Hva gjør dere for å unngå WP-hacking

Steve Cash

Steve Cash

Medlem
Det er vel (minst) fire hensikter som går igjen ved inntrengning, så vidt jeg vet:
1. Stjele eventuelle personopplysninger som måtte være registrert og misbruke disse.
2. Legge inn ondsinnet kode som angriper den som besøker sida, en bekjent av meg opplevede det her om dagen ved besøk på en helt vanlig firmaside.
3. Skaffe seg kred blant hackere ved å vise at en har klart det.
4. Angrep fordi inntrengerne misliker budskapet til sida. Da endrer en vel gjerne teksten på siden til sitt eget budskap. Men ettersom dette er angrep mot veldig mange sider, gjetter jeg på en av de tre første.
 
Steve Cash

Steve Cash

Medlem
Dan skrev:
Har i perioder hundrevis av forsøk om dagen.
Klikk for å utvide...

Spørsmål: Hvordan ser du at det har vært mislykkede forsøk på inntrengning? Jeg fikk svar i går kveld på hvordan jeg kan sjekke om siden min er infisert, og det var svært nyttig informasjon, men om noen har prøvd uten å komme inn ser jeg ikke ved å scanne koden.
 
zapotek

zapotek

Medlem
Steve Cash skrev:
Spørsmål: Hvordan ser du at det har vært mislykkede forsøk på inntrengning?
Klikk for å utvide...

Du kan få dette pluginet til å sende deg en mail for hvert mislykkede forsøk: WordPress › Limit Login Attempts « WordPress Plugins

OBS! Det er tydelig at disse scriptkidsa har sommerferie nå, så antallet forsøk er latterlig høyt for tiden. Så med mindre du ønsker MYE epost, bør du sende disse mailene til en "uviktig" epostadresse.
 
zapotek

zapotek

Medlem
Steve Cash skrev:
Det er vel (minst) fire hensikter som går igjen ved inntrengning, så vidt jeg vet:
1. Stjele eventuelle personopplysninger som måtte være registrert og misbruke disse.
2. Legge inn ondsinnet kode som angriper den som besøker sida, en bekjent av meg opplevede det her om dagen ved besøk på en helt vanlig firmaside.
3. Skaffe seg kred blant hackere ved å vise at en har klart det.
4. Angrep fordi inntrengerne misliker budskapet til sida. Da endrer en vel gjerne teksten på siden til sitt eget budskap. Men ettersom dette er angrep mot veldig mange sider, gjetter jeg på en av de tre første.
Klikk for å utvide...

5. Legge inn lenker.
 
Dan Åsen Hansen

Dan Åsen Hansen

Medlem
Steve Cash skrev:
Spørsmål: Hvordan ser du at det har vært mislykkede forsøk på inntrengning? Jeg fikk svar i går kveld på hvordan jeg kan sjekke om siden min er infisert, og det var svært nyttig informasjon, men om noen har prøvd uten å komme inn ser jeg ikke ved å scanne koden.
Klikk for å utvide...

Bruker Limit Login Attempts og følger med på hvilke sider folk prøver å logge inn på. Hos meg er det ikke så mange valgene, så det er fortrinnsvis oversiktlig ...
 
Steve Cash

Steve Cash

Medlem
Jeg ser at Limit Login Attempts er kompatibel med WordPress opp til 3.3.2. Er det lurt å bruke den på 3.5.2?
Requires: 2.8 or higher
Compatible up to: 3.3.2
Last Updated: 2012-6-1
Klikk for å utvide...

Jeg har Better WP Security på en testside, det står at den er kompatibel opp til versjon 3.6 av Wordpress. Kanskje det er et bedre alternativ? Jeg er likevel litt tilbakeholden med å installere den på en side som er i produksjon, ettersom den inneholder veldig mange funksjoner, og det ser ut til at den graver dypt i Wordpress. Jeg forstår rett og slett ikke konsekvensen av alle valgene jeg må ta under installasjon. Er det noen som har erfaring med den?
 
Sist redigert:
Dan Åsen Hansen

Dan Åsen Hansen

Medlem
Jeg installerte dette på en testside en gang, og ba den kjøre på med full automatikk, med den følge at jeg ikke kunne logge inn etterpå, og alt som ble vist på web var en blank side(!). Fant ingen umiddelbar løsning på fenomenet, og endte opp med å måtte reinstallere hele greia ...
 
Steve Cash

Steve Cash

Medlem
Det er nettopp noe slik jeg ikke vil oppleve, selv om jeg akkurat nå har lagret en sikkerhetskopi av sida lokalt.
 
Bjørn

Bjørn

Domenespekulant
En ting jeg lurer på: ønsker å endre brukeren fra "admin" til "noe annet". Som "admin" har jeg nå 15 artikler. Jeg lager en ny admin-bruker med annet navn enn "admin". Blir det feil å slette gammel "admin", dvs. vil de 15 artiklene forsvinne? Eller vil ny admin "overta" disse automatisk? Lønner det seg bare å endre rolle for gammel "admin", til f.eks. redaktør, istedenfor slette brukeren? Når jeg prøver å endre rollen, får jeg bare feilmeldingen: "Gjeldende bruker må ha en rolle med mulighet for redigering av brukere".
"Andre brukeres roller er byttet". Er det ikke mulig å endret dette pga. sikkerheten? Ønsker ikke å ha "admin" som bruker på WP.
 
Bjørn

Bjørn

Domenespekulant
Ønsker ikke endre navnet "admin", men redusere brukerrettighetene for "admin", sånn at hvis en hacker (som nesten alltid prøver seg på "admin" som brukernavn), ikke får fulle rettigheter ved evt. vellykket hackerangrep. Eller bør "admin" slettes helt uansett?!
 
TorsteinO

TorsteinO

Art Director & grunder
Det lureste er å enten fjerne brukeren som heter admin helt, eller å endre brukernavnet (krever enten bruk av en plugin, eller å gå inn i databasen) til noe annet.

MEN - jeg lurer på om det var dette som skapte problemer når Better WP security gjorde det for meg en gang, at jeg fikk enten blank hvit skjerm eller beskjed om at jeg ikke hadde de nødvendige rettighetene. Husker jeg måtte inn i phpmyadmin for å fikse det igjen, så det er lurt å ta en backup av databasen før man gjør sånt.

Det har vært noen svakheter tidligere der brukere uten admin-rettigheter kunne klare å skaffe seg disse, og man skal vel aldri si aldri på at sånt kan skje/oppdages igjen, dermed er det helt klart et potensielt problem dersom en med onde hensikter klarer å skaffe seg tilgang til en konto, samme hva slags rettigheter kontoen har. Å sette rollen til redaktør vil selv uten videre hacking være et problem hvis noen får tilgang til den, siden redaktøren kan endre alt av tekster og sånt.
 
Du må logge inn eller registrere deg for å svare her.
Topp