WordPress

Hvordan virkelig sikre WordPress bloggen din mot alt mulig

Publisert 24. april, 2010 av Tom

Dersom du først har blitt seriøs når det gjelder blogging, eller bare er interessert i at det skal være så sikkert som mulig, så er det flere ting som er relativt enkle å utføre som vil øke sikkerheten en veldig god del – flere av det er å installere noen få utvidelser.

Utvidelser til WordPress

Login Lockdown overvåker IP-adressene og klokkeslett til alle som mislykkes når de prøver å logge seg inn på bloggen din, og dersom det er et X antall mislykkede for den samme IP-adressen så vil den personen bli sperret i en kort periode fra å prøve å logge seg inn.

Dette hjelper i den form av at dette vil gjøre et eventuelt bruteforce-angrep relativt ineffektivt fordi etter 3 forsøk (standard) så vil den datamaskinen som utfører angrepet, bli sperret fra å prøve igjen i en hel time, og ettersom de fleste bruteforce-angrep klarer å teste ut mange hundre forskjellige passord i sekundet, så er dette ganske kjipt (ikke for deg da).

AskApache Password Protection oppretter, enkelt forklart. en virtuell vegg rundt hele bloggen din som vil hindre søppelkommentarer, tilbakesporinger og andre generelle forsøk på å angripe bloggen din og dermed sparer du serveren din for ressurser og databaseminne.

Det den faktisk gjør er å opprette en meget effektiv .htaccess fil automatisk, så du kan bare klikke på de forskjellige funksjonene du selv vil bruke og bare velge å vrake blandt det du finner nyttig for akkurat din situasjon, men vær oppmerksom på at denne krevet at du har en server som kjører Apache og støtter .htaccess-filer.

OBS: Dersom du kjører en cache-plugin på WordPress bloggen din, så må du midlertidig deaktivere denne, eventuelt fjerne denne, mens du holder på å konfigurere AskApache-utvidelsen, ellers vil det bli noen konflikter og enkelte ting kan føre til at bloggen din ser ut til å være ute av drift.

Chap Secure Login gir deg enkelt og greit muligheten til å sende passordet ditt kryptert med Chap protokollen, og det vil si at vanligvis så vil ikke WordPress kryptere passordet når det blir sendt til serveren for å sjekke om det var riktig, men denne utvidelsen fikser dette.

Ved å bruke denne utvidelsen, så er det eneste som blir sendt i ren tekst brukernavnet, mens passordet er gjemt bak flere tilfeldige tall som er generert for akkurat denne sessjonen, og til slutt dekryptert ved å bruke MD5 algoritmen.

OBS: Ved første bruk av denne utvidelsen vil du automatisk få en feilmelding, men det er bare slik prosessen er og det vil fungere fra og med neste gang du prøver og fremover.

Generelt

Oppdatere WordPress og utvidelser er selvfølgelig en første prioritet når det gjelder sikkerheten til bloggen din, for det er ofte blogger som kjører eldre versjoner av WordPress som er utsatt for angrep, men ikke minst utvidelser som ikke er oppdatert på en god stund (disse kan nemlig inneholde svakheter).

Det er derfor også lurt å holde seg til et minimum av utvidelser for WordPress, og gjerne bruke bare de som er godt kjent i miljøet og ikke noen tilfeldige du finner rundt forbi på russiske sider eller hvem vet hvor du måtte finne dem.

WPVN lar deg bytte brukernavnet, som er admin til standard, til et annet slik at ingen vet hvilket brukernavn de eventuelt må bruke for å prøve å logge seg inn på bloggen din – dette i seg selv er faktsik en ganske stor forbedring for sikkerheten. Husk å slette denne utvidelsen når du har byttet brukernavn, eller så er det en sjanse for at noen andre faktisk kan bruke den til å bytte brukernavnet igjen.

Du kan også gjøre dette uten en utvidelse; ved å endre brukernavnet direkte i databasen, men dette er da litt mer avansert og du kan fort gjøre ting som du ikke burde ha gjort – så en regel er at når du skal rote rundt i databasen, alltid ha en sikkerhetskopi før du begynner.

