Den som har dåliga lösenord på sin wordpressajt bör byta de svaga lösenorden genast och likaså de som använder admin som username. Just nu pågår gigantiska attacker mot WordPress som involverar mer än 90 000 IP addresseser som säkerligen får tråkiga konsekvenser för många wordpress bloggare. Man räknar med Bruteforce attacker där minst 90 000 servrar varit involverade mot WordPress.
Under 2013 var det minst minst 70 miljoner sajter som drivs med wordpress så det här är ett allvarligt hot på nätet. Det Svenska serverhotellet Loopia har på sin blogg skrivit om attacken och tipsat bloggare om att ha säkra lösenord.
Några tips hur du skyddar dig mot WordPressattacker
- Använd säkra lösenord dvs blanda bokstäver (versaler och gemener), tecken och siffror och ha minst 8 tecken
- Använd säkerhetspluginer som tex blockerar antalet loginförsök. Det finns exempel på pluginer som gör att misstänkta inloggningar tar väldigt lång tid
- Använd inte ”admin”, domännamnet eller något personnamn eller ord som finns i ordlistor som användarid
- Se till att ha de senaste versionerna av WordPress, plugins och teman installeradeha
- Använd tillförlitliga säkerhetspluginer som har bra rykte på nätet
- Använd inte plugins som du inte litar på
- Kontrollera om det finns några användare i WordPress som inte borde vara där.
- Använd https:// för inloggningar
- Se till att du inte har malware på din dator
- Byt ofta lösenord på ftp-servern
- Sök igenom din sajt så den inte innehåller ord som Viagra och Cialis som ofta hackar sajter.
- Kolla igenom din .htaccess fil så den inte redirectar till någon annan sajt
- Kolla igenom header.php och footer.php så de inte innehåller läkar till något du inte vill ha
- Bevaka sidor så att du ser när de ändras
- Kolla igenom en Google sökning och hur sökresultatet ser ut så de inte pekar mot någon server som du inte vill godkänna
- Se till att få alert om din sajt uppdateras med exempelvis Viagra information
- Ta bort filer som inte används.
Många hackare använder eval () funktionen
Man bör kontrollera om det finns en funktionen unviks av många programmerare om de inte verkligen behövs. Man använder ofta koden för att gömma kod eller injekta. Om du ser ett tema eller plugin som använder eval() funktionen är det bättre att ta bort det och be programmeraren om en ny version som inte använder den funtionen.
Det finns en del wordpress pluginer som ger visst skydd
- Botnet Attack Blocker
- OSE Firewall
- Better WP Security – känner tex av användarinformation och ger skydd för vanliga angrepp och en del tweaks
- Firewall 2
- Wordfence security som skannar av din sajt. De har en betalversion där du tex kan plocka bort vissa länder.
Bland vanliga attacktyper mot WordPress (från Matthew Pavkov författare till pluginet WordPress Firewall 2)
- Directory Traversal
- SQL injection
- WordPress specifika SQL injections
- Excecutable file upload
- Field truncation
- Remote file execution
Länkar med tips om säkerhet i WordPress
- http://codex.wordpress.org/Hardening_WordPress
Hur man säkrar upp wordpress - http://secunia.com/advisories/search/?search=wordpress
Uppdateringar om säkerhetsproblem i WP - http://www.wealthydragon.com/
en som blivit hackad och vad de gjort