ולחץ על כפתור הבדיקה.
אם אתה מקבל שגיאה דומה למה שקיבלתי, פשוט הורד את קובץ ה- zip כמתואר, ואז העלה את ה- תואם מדריך לשורש האתר שלך.
יש להניח שהיא זקוקה לספריות PHP נוספות שיסייעו לסריקה שאין לשרת שלך. לאחר העלאת התיקיה לאותה ספריית שורש כמו קובץ האימות שעשית שוב רגע, לחץ שוב על TEST ועליך לקבל אישור שהסריקה תפעל בקרוב.
בבדיקה שלי הודעת דוא"ל הגיעה לאחר כשעתיים ובה פירוט כל בעיה, אז אל תיבהל אם זה ייקח זמן.
האזהרות שתקבלו ידורגו בין קריטיות לנמוכות, אך הופיעו כמה שגיאות אבטחה בלתי צפויות בדוח שלי שעלי אצטרך להתמודד איתן. זה גם רואה בעדכוני וורדפרס ותוספים כאבטחה בינונית, כך שאם לא עדכנת משהו בושה, אולי זה ישמש תזכורת מועילה.
כל גיליון יקשר גם להסבר מפורט יותר ולהוראות כיצד לפתור אותו, וזה שימושי להפליא לאלו מאיתנו שפחות טכניים לגבי אתרים ושרתים. אל תדאג אם מחקת את הדוא"ל - אתה יכול לגשת לפירוט מלא של הדו"ח בכל עת מהכתובת לוח מחוונים.
תוספים
לצוות מגנה האתרים יש גם כמה תוספים שבהם תוכלו להשתמש בכדי לאבטח את וורדפרס, אם כי באופן מוזר זה לא מזכיר אותם כשאתם מבצעים את הסריקה בשיטת האתר המתוארת למעלה.
זה מבצע עבורך ביקורת אבטחה בסיסית לגבי דברים כמו הרשאות ספריות, קידומת בסיס נתונים, הרשאות גישה .htaccess, שמות משתמש ברירת מחדל והסתרת גרסת וורדפרס.
זה יינעל ויבצע מספר אמצעי אבטחה להגנה על הוורדפרס שלך. זה בעצם מסתכם בהסרת כל הפניות לגרסת הוורדפרס שלך, הסרת שורות מסוימות משלך כותרת עבור Windows Live Writer ומניעת רישום של ספריית העיצובים והתוספים שלך - בין השאר.
שני התוספים כוללים טפסי הרשמה לשירות המקוון של Defender Website ונראים שמאפשרים לך קישור לחשבון קיים. עם זאת במהלך הבדיקה לא הצלחתי לקשר אותם מכיוון שהמכסה החינמית שלי לאתר אחד כבר הייתה בשימוש (למרות העובדה שבכל מקרה ניסיתי לקשר את אותה כתובת URL, נראה היה שהיא שונה אתר).
סיכום
העובדה שיש שני תוספים זמינים כמו גם היכולת להריץ את הסריקה ללא תוסף דרך האתר היא די מבלבל להיות כנה - וגם סריקת האתר שאינו מזכירה אפילו את התוספים, ואני לא יכול לראות את ההיגיון שמאחורי זה. בעוד שכל תוסף הוא ייחודי, קשה לראות מדוע הם לא סתם ייצרו תוסף אבטחה אולטימטיבי אחד, שמקשה גם את WordPress שלכם ובודק בעיות. מצאתי גם ששיטת הסריקה דרך האתר הראתה יותר בעיות אבטחה שמשתמשות בתוסף WP-Security-Scan, ככל הנראה בגלל מגבלות שמוטלות על מה תוספי וורדפרס התוספים הטובים ביותר לוורדפרס קרא עוד באמת יכול לעשות.
זה לא אומר שאני לא ממליץ ביסודיות על השירות בחינם - כי אני חושב שאתה צריך ללכת הירשם עכשיו וודא שאתה לא פגיע למספר ההולך וגדל של מבוססי וורדפרס מנצל. למעשה, הייתי ממליץ על שילוב של התוסף Secure WordPress כדי לנעול אותו, תוך כדי ביצוע הסריקה בפועל בשיטת האתר. תן לי לדעת איך מתברר בתגובות.
ג'יימס הוא בעל תואר ראשון בבינה מלאכותית, והוא מוסמך CompTIA A + ו- Network +. הוא המפתח הראשי של MakeUseOf, ומבלה את זמנו הפנוי במשחקי פיינטבול VR ומשחקי לוח. הוא בנה מחשבים אישיים מאז שהיה ילד.
