RSS
Indstillinger i Secure WordPress
Mange blogejere bemærker irriterende ting eller det, der er værre. For nogle uger siden opdagede jeg f.eks. en række links på et indlæg på en blog. Det viste sig ved nærmere inspektion, at en hacker havde været på besøg og lagt kode ind i en række indlæg. Tilsyneladende ikke specielt alvorligt. Det drejede sig om reklamelinks for diverse medicin. Men det kunne jo være noget andet og værre.
Server-administratoren fandt ud af, at hackeren var kommet ind via en konto som abonnent, og derefter havde han udnyttet en brist i tema-editoren. Den kan man jo spærre adgangen til, eftersom de fleste sikkert ikke bruger den. Kan det lade sig gøre, må det anbefales at fjerne rettighederne til at køre theme-editor.php i wp-admin-mappen.
Heldigvis er der ting, man kan gøre. Man kan f.eks. installere pluginnet Secure WordPress. Du kan se indstillingerne her ved siden af (klik på billedet, hvis du vil se en større udgave).
Security Evangelists @ BlogSecurity.net
Som det fremgår af det sidste punkt i første sektion, kan man scanne sin WordPress-installation via en scanner på bloggen BlogSecurity. Du kan læse mere i deres WordPress Scanner FAQ.
Nå, men du kan jo selv tjekke, om der er noget at gå efter på din egen blog (eller egne blogge). Du kan en oversigt over de ni bedste sikkerhedsplugins her: 9 Best WordPress Security Plugins
Du kan læse mere hos Frank Bültge: Plugin Homepage. Pluginnet hentes på WordPress.org
Sprogfilerne kan hentes her på bloggen: Secure WordPress (169) eller på Søg efter downloads-siden
Udskriv dette indlæg
Email dette indlæg
Tilføj en kommentar
Der er alt for få der tænker over sikkerheden i deres Wordpress, og jeg har efterhånden hjulpet en del tilbage på fode efter et hacker-angreb. Nogle gange skal der desværre en helt ny installation til, og samtidig er det meget få som reelt tager backup – og så er det ærgeligt.
Jeg har tidligere skrevet om sikkerhed i Wordpress, nogle tiltag man bør gøre ved installation, og som også kan gøres efterfølgende. Alting behøves jo ikke at blive fixet vha af plugins
http://wpdk.dk/hacks/sikkerhed-wordpress.html
Tusind tak for din kommentar. Dit indlæg har jeg for øvrigt læst og kan anbefale.
Jeg er helt enig i, at ikke alt behøver at blive fixet med plugins. Ideelt set bør plugins bruges, hvis man skal udvide WordPress med funktionalitet, som ikke de fleste brugere vil have brug for eller bør bruge.
Resten skal WordPress tage sig af. Selv om WordPress gør en del for sikkerheden, kunne de nok gøre mere. Problemet med theme-editor er f.eks. velkendt.
Som jeg ser det, er det også et problem, at man kan vælge mellem at opdatere til en ny funktion eller leve med sikkerhedsrisici. Det er et problem, fordi der kommer nye WordPress-udgaver så at sige hele tiden. Hver gang kan der vlre noget, som kan påvirke ens tema eller de plugins, man bruger. Jeg ville foretrække, at man kunne reparere sikkerhedshuller uden at skulle skifte version. Men sådan er det ikke for nuværende.
Men det er en god artikel, du har skrevet. Den burde alle lige smutte hen og læse! Så kan I lige kigge på Brians øvrige tilbud
PS: Nu er fokus her på bloggen jo oversættelser af temaer og plugins. Det betyder jo ikke, at alt skal løses med plugins, men vil man bruge et plugin, så kan man hente en oversættelse til nogle af dem her.
Update: Jeg synes f.eks., det er beklageligt, at problemet med theme-editor har været kendt i flere uger, uden at der er blevet gjort noget ved det.
Her vil jeg gerne slået slag for de sikkerhedstiltag, som kom i WordPress 2.6 og 2.7. Der kom fire forskellige sikkerhedsnøgler, som man med fordel kan tilføje til sin wp-config.php. Brian nævner dem også kort i sin atikel.
Du kan autogenerere nogle til din wp-config.php her.
Det og meget mere var implementeret, men hackeren kom ind alligevel! Det er trælst, men man kan altså godt få hackere på besøg, selv om man gør meget.