Holen Sie sich mit WebsiteDefender ein Makeover für Ihre WordPress-Site

Mit der wachsenden Popularität von WordPress waren Sicherheitsprobleme noch nie relevanter - aber wie können ein Anfänger oder ein durchschnittlicher Benutzer nicht nur auf dem neuesten Stand bleiben, sondern auch den Überblick behalten? Wussten Sie überhaupt, ob Ihr Blog gehackt wurde? Ein hilfreicher neuer Service von WebsiteDefender soll dieses Problem lösen.

Ist es die Mühe wert? Ich meine, es würde mir nie passieren, würde es? Nun, in timthumb.php wurde kürzlich eine Sicherheitslücke entdeckt, ein Hilfsprogramm für die Erstellung von Miniaturansichten, das in einem beträchtlich großen Prozentsatz alter Designs und Plugins verwendet wird (bevor WordPress die Miniaturansicht und das eingebaute Bild in das Kernsystem integriert hat). Angesichts der Tatsache, dass diese Datei mit automatisierten Scannern erkannt werden kann, besteht die Gefahr, dass Ihr Blog gehackt wird. Neue Malware-Highlights Wichtigkeit der Aktualisierung und Sicherung Ihres WordPress-Blogs Neue Malware-Highlights Wichtigkeit der Aktualisierung und Sicherung Ihres WordPress-Blogs Wenn eine Malware-Infektion so verheerend ist wie die neu entdeckten SoakSoak.ru kommt, es ist äußerst wichtig, dass Besitzer von WordPress-Blogs handeln. Schnell. Lesen Sie mehr über die kommenden Monate ist ziemlich hoch - und Sie werden nicht einmal wissen, ob es gewesen ist. Ich habe es in der letzten Woche schon ein paar Mal gesehen, und jetzt haben sie es mit dem Fall-Out zu tun.

Woher wissen Sie, ob Ihre Website gehackt wurde??

Normalerweise nicht. Der häufigste Hack, den ich gesehen habe, ist, dass die normale Site und die Admin-Panels normal funktionieren. Besucher von Google werden jedoch gekapert und an eine Site in Russland gesendet. Da es unwahrscheinlich ist, dass Sie Ihre eigene Website bei Google veröffentlichen, bleibt der Hack unentdeckt, bis entweder Ihre Nutzer Ihnen ein Feedback geben, Ihre Website-Hosts Sie als Bedrohung ausschalten oder Sie die gefürchtete Warnung von Google erhalten, dass Ihre Website jetzt angezeigt wird Malware wird offiziell gehostet. Tschüss Verkehr!

Der Hacker installiert in der Regel auch ein komplettes GUI-Backend auf Ihrem Server, sodass jeder, der über die URL verfügt, Zugriff auf alle Ihre Dateien hat und frei nach Belieben arbeiten kann. Es ist ziemlich gruselig und aufgrund der Art und Weise, wie sie Kerndateien anpassen können, ist die Wiederherstellung nach einem solchen Angriff sehr arbeitsaufwendig und sicherlich kann ein normaler Benutzer dies nicht tun.

Also… wie kann ich mein Blog schützen??

Glücklicherweise kann dieser kostenlose WebsiteDefender-Service Ihre Website scannen. Gehen Sie dort hin, um sich anzumelden. Dieser Service ist jedoch nur für WordPress-Blogger verfügbar, die selbst gehostete Hosting der verschiedenen Arten von Website-Hosting ausführen [erläuterte Technologie] Die verschiedenen Formen von Website-Hosting wurden erläutert [erläuterte Technologie] Lesen Sie mehr. Wenn Sie WordPress.com, Blogger.com oder ein ähnliches, kostenloses, gehostetes Blog verwenden, können Sie es nicht verwenden. Kostenlose Hosting-Pläne funktionieren auch nicht. Sie müssen in der Lage sein, eine Überprüfungsdatei auf Ihren Server hochzuladen, bevor der Scanvorgang beginnt. Kostenlose Konten sind auf eine Website beschränkt.

Registrierung und Überprüfung

Sobald Sie Ihre bei der Registrierung eingegebene E-Mail-Adresse bestätigt haben, werden Sie zu einer Seite weitergeleitet, auf der Sie eine kleine Bestätigungsdatei herunterladen können. Dies muss in das Stammverzeichnis Ihrer Website hochgeladen werden. Wenn Sie das getan haben, gehen Sie zurück zur Website und klicken Sie auf die Schaltfläche TEST.

