Er Wordpress "trygt"?

[basicus]

Vi kjører sucuri.net på begge serverne våre som WP-plugins, og det har renska opp i hacks to ganger jeg har trengt det. Knall service og raske som f.

Det dreide seg om ondsinnet kode som hadde blitt lagt til i bunnen på alle sider. Alt var fiksa i løpet av et par timer.

 

[Dan Åsen Hansen]

1. Ta en off-site backup, titt og ofte
2. Bruk en sikker tilkobling til servere, så heller ftps fremfor ftp
3. Begrens antallet plugins - de er av en annen sikkerhetsgrad enn core WP
4. Hold WP og pluginsene oppdatert til siste versjon
5. 777 er farlig
6. Unngå admin som bruker, unngå passord som inneholder ord
7. Bruk en annen prefiks enn wp_ for tabellene
8. Flytt wp-config til en annen plass
9. Ikke logg på WP fra shared datamaskiner

1. Ok
2. Ok
3. Ok
4. Ok
5. Ok
6. Ok - har lest man bør slette "admin" som bruker. Noen synspunkter på det?
7. Ok - kan dette endres i ettertid?
8. Ok - hvordan gjør jeg det?
9. OK

Ref. #6; hvis man sletter admin, og allerede har opprettet dokumenter som denne, kan de enkelt flyttes over på en annen bruker?

Mvh Dan

 

[Travellingman]

Ref. #6; hvis man sletter admin, og allerede har opprettet dokumenter som denne, kan de enkelt flyttes over på en annen bruker?

Mvh Dan

Ja, du får et valg om å gjøre dette når du skal slette en bruker som har skrevet poster på bloggen.

 

[Dan Åsen Hansen]

1. Ok
2. Ok
3. Ok
4. Ok
5. Ok
6. Ok - har lest man bør slette "admin" som bruker. Noen synspunkter på det?
7. Ok - kan dette endres i ettertid?
8. Ok - hvordan gjør jeg det?
9. OK

Ref. #6; hvis man sletter admin, og allerede har opprettet dokumenter som denne, kan de enkelt flyttes over på en annen bruker?

Mvh Dan

Tillater meg å bumpe denne en gang, da jeg fortsatt ikke har fått svar på #8 - håper det er greit ...

Mvh Dan

 

[adeneo]

Flytt wp-config ut av mapper som er direkte tilgjengelige over nett, eller sett tilgangskontroll.

Hardening WordPress « WordPress Codex

security - Is moving wp-config outside the web root really beneficial? - WordPress Answers

 

[zapotek]

Tillater meg å bumpe denne en gang, da jeg fortsatt ikke har fått svar på #8 - håper det er greit ...

Mvh Dan

Eller så installerer du denne babyen: WordPress › Limit Login Attempts « WordPress Plugins

Da klarer de ikke å hacke seg inn via brute force uansett (ergo, du slipper å endre brukernavnet fra Admin til noe annet).

 

[Steve Cash]

Hvorfor fikk jeg "bad gateway" da jeg trykket på lenken din, Zapotek?

 

[Dag Frogner]

Samme fikk jeg, men det fungerte 3 sek etterpå.

 

[Steve Cash]

Samme fikk jeg, men det fungerte 3 sek etterpå.

Samme her, fungerer fint nå. Nyttig råd og nyttig tråd, forresten.

 

[zapotek]

Hvorfor fikk jeg "bad gateway" da jeg trykket på lenken din, Zapotek?

Tett påsketrafikk vet du

 

[Dan Åsen Hansen]

Eller så installerer du denne babyen: WordPress › Limit Login Attempts « WordPress Plugins

Da klarer de ikke å hacke seg inn via brute force uansett (ergo, du slipper å endre brukernavnet fra Admin til noe annet).

Ja, bruker den, og Akismet mot spam, og stort sett det meste på lista over også, inkludert slettet admin. Har dog opplevd at noen har prøvd å logge seg inn som meg flere ganger tidligere, men det har ikke skjedd ennå denne gangen.

Prøvde ellers et sånt morsomt script som visstnok skulle kjøre wp i "stealth"-modus, og det fant en haug med påståtte sikkerhetsfeil jeg kunne rett, men da forsvant login'en min og jeg måtte bare slette hele greia. Heldigvis var det bare i testøyemed, så det skjedde ikke noe mer enn det, og jeg husker ikke hva det plugin'et het ...

Mvh Dan