Utvidelser til WordPress

Login Lockdown overvåker IP-adressene og klokkeslett til alle som mislykkes når de prøver å logge seg inn på bloggen din, og dersom det er et X antall mislykkede for den samme IP-adressen så vil den personen bli sperret i en kort periode fra å prøve å logge seg inn.

Dette hjelper i den form av at dette vil gjøre et eventuelt bruteforce-angrep relativt ineffektivt fordi etter 3 forsøk (standard) så vil den datamaskinen som utfører angrepet, bli sperret fra å prøve igjen i en hel time, og ettersom de fleste bruteforce-angrep klarer å teste ut mange hundre forskjellige passord i sekundet, så er dette ganske kjipt (ikke for deg da).

AskApache Password Protection oppretter, enkelt forklart. en virtuell vegg rundt hele bloggen din som vil hindre søppelkommentarer, tilbakesporinger og andre generelle forsøk på å angripe bloggen din og dermed sparer du serveren din for ressurser og databaseminne.

Det den faktisk gjør er å opprette en meget effektiv .htaccess fil automatisk, så du kan bare klikke på de forskjellige funksjonene du selv vil bruke og bare velge å vrake blandt det du finner nyttig for akkurat din situasjon, men vær oppmerksom på at denne krevet at du har en server som kjører Apache og støtter .htaccess-filer.

OBS: Dersom du kjører en cache-plugin på WordPress bloggen din, så må du midlertidig deaktivere denne, eventuelt fjerne denne, mens du holder på å konfigurere AskApache-utvidelsen, ellers vil det bli noen konflikter og enkelte ting kan føre til at bloggen din ser ut til å være ute av drift.

Chap Secure Login gir deg enkelt og greit muligheten til å sende passordet ditt kryptert med Chap protokollen, og det vil si at vanligvis så vil ikke WordPress kryptere passordet når det blir sendt til serveren for å sjekke om det var riktig, men denne utvidelsen fikser dette.

Ved å bruke denne utvidelsen, så er det eneste som blir sendt i ren tekst brukernavnet, mens passordet er gjemt bak flere tilfeldige tall som er generert for akkurat denne sessjonen, og til slutt dekryptert ved å bruke MD5 algoritmen.

OBS: Ved første bruk av denne utvidelsen vil du automatisk få en feilmelding, men det er bare slik prosessen er og det vil fungere fra og med neste gang du prøver og fremover.

Generelt

Oppdatere WordPress og utvidelser er selvfølgelig en første prioritet når det gjelder sikkerheten til bloggen din, for det er ofte blogger som kjører eldre versjoner av WordPress som er utsatt for angrep, men ikke minst utvidelser som ikke er oppdatert på en god stund (disse kan nemlig inneholde svakheter).

Det er derfor også lurt å holde seg til et minimum av utvidelser for WordPress, og gjerne bruke bare de som er godt kjent i miljøet og ikke noen tilfeldige du finner rundt forbi på russiske sider eller hvem vet hvor du måtte finne dem.

WPVN lar deg bytte brukernavnet, som er admin til standard, til et annet slik at ingen vet hvilket brukernavn de eventuelt må bruke for å prøve å logge seg inn på bloggen din – dette i seg selv er faktsik en ganske stor forbedring for sikkerheten. Husk å slette denne utvidelsen når du har byttet brukernavn, eller så er det en sjanse for at noen andre faktisk kan bruke den til å bytte brukernavnet igjen.

Du kan også gjøre dette uten en utvidelse; ved å endre brukernavnet direkte i databasen, men dette er da litt mer avansert og du kan fort gjøre ting som du ikke burde ha gjort – så en regel er at når du skal rote rundt i databasen, alltid ha en sikkerhetskopi før du begynner.

