Hvordan sikre WordPress

WOW! Hva du kan! Takk for utfyllende og godt svar om sikring av websider

Fikk nettopp Gmail kontoen min hacket. Veldig kjedelig! Heldigvis var Google kjapp å gi meg kontoen tilbake.

Dette var jo fornuftig Trenger nok å bli litt mer bevisst selv.

Kan jo også få lagt til at kun en ip adresse eller en ip mask får tilgang til admin i wordpress. Hvis en ikke har dynamisk ip adresse gir jo det et ekstra lag sikkerhet.

Wow. Dette har jeg faktisk tenkt lite på til tross for at jeg har over 20 wordpress blogger gående der ute. Mange med lite ettersyn…

Hmmhm, jeg burde gjerne gitt dem strengere beskjed ang. mini-skjørt og utringninger:..;p

Hvor er samvirkelaget kjeledressen når man trenger den…

Kan anbefale denne http://www.webdesigncompany.net/automatic-wordpress-backup/ Tar backup av alt automatisk med en amazon S3-konto (koster kun cents i måneden, his du ikke har enormt med bilder/film da)

Dette var svært nyttig lesning. Tiltak herved iverksatt. Venter med backup rutine til du skriver den artikkelen, så langt støtter jeg meg på at host’en tar backup hver natt.

Fikk faktisk nettopp et script på en av mine servere hacket. Er jo noe svineri å finne ut av det også. En venn av meg tipset meg om at det ble lastet ned virus. Så ikke det selv, måtte slette cookies og se på siden gjennom en proxy tjeneste før jeg så det. Så pass på sikkerhetshullene.

Dette kommer godt med, har en del blogger på engelsk, skal ta en skikkelig runde og kle de opp i grilldress alle sammen

jeg får daglig MASSE spamkommentarer på bloggen min. tror du den da er angrepet av virus pga dette eller??? :s

Hei Christine. Den er nok ikke angrepet av virus. Spam-kommentarer er dessverre vanlig å få etter at bloggen har eksistert en stund. Du kan prøve denne pluginen:

Bad Behavior: http://wordpress.org/extend/plugins/bad-behavior/

Den har hjulpet meg og mange andre jeg har anbefalt den til. Du trenger bare å installere og aktivere den, så skal du forhåpentligvis se en merkbar nedgang i spam.

Hvis dette ikke hjelper, eller hvis du vil gå enda lenger til verks, kan du fjerne muligheten for å kommentere individuelle innlegg. Dette kan være nyttig hvis det er noen innlegg som blir spesielt utsatt for spam (og Bad Behavior-pluginen ikke hjelper). Slik gjør du:

1. Logg inn på Kontrollpanelet og trykk på «Innlegg»
2. Finn frem innlegget det gjelder og trykk på «Rediger»
3. Når du er inne på innlegget går du ned til en fane hvor det står «Diskusjon»
4. Der det står «Tillat kommentarer» fjerner du avkryssingen
5. Trykk på «Oppdater»-knappen
6. Gjenta denne prosessen for alle innlegg du vil fjerne kommentarene for

Jeg vet at dette ikke er en ideell løsning, men hvis det gjelder gamle innlegg som uansett ikke får så mange (om noen) kommentarer, er det ingen grunn til å la kommentarfeltet stå åpent bare for å tillate de pain-in-the-ass-spam-kommentarene.

Hei,

Når jeg sikrer mine WordPress blogger, personlige eller andres, så er det bare noen få ting jeg faktisk velger å gjøre før jeg ser på bloggen som relativt sikker.

Nyere versjon av WordPress (3.0 tror jeg) så vil du som standard få lov til å velge et nytt admin navn ved installasjon av WordPress, men det kan løses også ved å gjøre som Sindre har beskrevet, laste ned en plugin eller redigere i databasen (bruk google).

Før jeg går videre, så regner jeg med at passordet er av topp kvalitet, består av minst 8 tegn, blandet mellom store og små bokstaver, tall og spesialtegn – ellers er det lett å gjette seg frem til passordet (bruteforce).

Det viktigste med hele bloggen er å beskytte en fil, nemlig wp-config.php som du finner i rot-installasjonen til WordPress. Denne inneholder kritisk informasjon som navnet og passordet til databasen din (alle poster, kommentarer, kategorier, tags, innstillinger osv).

Ettersom jeg har tilgang til webhosten til de fleste blogger jeg jobber med, så er det enkelt for meg å beskytte denne – det er bare å flytte den opp et hakk i strukturen, for eksempel fra /domene/public_html/wp-config.php til /domene/wp-config.php.

Nå er filen på en plassering hvor ingen andre enn de med tilgang til din webhost kan lese den, men WordPress kan fortsatt nå den uten problemer.

Jeg bruker disse innstikkene (høres så dumt ut, heter egentlig plugins) for å holde orden på saker og ting:

- Login Lockdown, hindrer at personer eller roboter kan gjette seg frem til passordet ditt (bruteforce) (http://wordpress.org/extend/plugins/login-lockdown/)

- Chap Secure Login, krypterer informasjonen du sender over Internett når du logger deg inn (http://wordpress.org/extend/plugins/chap-secure-login/)

- WP-DB-Backup, automatisk backup av databasen (poster osv) og sender til en e-post adresse eller laster opp på valgt plassering. (http://wordpress.org/extend/plugins/wp-db-backup/)

Dersom du bruker et tema som du har tilfeldig funnet, bør du sjekke footer.php for eval base64 kode (pluss masse tall og tegn), da dette er kryptert PHP-koder som kan inneholde slemme saker (må ikke være det da, men jeg er alltid skeptisk til slike).