  1. Ved å bruke verktøyet som servere bruker for å administrere databasen, kan du finne frem til den riktige databasen som WordPress bruker
  2. Fra denne databasen må du finne wp_users tabellenog klikke på “browse”-ikonet
  3. Finn frem riktig brukernavn, admin i dette tilfellet, og klikk på edit-ikonet
  4. I kolonnen som heter user_login kan du bytte ut admin til ditt nye bruker navn

Automatisk sikkerhetskopi

WP-DB-Backup er en utvidelse har en enkel funksjon, men den er svært funksjonell og viktig – den tar en automatisk sikkerhetskopi av databasen din, og det vil si av alle postene dine, kommentarer, linker og annen informasjon som dukker opp på bloggen din.

Personlig så har jeg satt denne opp til å ta sikkerhetskopi hver eneste dag, sende denne til en e-post adresse som automatisk arkiverer den og jeg kan derfor være relativt trygg på at dersom noe skulle skje så har jeg en ganske ny sikkerhetskopi.

WP-Backup har samme funksjonen som utvidelsen over, men det er sikkerhetskopi av tema-mappen, utvidelse-mappen og ikke minst uploads-mappen som blir tatt kopi av, lagret på serveren og eventuelt sendt til deg på e-post.

Hver oppmerksom på at dersom du har en uploads-mappe på over 10 MB så er det ikke sikkert den vil komme frem på grunn av begrensninger i mail systemet.

Spam

Akismet bør selvfølgelig være aktivert og oppdatert, og det denne gjør er rett og slett å sjekke alle kommentarer som kommer til bloggen din, opp mot en database til Akismet for å kjøre den kommentaren gjennom en rekke tester for å faktisk validere at det er en ekte kommentar fra en virkelig person.

WP-SpamFree tar steget litt videre og gir deg virkelig god beskyttelse mot spam på bloggen din, og tenker også på kontakt-siden din dersom du har en kontakt-form som hvem som helst kan fylle ut. Det er bare å konfigurere den og så er alt klappet og klart til bruk – enkelt og greit.

XSS

Dersom du bruker et tilfeldig tema for WordPress, eller hvilket som helst tema egentlig, så er det mulig at det temaet har en ganske stor sikkerhetsrisiko mot XSS-angrep, og kort forklart så er det at det gir andre muligheten til å kjøre en skadelig kode på bloggen din.

Det du kan gjøre er å søke gjennom alle filene til temaet etter følgende tekst;

<?php echo $_SERVER['PHP_SELF']; ?>

… og bytte den ut med følgende kode.

<?php bloginfo(‘home’); ?>/

Og dessuten kan du bla deg frem til search.php filen som er til temaet ditt du bruker i WordPress og kopiere følgende tekst for å så lime det helt på toppen av dokumentet, over alle linjene.

<?php
// Beskytter deg mot XSS-angrep via $_GET.
foreach ($_GET as $check_url) {
if ((eregi(“<[^>]*script*\”?[^>]*>”, $check_url)) || (eregi(“<[^>]*object*\”?[^>]*>”, $check_url)) ||
(eregi(“<[^>]*iframe*\”?[^>]*>”, $check_url)) || (eregi(“<[^>]*applet*\”?[^>]*>”, $check_url)) ||
(eregi(“<[^>]*meta*\”?[^>]*>”, $check_url)) || (eregi(“<[^>]*style*\”?[^>]*>”, $check_url)) ||
(eregi(“<[^>]*form*\”?[^>]*>”, $check_url)) || (eregi(“\([^>]*\”?[^)]*\)”, $check_url)) ||
(eregi(“\”", $check_url))) {
echo”Hvor mange hackere trenges det for å skifte en lyspære? Null, for ingen vil legge merke til at de i det hele tatt var der.”;
die ();

}
}
unset($check_url);
?>

Dette vil rett og slett ignorere alle script eller kode som blir kjørt fra søke-linja og rett og slett bare vise en blank side med teksten som kommer etter echo – som i mitt tilfelle er en veldig dårlig vits.

Har du gjort de fleste av disse stegene i denne artikkelen, så har du kommet langt for å beskytte bloggen din, men det er ingenting som bør hindre deg fra i å gjøre dem alle, og dersom du har problemer med noen av dem er det bare å ta kontakt med meg på e-post.

WordPress

Hvordan virkelig beskytte WordPress bloggen mot spam

Publisert 20. april, 2010 av Tom

Dersom du er en av dem som driver en WordPress blogg og rett og slett er lei av uendelig spam og meningsløse kommentarer, så bør du finne stor interesse i å lese denne artikkelen. Selv om du har installert Akismet og konfigurert den til å ikke publisere kommentarer med så mange linker, så må du likevel gå gjennom dem manuelt og slette dem.