1. Ved å bruke verktøyet som servere bruker for å administrere databasen, kan du finne frem til den riktige databasen som WordPress bruker
2. Fra denne databasen må du finne wp_users tabellenog klikke på “browse”-ikonet
3. Finn frem riktig brukernavn, admin i dette tilfellet, og klikk på edit-ikonet
4. I kolonnen som heter user_login kan du bytte ut admin til ditt nye bruker navn

Automatisk sikkerhetskopi

WP-DB-Backup er en utvidelse har en enkel funksjon, men den er svært funksjonell og viktig – den tar en automatisk sikkerhetskopi av databasen din, og det vil si av alle postene dine, kommentarer, linker og annen informasjon som dukker opp på bloggen din.

Personlig så har jeg satt denne opp til å ta sikkerhetskopi hver eneste dag, sende denne til en e-post adresse som automatisk arkiverer den og jeg kan derfor være relativt trygg på at dersom noe skulle skje så har jeg en ganske ny sikkerhetskopi.

WP-Backup har samme funksjonen som utvidelsen over, men det er sikkerhetskopi av tema-mappen, utvidelse-mappen og ikke minst uploads-mappen som blir tatt kopi av, lagret på serveren og eventuelt sendt til deg på e-post.

Hver oppmerksom på at dersom du har en uploads-mappe på over 10 MB så er det ikke sikkert den vil komme frem på grunn av begrensninger i mail systemet.

Spam

Akismet bør selvfølgelig være aktivert og oppdatert, og det denne gjør er rett og slett å sjekke alle kommentarer som kommer til bloggen din, opp mot en database til Akismet for å kjøre den kommentaren gjennom en rekke tester for å faktisk validere at det er en ekte kommentar fra en virkelig person.

WP-SpamFree tar steget litt videre og gir deg virkelig god beskyttelse mot spam på bloggen din, og tenker også på kontakt-siden din dersom du har en kontakt-form som hvem som helst kan fylle ut. Det er bare å konfigurere den og så er alt klappet og klart til bruk – enkelt og greit.

XSS

Dersom du bruker et tilfeldig tema for WordPress, eller hvilket som helst tema egentlig, så er det mulig at det temaet har en ganske stor sikkerhetsrisiko mot XSS-angrep, og kort forklart så er det at det gir andre muligheten til å kjøre en skadelig kode på bloggen din.

Det du kan gjøre er å søke gjennom alle filene til temaet etter følgende tekst;

<?php echo $_SERVER['PHP_SELF']; ?>

… og bytte den ut med følgende kode.

<?php bloginfo(‘home’); ?>/

Og dessuten kan du bla deg frem til search.php filen som er til temaet ditt du bruker i WordPress og kopiere følgende tekst for å så lime det helt på toppen av dokumentet, over alle linjene.

<?php
// Beskytter deg mot XSS-angrep via $_GET.
foreach ($_GET as $check_url) {
if ((eregi(“<[^>]*script*\”?[^>]*>”, $check_url)) || (eregi(“<[^>]*object*\”?[^>]*>”, $check_url)) ||
(eregi(“<[^>]*iframe*\”?[^>]*>”, $check_url)) || (eregi(“<[^>]*applet*\”?[^>]*>”, $check_url)) ||
(eregi(“<[^>]*meta*\”?[^>]*>”, $check_url)) || (eregi(“<[^>]*style*\”?[^>]*>”, $check_url)) ||
(eregi(“<[^>]*form*\”?[^>]*>”, $check_url)) || (eregi(“\([^>]*\”?[^)]*\)”, $check_url)) ||
(eregi(“\”", $check_url))) {
echo”Hvor mange hackere trenges det for å skifte en lyspære? Null, for ingen vil legge merke til at de i det hele tatt var der.”;
die ();

}
}
unset($check_url);
?>

Dette vil rett og slett ignorere alle script eller kode som blir kjørt fra søke-linja og rett og slett bare vise en blank side med teksten som kommer etter echo – som i mitt tilfelle er en veldig dårlig vits.