Wenn Sie eine Fehlermeldung erhalten, die der von mir erhaltenen ähnelt, laden Sie die ZIP-Datei einfach wie angewiesen herunter und laden Sie dann auch die Comp Verzeichnis zum Stammverzeichnis Ihrer Site.

Vermutlich sind einige zusätzliche PHP-Bibliotheken erforderlich, um den Scan zu unterstützen, den Ihr Server nicht hat. Nach dem Hochladen des Ordners in dasselbe Stammverzeichnis wie die Überprüfungsdatei, die Sie einen Moment erneut durchgeführt haben, drücken Sie erneut TEST, und Sie sollten eine Bestätigung erhalten, dass der Scan bald ausgeführt wird.

In meinen Tests kam eine E-Mail nach etwa 2 Stunden mit detaillierten Problemen an. Seien Sie also nicht alarmiert, wenn es eine Weile dauert.

Die Warnungen, die Sie erhalten, werden von "Kritisch" bis "Niedrig" eingestuft. In meinem Bericht sind jedoch einige unerwartete Sicherheitsfehler aufgetreten, mit denen ich mich befassen muss. WordPress- und Plugin-Updates werden auch als mittlere Sicherheit betrachtet. Wenn Sie also etwas nicht schamlos aktualisiert haben, wird dies möglicherweise als hilfreiche Erinnerung dienen.

In jeder Ausgabe finden Sie eine ausführlichere Erklärung und Anweisungen, wie Sie diese lösen können. Dies ist äußerst nützlich für diejenigen von uns, die sich mit Websites und Servern weniger technisch auskennen. Machen Sie sich keine Sorgen, wenn Sie die E-Mail gelöscht haben. Sie können jederzeit über das Dashboard auf eine vollständige Aufgliederung des Berichts zugreifen.

Plugins

Das Website Defender-Team verfügt auch über ein paar Plugins, mit denen Sie WordPress sichern können. Wenn Sie jedoch einen Scan mit der oben beschriebenen Website-Methode durchführen, werden diese seltsamerweise nicht erwähnt.

WP-Security-Scan

Dadurch wird eine grundlegende Sicherheitsüberprüfung für Dinge wie Verzeichnisberechtigungen, Datenbankpräfix, .htaccess-Berechtigungen, Standardbenutzernamen und Ausblenden von WordPress-Versionen durchgeführt.

Sicheres WordPress

Dies wird gesperrt und führt eine Reihe von Sicherheitsmaßnahmen durch, um Ihr WordPress zu schützen. Dies bedeutet im Wesentlichen, dass Sie alle Verweise auf Ihre WordPress-Version entfernen, einige Zeilen aus Ihrem Header für Windows Live Writer entfernen und das Auflisten Ihres Themes- und Plug-In-Verzeichnisses unter anderem verhindern.

Beide Plugins enthalten Anmeldeformulare für den Website Defender-Onlinedienst. Sie können anscheinend eine Verknüpfung zu einem vorhandenen Konto herstellen. Während des Tests konnte ich sie jedoch nicht verknüpfen, da mein kostenloses Kontingent für eine Website bereits aufgebraucht war (obwohl ich trotzdem versucht habe, dieselbe URL zu verlinken, schien es eine andere Website zu sein)..

Fazit

Die Tatsache, dass es zwei Plugins gibt und der Scan auch ohne Plugin über die Website ausgeführt werden kann, ist ehrlich gesagt verwirrend - noch erwähnt der von der Website initiierte Scan die Plugins nicht und ich kann die Logik dahinter nicht erkennen Das. Obwohl jedes Plugin einzigartig ist, ist es schwer einzusehen, warum es nicht nur ein ultimatives Sicherheits-Plugin gemacht hat, sondern dass sowohl WordPress gehärtet wird als auch Probleme auftauchen. Ich fand auch heraus, dass die Methode des Scannens über die Website mehr Sicherheitsprobleme aufwies als die Verwendung des WP-Security-Scan-Plugins, vermutlich aufgrund von Einschränkungen, die auf WordPress-Plugins angewendet werden können.

Das soll nicht heißen, dass ich den kostenlosen Service nicht uneingeschränkt empfehlen kann. Ich denke, Sie sollten sich jetzt anmelden und verdammt sicher sein, dass Sie nicht anfällig für die wachsende Anzahl von auf WordPress basierenden Exploits sind. Tatsächlich würde ich eine Kombination aus dem Secure WordPress-Plugin empfehlen, um es zu sperren, während der eigentliche Scan durch die Website-Methode durchgeführt wird. Lassen Sie mich wissen, wie es in den Kommentaren ausfällt.

Erfahren Sie mehr über: Anti-Malware, Wordpress-Plugins.