Kan man forhindre 'hacking' via plugins i Wordpress?

Kære Aminoer

Jeg har lavet en del hjemmesider for mine kunder, hvor jeg bruger Wordpress og sommetider diverse plugins.

Jeg har på det seneste oplevet, at nogle få af disse plugins rent faktisk har fungeret som en 'bagdør' for diverse skumle typer.

Blandt andet har jeg oplevet, at et plugin skaber en masse pop-up reklamer - og senest, at et plugin giver adgang til at oprette diverse brugere på sitet.

Jeg må sige, at jeg er ikke programmør; - jeg vil gerne fokusere mine grafiske og 'virksomhedsudviklende' ydelser for folk. Og disse oplevelser er mildest sagt ret belastende (både for mig og for mine kunder).

Så, hvordan kan jeg undgå at installere et plugin på en kundes hjemmeside, som derefter måske vil kompromitere alting?

Findes der måske endda et plugin, som 'holder øje' med de andre pugins?

Hvis du har adgang til serverne, som de forskellige wordpress-sites ligger på er der en hel del ting du kan gøre.

Men hvis du ikke har, kan du måske kræve af leverandøren at man tager forholdsregler på selve webserveren, hvad enten det er nginx, apache eller noget andet.

F.eks. at der ikke må være php-filer i uploads-mapper, at webserveren ikke eksponerer sin identitet etc. Der kan også sættes attributter på filer, så de ikke kan ændres.

Evt. IDS på systemet, som automatisk kan alarmere og trigge en handling på serveren i en tidsbegrænset periode + mange andre ting.

davidchristensen:

Jeg har på det seneste oplevet, at nogle få af disse plugins rent faktisk har fungeret som en 'bagdør' for diverse skumle typer.

Blandt andet har jeg oplevet, at et plugin skaber en masse pop-up reklamer - og senest, at et plugin giver adgang til at oprette diverse brugere på sitet.

Hej David.

Den allerførste plugin du installere, efter du har lavet en ny Wordpress side, er at du installere Wordfence https://www.wordfence.com/

og få den sat op med dens Firewall, så er du godt begyndt med en sikker Website.

Mvh. Niels

Webdesign

Jeg bruger iThemes Security-plugin til øget sikkerhed på alle mine egne sites, og til de kunder jeg laver WordPress for.

Tobias Hyldeborg:

Jeg bruger iThemes Security-plugin til øget sikkerhed på alle mine egne sites, og til de kunder jeg laver WordPress for.

Det er også et nogenlunde sikkerhedsplugin.

Men det forhindrer ikke udefrakommende i at trække alle user-id og user names ud.

Alle WordPress hjemmesider er jo beskyttet af brugernavn og adgangskode, som kræver at man kender begge dele for at få adgang.

De fleste tror, at de er sikre, hvis bare ikke de installerer WordPress med brugernavnet "admin". For så er der vel ingen der kan gætte gangbare brugernavne...?
Det behøver man slet ikke! :-) En enkelt URL afslører nemlig alle brugernavne på hjemmesiden, deres ID-nummer og endda deres Gravatar-billed url. :-)

Den udfordring klarer WordFence plugin'et betydeligt bedre.

Ud over det bør de fleste overveje at tilføje en enkelt stump kode til deres WordPress-hjemmesides htaccess fil.

Den blokerer login på hjemmesiden/wp-login fra andre IP-adresser end de i forvejen godkendte IP-adresser.

I bunden af htaccess filen indsættes denne stump kode:

# Secure wp-login file

<Files wp-login.php>
Order Deny,Allow
Deny from all
Allow from xxx.xxx.xxx.xxx  #<-din ip-adresse
Allow from xxx.xxx.xxx.xxx  #<-din evt anden ip-adresse>
</Files>

Har man ikke en af de ovenfor nævnte ip-adresser, nægtes man adgang til hjemmesiden/wp-login

Når det er sagt, så er der ingen WordPress sites, der er 100% sikre.
Og da slet ikke, hvis man har sit site hosted i et delt miljø sammen med andre hjemmesider.