Har du gjort de fleste av disse stegene i denne artikkelen, så har du kommet langt for å beskytte bloggen din, men det er ingenting som bør hindre deg fra i å gjøre dem alle, og dersom du har problemer med noen av dem er det bare å ta kontakt med meg på e-post.

Nå er det sånn at de fleste spammere, altså de som legger igjen kommentarer, de kommer fra ingenplass, altså, før du kom til min blogg så var du på en annen side – det vil si at vi kan filtrere vekk de som ikke kommer fra en annen side og anse dem som spammere, og videre nekte dem adgang til siden.

For å gjøre denne prosessen må du redigere .HTAccess filen din som ligger på serveren, og du kan lett finne den ved å koble til via FTP og redigere filen, eller bare lagre en fil lokalt på datamaskinen og laste den opp til server-roten når du er ferdig.

Konfigurere .HTAccess

Det hele er faktisk bare å kopiere teksten under, erstatte min link med din og lagre din .htaccess fil på serveren, og så vil du ikke lenger motta sleipe søppelkommentarer.

# BEGIN Block Spammers
RewriteEngine On
RewriteCond %{REQUEST_METHOD} POST
RewriteCond %{REQUEST_URI} .wp-comments-post\.php*
RewriteCond %{HTTP_REFERER} !.*suntom.no.* [OR]
RewriteCond %{HTTP_USER_AGENT} ^$
RewriteRule (.*) ^http://%{REMOTE_ADDR}/$ [R=301,L]
# END Block Spammers

Som dratt ut fra en Tine yoghurt reklame – så godt, så enkelt.

Det er derfor det er greit å ta sikkerhetskopier av og til, men gjerne gjøre dette automatisk, for da slipper du å tenke på det og du er trygg på at det alltid vil være en måte å få tilbake alle de kjære bloggpostene dine på.

WordPress backup

Det er 2 ting du skal ta sikkerhetskopi av i WordPress der den ene er WP-Content som inneholder alle temaene, innstikkene, bilder du har lastet opp til postene og annet du bruker på bloggen din, og det andre og det viktigste er å ta sikkerhetskopi av databasen din.

Og ettersom det å ta sikkerhetskopi av databasen er en stor prosess og ofte vanskelig for de som ikke vet akkurat hva de skal gjøre, så finnes det et innstikk til WordPress som gjør hele prosessen automatisk, og ganske enkelt.

WP-Content

Dersom du ofte inkluderer bilder i postene du skriver på bloggen din så vil de bli lastet opp til uploads mappen på WP-Content, sammen med alle temaene og innstikkene du bruker på din WordPress blogg.

Derfor er det lurt å ta regelmessig kopi av dette, og du kan gjøre det enkelt ved å installere WordPress Backup Plugin, og ettersom jeg regner med at du vet hvordan du installerer dette så vil jeg ikke forklare det (du er velkommen til å spørre meg da).

Du kan konfigurere innstikket til å ta en sikkerhetskopi hver time, hver dag eller hver uke og sende deg dem på en e-post adresse, i tillegg til at den laster det opp på en plassering på samme server som bloggen din er.

Når du aktiverer dette innstikket vil den automatisk finne alt den trenger, så det eneste du trenger å fortelle den er om du vil at den skal sende deg en kopi av backupen på e-post og hvor ofte den skal ta en sikkerhetskopi.

Databasen

Den andre tingen du må ta sikkerhetskopi av, eller hvertfall på det sterkeste bør gjøre, er databasen din om inneholder alle kommentarer, poster, informasjon om bloggen og mye mer.

Dette kan også gjøres enkelt automatisk med WP-DB-Backup Plugin som lar deg velge å ta en sikkerhetskopi med jevne mellomrom og sende den til deg på e-post eller du kan manuelt velge å lagre den lokalt eller på serveren.

Konklusjon

Og med disse to instikkene til WordPress bloggen din vil du automatisk få en sikkerhetskopi av det som er nødvendig for å holde bloggen din gående og gir deg en mulighet til å gjenopprette dersom det verste skulle skje deg.