Teknik, hosting & e-handelsløsninger

Svar: Kan man forhindre 'hacking' via plugins i Wordpress?

Allan Møller Rantaniemi — Sun, 07 May 2017 18:24:22 GMT

Du kan aldrig forhindre hacking, kun forbygge det.

Svar: Kan man forhindre 'hacking' via plugins i Wordpress?

John Nielsen — Sun, 07 May 2017 16:31:19 GMT

Tobias Hyldeborg:
Jeg bruger iThemes Security-plugin til øget sikkerhed på alle mine egne sites, og til de kunder jeg laver WordPress for.

Det er også et nogenlunde sikkerhedsplugin.

Men det forhindrer ikke udefrakommende i at trække alle user-id og user names ud.

Alle WordPress hjemmesider er jo beskyttet af brugernavn og adgangskode, som kræver at man kender begge dele for at få adgang.

De fleste tror, at de er sikre, hvis bare ikke de installerer WordPress med brugernavnet "admin". For så er der vel ingen der kan gætte gangbare brugernavne...?
Det behøver man slet ikke! :-) En enkelt URL afslører nemlig alle brugernavne på hjemmesiden, deres ID-nummer og endda deres Gravatar-billed url. :-)

Den udfordring klarer WordFence plugin'et betydeligt bedre.

Ud over det bør de fleste overveje at tilføje en enkelt stump kode til deres WordPress-hjemmesides htaccess fil.

Den blokerer login på hjemmesiden/wp-login fra andre IP-adresser end de i forvejen godkendte IP-adresser.

I bunden af htaccess filen indsættes denne stump kode:

# Secure wp-login file

<Files wp-login.php>
Order Deny,Allow
Deny from all
Allow from xxx.xxx.xxx.xxx #<-din ip-adresse
Allow from xxx.xxx.xxx.xxx #<-din evt anden ip-adresse>
</Files>

Har man ikke en af de ovenfor nævnte ip-adresser, nægtes man adgang til hjemmesiden/wp-login

Når det er sagt, så er der ingen WordPress sites, der er 100% sikre.
Og da slet ikke, hvis man har sit site hosted i et delt miljø sammen med andre hjemmesider.

Svar: Kan man forhindre 'hacking' via plugins i Wordpress?

Tobias Hyldeborg — Sun, 07 May 2017 10:43:48 GMT

Jeg bruger iThemes Security-plugin til øget sikkerhed på alle mine egne sites, og til de kunder jeg laver WordPress for.

Svar: Kan man forhindre 'hacking' via plugins i Wordpress?

Henrik Schack — Sun, 07 May 2017 08:07:56 GMT

Hej

Det her plugin : https://wordpress.org/plugins/wp-updates-notifier

fortæller dig når der er updates plugins themes osv.

Mvh

Henrik Schack

Svar: Kan man forhindre 'hacking' via plugins i Wordpress?

Niels Madsen — Sun, 23 Apr 2017 21:32:14 GMT

davidchristensen:

Jeg har på det seneste oplevet, at nogle få af disse plugins rent faktisk har fungeret som en 'bagdør' for diverse skumle typer.

Blandt andet har jeg oplevet, at et plugin skaber en masse pop-up reklamer - og senest, at et plugin giver adgang til at oprette diverse brugere på sitet.

Hej David.

Den allerførste plugin du installere, efter du har lavet en ny Wordpress side, er at du installere Wordfence https://www.wordfence.com/

og få den sat op med dens Firewall, så er du godt begyndt med en sikker Website.

Mvh. Niels

Webdesign

Svar: Kan man forhindre 'hacking' via plugins i Wordpress?

devops — Sun, 23 Apr 2017 20:24:40 GMT

Hvis du har adgang til serverne, som de forskellige wordpress-sites ligger på er der en hel del ting du kan gøre.

Men hvis du ikke har, kan du måske kræve af leverandøren at man tager forholdsregler på selve webserveren, hvad enten det er nginx, apache eller noget andet.

F.eks. at der ikke må være php-filer i uploads-mapper, at webserveren ikke eksponerer sin identitet etc. Der kan også sættes attributter på filer, så de ikke kan ændres.

Evt. IDS på systemet, som automatisk kan alarmere og trigge en handling på serveren i en tidsbegrænset periode + mange andre ting.

Svar: Kan man forhindre 'hacking' via plugins i Wordpress?

Jan Deleuran — Sun, 23 Apr 2017 19:55:28 GMT

brug kun gennemtestede plugins med masser af reviews.

brug så vidt muligt plugins som du betaler for, og som du ved hvorfra kommer.

Jeg syn's det er et helvede at holde WP opdateret - netop fordi det bliver misbrugt så meget.
Så det gælder om at bruge så få extras som muligt.

at du ikke kan gennemskue koden, gør ikke tingene nemmere for dig.

Kan man forhindre 'hacking' via plugins i Wordpress?

davidchristensen — Sun, 23 Apr 2017 17:42:26 GMT

Kære Aminoer

Jeg har lavet en del hjemmesider for mine kunder, hvor jeg bruger Wordpress og sommetider diverse plugins.

Jeg har på det seneste oplevet, at nogle få af disse plugins rent faktisk har fungeret som en 'bagdør' for diverse skumle typer.

Blandt andet har jeg oplevet, at et plugin skaber en masse pop-up reklamer - og senest, at et plugin giver adgang til at oprette diverse brugere på sitet.

Jeg må sige, at jeg er ikke programmør; - jeg vil gerne fokusere mine grafiske og 'virksomhedsudviklende' ydelser for folk. Og disse oplevelser er mildest sagt ret belastende (både for mig og for mine kunder).

Så, hvordan kan jeg undgå at installere et plugin på en kundes hjemmeside, som derefter måske vil kompromitere alting?

Findes der måske endda et plugin, som 'holder øje' med de andre pugins?