En annen ting du bør sjekke er din searchform.php for følgende linje:

-

… og erstatte den med følgende linje:

/

Og dermed kan ingen søke på selve serveren din, altså webhosten din. En annen ting du bør gjøre er å åpne din search.php fil for å lime inn følgende kode, helt på toppen av alt annet – den beskytter deg mot at folk kan kjøre XSS (cross-site scripting), altså slemme saker generelt (google det om du er nyskjerrig).

foreach ($_GET as $check_url) {
if ((eregi("]*script*\»?[^>]*>», $check_url)) || (eregi(«]*object*\”?[^>]*>», $check_url)) ||
(eregi(«]*iframe*\»?[^>]*>», $check_url)) || (eregi(«]*applet*\»?[^>]*>», $check_url)) ||
(eregi(«]*meta*\»?[^>]*>», $check_url)) || (eregi(«]*style*\»?[^>]*>», $check_url)) ||
(eregi(«]*form*\»?[^>]*>», $check_url)) || (eregi(«\([^>]*\»?[^)]*\)», $check_url)) ||
(eregi(«\»», $check_url))) {
echo»How many hackers does it take to screw in a light bulb? Zero. Nobody knew they were there.»;
die ();

}
}
unset($check_url);
?>

Den siste echo-et er teksten som vil bli printet dersom noen prøver seg, og i dette tilfellet en vits (kan byttes ut selvfølgelig).

Håper ikke PHP-koden tuster opp kommentar feltet, eller den jævli lange kommentaren fra meg.

Ha det gøy.

En kommentar til det å gjemme WordPress versjonen, det er ikke nødvendig, egentlig bare tull – men det forutsetter at du faktisk gidder å oppdatere selve WordPress!

Grunnen til at noen sier man skal gjemme versjonen for din installsjon er for at hackere ikke skal kunne se hvilkene angrep som faktisk vil fungere til din blogg, men dersom du har nyeste versjon skal alt dette være fikset.

…og da er det altså en fordel likevel, for de som ikke har nyeste versjon!

Ellers tusen takk for lang og innsiktsfull kommentar. Her lærte jeg noe nytt også. Det du sier om å flytte wp-config-filen et hakk opp i strukturen visste jeg ikke. Og alt fungerer fortsatt som det skal selv om du gjør det? Hvis dette er sikrere, hvorfor er det ikke mer kjent/noe WordPress anbefaler å gjøre under installasjonsprosessen?

De som ikke oppgraderer til en nyere WordPress versjon som tar, tjaaa, 10 sekunder, men velger å gå gjennom hele prosedyren for å gjemme den aktuelle versjonen kan bare ha det så «bra»

Ja, det er fullt mulig å flytte wp-config.php opp et hakk i strukturen, til et område som ikke er lesbart for andre en selve webhosten – selvsagt uten problemer. WordPress finner den med engang, men hvorfor dette ikke er standard kan jeg ikke si noe på.

Det er jo på samme måte sikkert som om du beskytter den med en .htaccess fil i rot-mappa til WordPress, men ved å bare flytte den så behøver du ikke å gjøre noe annet enn å, ja, flytte den.

La foresten merke til i PHP-koden jeg skrev over, så er disse «gåseøynene» i et annet format, altså “ og ikke » – disse må byttes ut med «.

To du an’?

Ha ha, nå la jeg merke til at kommentarene får automatisk de «gåseøynene» som er feil – du må bruke de som er på SHIFT + 2.

Dette er gode oppgraderinger til å begynne med, men man bør kanskje sikre login-siden litt bedre, samt sikre .htaccess og wp-config.php. For ikke å nevne file permissions på diverse filer man skulle ha liggende som writeable via ftp. Det er mye å ta tak i her. =)

Godt nytt år!

Sindre,

Dette innlegget med påfølgende kommentarer ble veldig nyttig og verdifult.
Godt beskrevet og helt i detalj slik at «alle er med».
Angående punkt 1 og backup blir det tipset om en WP-plugin man kan bruke for å kjøre en backup, men denne skal bare sikre dine innlegg og kommentarer.

Du skriver: «NB: Denne pluginen tar kun backup av databasen din. Du beholder innlegg og kommentarer, men themes og plugins kan likevel gå tapt. Jeg skal snart skrive om en metode som gir full og sikker backup, samt enkel gjenopprettelse av hele bloggen, inkl. themes og plugins. Følg med!

Hvordan kjører dere andre en fullstendig backup? Har dere funnet en WP plugin som gjør hele jobben? Eller har dere andre metoder – en enkel, men sikker metode som er grei å følge?

[...] Etter å ha lest et innlegg på www.Glabladet.no så søkte jeg rundt på wordpress.org etter innstikk for å ta backup av min side. [...]

Et godt innstikk for å ta backup av wordpress blogger er EZPZ One Click Backup. Da tar du backup av hele webserveren og databasen. Backupen blir lagret på webserveren, men med et enkelt klikk kan du laste ned backupen til din harddisk.