Hva gjør dere for å unngå WP-hacking

En tråd i 'Wordpress' startet av Bjørn, 3 Jul 2013.

  1. Dan Åsen Hansen

    Dan Åsen Hansen Medlem

    Innlegg:
    916
    Har i perioder hundrevis av forsøk om dagen. Hva er det egentlig de ønsker å oppnå med dette? Hva skjer hvis de først kommer inn?

    Mvh Dan
     
  2. Steve Cash

    Steve Cash Medlem

    Innlegg:
    1.738
    Det er vel (minst) fire hensikter som går igjen ved inntrengning, så vidt jeg vet:
    1. Stjele eventuelle personopplysninger som måtte være registrert og misbruke disse.
    2. Legge inn ondsinnet kode som angriper den som besøker sida, en bekjent av meg opplevede det her om dagen ved besøk på en helt vanlig firmaside.
    3. Skaffe seg kred blant hackere ved å vise at en har klart det.
    4. Angrep fordi inntrengerne misliker budskapet til sida. Da endrer en vel gjerne teksten på siden til sitt eget budskap. Men ettersom dette er angrep mot veldig mange sider, gjetter jeg på en av de tre første.
     
  3. Steve Cash

    Steve Cash Medlem

    Innlegg:
    1.738
    Spørsmål: Hvordan ser du at det har vært mislykkede forsøk på inntrengning? Jeg fikk svar i går kveld på hvordan jeg kan sjekke om siden min er infisert, og det var svært nyttig informasjon, men om noen har prøvd uten å komme inn ser jeg ikke ved å scanne koden.
     
  4. zapotek

    zapotek Medlem

    Innlegg:
    3.689
    Du kan få dette pluginet til å sende deg en mail for hvert mislykkede forsøk: WordPress › Limit Login Attempts « WordPress Plugins

    OBS! Det er tydelig at disse scriptkidsa har sommerferie nå, så antallet forsøk er latterlig høyt for tiden. Så med mindre du ønsker MYE epost, bør du sende disse mailene til en "uviktig" epostadresse.
     
  5. zapotek

    zapotek Medlem

    Innlegg:
    3.689
    5. Legge inn lenker.
     
    Steve Cash liker dette.
  6. Dan Åsen Hansen

    Dan Åsen Hansen Medlem

    Innlegg:
    916
    Bruker Limit Login Attempts og følger med på hvilke sider folk prøver å logge inn på. Hos meg er det ikke så mange valgene, så det er fortrinnsvis oversiktlig ...
     
    Steve Cash liker dette.
  7. Steve Cash

    Steve Cash Medlem

    Innlegg:
    1.738
    Takk for informasjon, Zapotek og Dan. Jeg skal prøve den der.
     
  8. Tonny Kluften

    Tonny Kluften Administrator

    Innlegg:
    15.956
    Ja, det er nok hovedgrunnen. De legger inn lenker både til egne sider og til sider de ønsker å skade rankingen til.
     
  9. Steve Cash

    Steve Cash Medlem

    Innlegg:
    1.738
    Jeg ser at Limit Login Attempts er kompatibel med WordPress opp til 3.3.2. Er det lurt å bruke den på 3.5.2?
    Jeg har Better WP Security på en testside, det står at den er kompatibel opp til versjon 3.6 av Wordpress. Kanskje det er et bedre alternativ? Jeg er likevel litt tilbakeholden med å installere den på en side som er i produksjon, ettersom den inneholder veldig mange funksjoner, og det ser ut til at den graver dypt i Wordpress. Jeg forstår rett og slett ikke konsekvensen av alle valgene jeg må ta under installasjon. Er det noen som har erfaring med den?
     
    Sist redigert: 5 Jul 2013
  10. Dan Åsen Hansen

    Dan Åsen Hansen Medlem

    Innlegg:
    916
    Jeg installerte dette på en testside en gang, og ba den kjøre på med full automatikk, med den følge at jeg ikke kunne logge inn etterpå, og alt som ble vist på web var en blank side(!). Fant ingen umiddelbar løsning på fenomenet, og endte opp med å måtte reinstallere hele greia ...
     
  11. Steve Cash

    Steve Cash Medlem

    Innlegg:
    1.738
    Det er nettopp noe slik jeg ikke vil oppleve, selv om jeg akkurat nå har lagret en sikkerhetskopi av sida lokalt.
     
  12. Bjørn

    Bjørn Domenespekulant

    Innlegg:
    1.635
    En ting jeg lurer på: ønsker å endre brukeren fra "admin" til "noe annet". Som "admin" har jeg nå 15 artikler. Jeg lager en ny admin-bruker med annet navn enn "admin". Blir det feil å slette gammel "admin", dvs. vil de 15 artiklene forsvinne? Eller vil ny admin "overta" disse automatisk? Lønner det seg bare å endre rolle for gammel "admin", til f.eks. redaktør, istedenfor slette brukeren? Når jeg prøver å endre rollen, får jeg bare feilmeldingen: "Gjeldende bruker må ha en rolle med mulighet for redigering av brukere".
    "Andre brukeres roller er byttet". Er det ikke mulig å endret dette pga. sikkerheten? Ønsker ikke å ha "admin" som bruker på WP.
     
  13. Dan Åsen Hansen

    Dan Åsen Hansen Medlem

    Innlegg:
    916
    Sletter du admin, vil du bli spurt om artiklene skal slettes, eller overtas av noen andre :)

    Jeg tror ikke du kan endre navn på admin, men det er jeg ikke helt sikker på ...

    Mvh Dan
     
  14. Bjørn

    Bjørn Domenespekulant

    Innlegg:
    1.635
    Ønsker ikke endre navnet "admin", men redusere brukerrettighetene for "admin", sånn at hvis en hacker (som nesten alltid prøver seg på "admin" som brukernavn), ikke får fulle rettigheter ved evt. vellykket hackerangrep. Eller bør "admin" slettes helt uansett?!
     
  15. TorsteinO

    TorsteinO Art Director & grunder

    Innlegg:
    4.642
    Det lureste er å enten fjerne brukeren som heter admin helt, eller å endre brukernavnet (krever enten bruk av en plugin, eller å gå inn i databasen) til noe annet.

    MEN - jeg lurer på om det var dette som skapte problemer når Better WP security gjorde det for meg en gang, at jeg fikk enten blank hvit skjerm eller beskjed om at jeg ikke hadde de nødvendige rettighetene. Husker jeg måtte inn i phpmyadmin for å fikse det igjen, så det er lurt å ta en backup av databasen før man gjør sånt.

    Det har vært noen svakheter tidligere der brukere uten admin-rettigheter kunne klare å skaffe seg disse, og man skal vel aldri si aldri på at sånt kan skje/oppdages igjen, dermed er det helt klart et potensielt problem dersom en med onde hensikter klarer å skaffe seg tilgang til en konto, samme hva slags rettigheter kontoen har. Å sette rollen til redaktør vil selv uten videre hacking være et problem hvis noen får tilgang til den, siden redaktøren kan endre alt av tekster og sånt.
     

Del denne siden