Nå er det sånn at de fleste spammere, altså de som legger igjen kommentarer, de kommer fra ingenplass, altså, før du kom til min blogg så var du på en annen side – det vil si at vi kan filtrere vekk de som ikke kommer fra en annen side og anse dem som spammere, og videre nekte dem adgang til siden.

For å gjøre denne prosessen må du redigere .HTAccess filen din som ligger på serveren, og du kan lett finne den ved å koble til via FTP og redigere filen, eller bare lagre en fil lokalt på datamaskinen og laste den opp til server-roten når du er ferdig.

Konfigurere .HTAccess

Det hele er faktisk bare å kopiere teksten under, erstatte min link med din og lagre din .htaccess fil på serveren, og så vil du ikke lenger motta sleipe søppelkommentarer.

# BEGIN Block Spammers
RewriteEngine On
RewriteCond %{REQUEST_METHOD} POST
RewriteCond %{REQUEST_URI} .wp-comments-post\.php*
RewriteCond %{HTTP_REFERER} !.*suntom.no.* [OR]
RewriteCond %{HTTP_USER_AGENT} ^$
RewriteRule (.*) ^http://%{REMOTE_ADDR}/$ [R=301,L]
# END Block Spammers

Som dratt ut fra en Tine yoghurt reklame – så godt, så enkelt.

Generelt

Linux, Ubuntu og Tom – buntu

Publisert 13. april, 2010 av Tom

Oppdatering: Alle mine Linux-relaterte artikler er nå flyttet over til Tombuntu hvor jeg vil fortsette med å publisere artikler om Ubuntu og Linux. Denne bloggen vil være en generell teknologi blogg, og jeg vil nok publisere det jeg føler for som er relevant og interessant.

Frem og tilbake, jeg startet denne bloggen med en interesse for å skrive om teknologi, hoppet over til Linux fra Windows, gikk til å skrive for en annen blogg og holder nå på å skrive på min egen, nye Linux blogg, med fokus på Ubuntu.

Det hele er en blogg med artikler som er basert på kanskje litt mer avanserte deler av Linux, men det er også litt mer nybegynner-tanker rundt der også – uansett så er det garantert en fin side for deg dersom du liker hva jeg skriver og faktisk finner Linux eller Ubuntu av interesse.

Hva venter du på? Beøsk Tombuntu.no idag!

Generelt

Ikke å avslutte, men å flytte, det er hva jeg gjør

Publisert 29. mars, 2010 av Tom

Oppdatert: Jeg er ikke lenger hos Teknologia, men vil fortsette å publisere artikler på denne og Tombuntu-bloggen.

Nå er det på tide å ta et litt større steg og ikke slutte å blogge helt, men å fortsette å publisere artikler på en annen blogg sammen med andre som også er interesserte i samme emner som jeg er, og stedet er ingen andre enn Teknologia.

Jeg sier ikke at jeg skal slutte å publisere fantastiske og interessante artikler, jeg bare flytter til en ny blogg, men samtidig kan det hende jeg vil regelmessig skrive litt her på min personlige blogg dersom det er noe jeg må få ut som ikke passer inn på Teknologia.

Hvorfor?

Så er spørsmålet, hvorfor flytte til en ny blogg? Vel, det er flere grunner, men du må ærlig innrømme at det er et fengende navn som er brukt, Teknoooo-looog-iiiiiaa, slenger litt rundt på tunga når du sier det høyt ut, men jeg var ute etter å være med på en blogg hvor det ikke bare var jeg som holdt til, og det har jeg funnet frem til nå.

Dette forandrer ikke hva jeg skriver om eller hva jeg publiserer, så det er ingen grunn til at du ikke bør flytte over til den nye bloggen og holde deg oppdatert på nye artikler innnfor teknologi, Internett og det meste som har med datamaskinen å gjøre.

Vi snakkes, se å få deg til kommentarfeltet på Teknologia med en eneste gang!

Applikasjoner, Tips & Triks

Har du kjedelige spillelister på Spotify og er ute etter noe nytt?

Publisert 27. mars, 2010 av Tom

Selv har jeg flere spillelister samlet med mange sanger fra artister jeg liker, men det er ikke så mange – mindre enn 10, og jeg finner meg ofte i en situasjon der jeg kan høre den samme sangen om og om igjen fordi jeg liker den, men hva med når jeg vil ha noe nytt?

Les mer…

Side 1 av 1412345...Siste »