Er Wordpress "trygt"?

bjornfix

Bjørn Are Solstad, CEO, Devenia Ltd.
Vi kjører sucuri.net på begge serverne våre som WP-plugins, og det har renska opp i hacks to ganger jeg har trengt det. Knall service og raske som f.

Det dreide seg om ondsinnet kode som hadde blitt lagt til i bunnen på alle sider. Alt var fiksa i løpet av et par timer.
 
1. Ta en off-site backup, titt og ofte
2. Bruk en sikker tilkobling til servere, så heller ftps fremfor ftp
3. Begrens antallet plugins - de er av en annen sikkerhetsgrad enn core WP
4. Hold WP og pluginsene oppdatert til siste versjon
5. 777 er farlig
6. Unngå admin som bruker, unngå passord som inneholder ord
7. Bruk en annen prefiks enn wp_ for tabellene
8. Flytt wp-config til en annen plass
9. Ikke logg på WP fra shared datamaskiner

1. Ok
2. Ok
3. Ok
4. Ok
5. Ok
6. Ok - har lest man bør slette "admin" som bruker. Noen synspunkter på det?
7. Ok - kan dette endres i ettertid?
8. Ok - hvordan gjør jeg det?
9. OK

Ref. #6; hvis man sletter admin, og allerede har opprettet dokumenter som denne, kan de enkelt flyttes over på en annen bruker?

Mvh Dan
 
1. Ok
2. Ok
3. Ok
4. Ok
5. Ok
6. Ok - har lest man bør slette "admin" som bruker. Noen synspunkter på det?
7. Ok - kan dette endres i ettertid?
8. Ok - hvordan gjør jeg det?
9. OK

Ref. #6; hvis man sletter admin, og allerede har opprettet dokumenter som denne, kan de enkelt flyttes over på en annen bruker?

Mvh Dan

Tillater meg å bumpe denne en gang, da jeg fortsatt ikke har fått svar på #8 - håper det er greit ... :)

Mvh Dan
 
Eller så installerer du denne babyen: WordPress › Limit Login Attempts « WordPress Plugins

Da klarer de ikke å hacke seg inn via brute force uansett (ergo, du slipper å endre brukernavnet fra Admin til noe annet).

Ja, bruker den, og Akismet mot spam, og stort sett det meste på lista over også, inkludert slettet admin. Har dog opplevd at noen har prøvd å logge seg inn som meg flere ganger tidligere, men det har ikke skjedd ennå denne gangen.

Prøvde ellers et sånt morsomt script som visstnok skulle kjøre wp i "stealth"-modus, og det fant en haug med påståtte sikkerhetsfeil jeg kunne rett, men da forsvant login'en min og jeg måtte bare slette hele greia. Heldigvis var det bare i testøyemed, så det skjedde ikke noe mer enn det, og jeg husker ikke hva det plugin'et het ...

Mvh Dan
 
Topp