Hva gjør dere for å unngå WP-hacking

Bjørn

Domenespekulant
Hva slags tiltak har du gjort for å unngå hacking av WordPress blogg/sidene deres? Det er utrolig mye hacking av wp om dagen virker det som. Har oppdatert til siste versjon av wp, samt endret passordene til lange passord, samt endret bruker fra "admin" til noe annet. Bortsett fra backup av databasen, er det annet man bør gjøre?
 

Ludo

Medlem
Hva slags tiltak har du gjort for å unngå hacking av WordPress blogg/sidene deres? Det er utrolig mye hacking av wp om dagen virker det som. Har oppdatert til siste versjon av wp, samt endret passordene til lange passord, samt endret bruker fra "admin" til noe annet. Bortsett fra backup av databasen, er det annet man bør gjøre?

Vel, hvis du vil være heelt sikker, kan du sperre tilgang til .../wp-admin for alle andre IP-adresser enn dine egne utvalgte gjennom .htaccess-filen. Det fungerer veldig bra; folk som ikke har godkjent IP-adresse greier ikke å åpne login-siden en gang.

Instruks fra min webhost:

You can use your site's .htaccess file to only allow requests from your computer's local IP address.

*!* If you have either a dynamic IP address, or you access WordPress from multiple devices, each IP address that you access WordPress with would also need to be allowed in your .htaccess file. *!*

In order to find out your local computer's IP address, you can simply visit the following URL: http://icanhazip.com

After you have your local IP address, you can follow these steps in order to lock down your WordPress site to only permit logins from your IP address:

1. Login to cPanel.
2. Under the Files section, click on the File Manager icon.
3. From the Document Root for: drop-down, select your WordPress site.
4. Make sure that Show Hidden Files is checked.
5. Click Go.
6. Right-click on your .htaccess file, then click on Edit.
7. You may have a dialog pop-up from the text editor, go ahead and click Edit.
8. Now you can just paste in the following code, being sure to replace the x.x.x.x IP address with your own:

<Files ~ "^wp-login.php">
Order deny,allow
Deny from all

Allow from x.x.x.x
</Files>
 

Bjørn

Domenespekulant
Er det KUN via wp-admin sidene kan hackes, hvis man har oppdatert versjon av WP, eller kan noen komme inn og ødelegge noe uansett?
 

Ludo

Medlem
Jeg tør ikke svare på det, men min webhost fokuserer på såkalte "brute force attacks" som har eksplodert de siste månedene, og disse angrepene skjer via login-siden i wordpress.

(Men det er vel alltids tenkelig at man kan bli infisert av å laste opp dårlig programvare via f eks en plugin også?)
 

Bjørnar

Gründer
Det kan også skapes trøbbel gjennom backdoors og dårlig sikkerhet i temaer. Så wp-admin er ikke den eneste veien, nei.
 

Travellingman

Nettgrunder
Hva slags tiltak har du gjort for å unngå hacking av WordPress blogg/sidene deres? Det er utrolig mye hacking av wp om dagen virker det som. Har oppdatert til siste versjon av wp, samt endret passordene til lange passord, samt endret bruker fra "admin" til noe annet. Bortsett fra backup av databasen, er det annet man bør gjøre?

Her er et tiltak jeg har innført på mine sider http://wordpress.org/plugins/limit-login-attempts/
 

TorsteinO

Art Director & grunder
Det med timthumbs var jo en ganske gammel versjon, det er vel ca et år siden de problemene der, så de fleste anstendige themes og plugins vil nok være oppdaterte nå, men det kan være lurt å sjekke om f.ex. themes eller plugins man bruker, bruker timthumb, og sjekke om de har blitt oppdatert. Det greieste er vel bare å laste ned alle filene og søke gjennom dem etter timthumb.php, og evt når timthumb-versjonen ble oppdatert.

et par andre helt basic ting:

1: endre prefix for wp i databasen: Som standard er jo dette bare "wp_" - endrer du det til f.ex. felfefefelfjeoifueoujfokdjfnvkldjnwp1_ så er det et ekstra lite lag med sikkerhet der...

2: ikke ha noen bruker med "admin" som brukernavn... det pågår et ganske masete bruteforce-angrep mot min egen side for tida, men de prøver stort sett bare med "admin" som brukernavn, og vel, den brukeren finnes ikke...

3: limit login attempts - dette sakker ihvertfall ned prosessen noe for bruteforcere

4: flytt wp-config.php - hos de fleste webhotell har du tilgang til hjemmemappa di ett hakk over webroten, altså at du har en mappe helt "på topp" der du f.ex. har en mappe som heter "www" eller "http" eller noe liknende, der du legger alt som skal på nettet, osv. Hvis du bare har en wordpressinstallasjon på webhotellet ditt, og du har wordpress i den mappa som heter "www" eller noe sånt, altså i webroten, så er dette veldig enkelt - bare flytt wp-config.php opp et hakk, altså så det ser ca slik ut:
Skjermbilde%202013-06-20%20kl.%2013.05.34.png


også har du altså alle de andre wordpressfilene i www (eller http_docs eller hva den nå heter hos deg), ca slik:

Skjermbilde%202013-06-20%20kl.%2013.07.17.png
 

Steve Cash

Medlem
Jeg installerte Better WP Security på en side i vår, da det veldig mye oppmerkomhet rundt hacking av Wordpress-sider, uten at jeg har noen bakgrunn for å si hvor bra det er. Er det noen som har erfaring med denne plugin-en?
 

Steve Cash

Medlem
Jeg fikk en e-post fra Uniweb 24. juni det det står at det har vært en kraftig økning av inntrengningsforsøk mot både Wordpress- og Joomlainstallasjoner i det siste.
 

Ole Avranden

utvandret
Det er nok ikke mulig å være kategorisk når det gjelder om Joomla eller Wordpress er mest utsatt. For tiden er det Wordpress som er mest utsatt, men det er ikke lenge siden det var Joomla-installasjoner som fikk gjennomgå pga en svakhet i en versjon.

Oppdages det en svakhet i det ene eller det andre, så skiftes fokus fort.

Det mest generelle man vel kan si er at pga antallet Wordpress-installasjoner, er det nok mer "lukrativt" å finne måter å utnytte nettsteder som benytter Wordpress.
 
Sist redigert:

spikre

peterhamre.no
Gjelder ikke spesielt wordpress:
- Gi et custom navn på admin-mappen
- Krev et bestemt parameter, ellers blokker IP-en. F.eks. www.domene.no/regjeringen/wp-login.php?sss=jegsnakkersant

Jeg flytter ofte admin til en annen server, men deler mysql-databasen. Fungerer fint, og langt sikrere. Det er heller ikke vanskelig å administrere, da men via FTP som regel jobber enten i backend eller frontend.
 
Topp