Hva gjør dere for å unngå WP-hacking

En tråd i 'Wordpress' startet av Bjørn, 3 Jul 2013.

  1. Bjørn

    Bjørn Domenespekulant

    Innlegg:
    1.636
    Hva slags tiltak har du gjort for å unngå hacking av WordPress blogg/sidene deres? Det er utrolig mye hacking av wp om dagen virker det som. Har oppdatert til siste versjon av wp, samt endret passordene til lange passord, samt endret bruker fra "admin" til noe annet. Bortsett fra backup av databasen, er det annet man bør gjøre?
     
  2. Ludo Medlem

    Innlegg:
    65
    Vel, hvis du vil være heelt sikker, kan du sperre tilgang til .../wp-admin for alle andre IP-adresser enn dine egne utvalgte gjennom .htaccess-filen. Det fungerer veldig bra; folk som ikke har godkjent IP-adresse greier ikke å åpne login-siden en gang.

    Instruks fra min webhost:

    You can use your site's .htaccess file to only allow requests from your computer's local IP address.

    *!* If you have either a dynamic IP address, or you access WordPress from multiple devices, each IP address that you access WordPress with would also need to be allowed in your .htaccess file. *!*

    In order to find out your local computer's IP address, you can simply visit the following URL: http://icanhazip.com

    After you have your local IP address, you can follow these steps in order to lock down your WordPress site to only permit logins from your IP address:

    1. Login to cPanel.
    2. Under the Files section, click on the File Manager icon.
    3. From the Document Root for: drop-down, select your WordPress site.
    4. Make sure that Show Hidden Files is checked.
    5. Click Go.
    6. Right-click on your .htaccess file, then click on Edit.
    7. You may have a dialog pop-up from the text editor, go ahead and click Edit.
    8. Now you can just paste in the following code, being sure to replace the x.x.x.x IP address with your own:

    <Files ~ "^wp-login.php">
    Order deny,allow
    Deny from all

    Allow from x.x.x.x
    </Files>
     
  3. Bjørn

    Bjørn Domenespekulant

    Innlegg:
    1.636
    Er det KUN via wp-admin sidene kan hackes, hvis man har oppdatert versjon av WP, eller kan noen komme inn og ødelegge noe uansett?
     
  4. Ludo Medlem

    Innlegg:
    65
    Jeg tør ikke svare på det, men min webhost fokuserer på såkalte "brute force attacks" som har eksplodert de siste månedene, og disse angrepene skjer via login-siden i wordpress.

    (Men det er vel alltids tenkelig at man kan bli infisert av å laste opp dårlig programvare via f eks en plugin også?)
     
  5. Bjørnar

    Bjørnar Gründer

    Innlegg:
    1.883
    Det kan også skapes trøbbel gjennom backdoors og dårlig sikkerhet i temaer. Så wp-admin er ikke den eneste veien, nei.
     
  6. Travellingman

    Travellingman Nettgrunder

    Innlegg:
    2.109
    Her er et tiltak jeg har innført på mine sider http://wordpress.org/plugins/limit-login-attempts/
     
  7. Pong

    Pong Jeg selger sʇɥƃıluʍop :)

    Innlegg:
    3.456
    timthumbs har vært en kjent problemsak.
     
  8. TorsteinO

    TorsteinO Art Director & grunder

    Innlegg:
    4.642
    Det med timthumbs var jo en ganske gammel versjon, det er vel ca et år siden de problemene der, så de fleste anstendige themes og plugins vil nok være oppdaterte nå, men det kan være lurt å sjekke om f.ex. themes eller plugins man bruker, bruker timthumb, og sjekke om de har blitt oppdatert. Det greieste er vel bare å laste ned alle filene og søke gjennom dem etter timthumb.php, og evt når timthumb-versjonen ble oppdatert.

    et par andre helt basic ting:

    1: endre prefix for wp i databasen: Som standard er jo dette bare "wp_" - endrer du det til f.ex. felfefefelfjeoifueoujfokdjfnvkldjnwp1_ så er det et ekstra lite lag med sikkerhet der...

    2: ikke ha noen bruker med "admin" som brukernavn... det pågår et ganske masete bruteforce-angrep mot min egen side for tida, men de prøver stort sett bare med "admin" som brukernavn, og vel, den brukeren finnes ikke...

    3: limit login attempts - dette sakker ihvertfall ned prosessen noe for bruteforcere

    4: flytt wp-config.php - hos de fleste webhotell har du tilgang til hjemmemappa di ett hakk over webroten, altså at du har en mappe helt "på topp" der du f.ex. har en mappe som heter "www" eller "http" eller noe liknende, der du legger alt som skal på nettet, osv. Hvis du bare har en wordpressinstallasjon på webhotellet ditt, og du har wordpress i den mappa som heter "www" eller noe sånt, altså i webroten, så er dette veldig enkelt - bare flytt wp-config.php opp et hakk, altså så det ser ca slik ut:
    [​IMG]

    også har du altså alle de andre wordpressfilene i www (eller http_docs eller hva den nå heter hos deg), ca slik:

    [​IMG]
     
  9. Steve Cash

    Steve Cash Medlem

    Innlegg:
    1.735
    Jeg installerte Better WP Security på en side i vår, da det veldig mye oppmerkomhet rundt hacking av Wordpress-sider, uten at jeg har noen bakgrunn for å si hvor bra det er. Er det noen som har erfaring med denne plugin-en?
     
  10. Bjørn

    Bjørn Domenespekulant

    Innlegg:
    1.636
    tusen takk for mange gode tips!!
     
  11. TorsteinO

    TorsteinO Art Director & grunder

    Innlegg:
    4.642
    aaahh... nå ga det ene bruteforceforsøket seg endelig :D har vel fått en 50-60 mail om blokka ip'er i kveld...
     
  12. Bjørn

    Bjørn Domenespekulant

    Innlegg:
    1.636
    Noen som vet om Joomla er like utsatt for slike angrep som WP?
     
  13. Steve Cash

    Steve Cash Medlem

    Innlegg:
    1.735
    Jeg fikk en e-post fra Uniweb 24. juni det det står at det har vært en kraftig økning av inntrengningsforsøk mot både Wordpress- og Joomlainstallasjoner i det siste.
     
  14. Ole Avranden utvandret

    Innlegg:
    925
    Det er nok ikke mulig å være kategorisk når det gjelder om Joomla eller Wordpress er mest utsatt. For tiden er det Wordpress som er mest utsatt, men det er ikke lenge siden det var Joomla-installasjoner som fikk gjennomgå pga en svakhet i en versjon.

    Oppdages det en svakhet i det ene eller det andre, så skiftes fokus fort.

    Det mest generelle man vel kan si er at pga antallet Wordpress-installasjoner, er det nok mer "lukrativt" å finne måter å utnytte nettsteder som benytter Wordpress.
     
    Sist redigert: 4 Jul 2013
  15. spikre

    spikre peterhamre.no

    Innlegg:
    1.308
    Gjelder ikke spesielt wordpress:
    - Gi et custom navn på admin-mappen
    - Krev et bestemt parameter, ellers blokker IP-en. F.eks. www.domene.no/regjeringen/wp-login.php?sss=jegsnakkersant

    Jeg flytter ofte admin til en annen server, men deler mysql-databasen. Fungerer fint, og langt sikrere. Det er heller ikke vanskelig å administrere, da men via FTP som regel jobber enten i backend eller frontend.
     

Del denne siden