I kampen mod hax0rs af dit Wordpress site

Last updated on 
I kampen mod hax0rs af dit Wordpress site

...gælder alle kneb! Her vil jeg kort ridse nogle stykker op, og giver det ikke pote så er du velkommen til at kontakte os (måske har vi et enkelt es tilbage i ærmet) :)

Check at din liste af brugere er som den skal være

Er der kommet yderligere brugere til? Som du ikke var klar over? Som ingen var klar over? Fjern dem! Det er nemmere at blive tilgivet for at have smidt en bruger ud, end at dit website "holder stille".

Reset brugernes passwords med jævne mellemrum - 60-90 dage er et rimeligt interval. Brugerne vil uden tvivl brokke sig - mere hvis de ikke kan bruge website't end hvis de ikke kan logge ind, fordi de skal forny deres password!

Kontrollér alle filer

Hent en kopi af alle filer fra dit website og sammenlign dem med en "original" (den backup du lavede, da du satte dit Wordpress site i produktion for nogen tid siden).

Er der filer som er ændret siden, så få en snak med den, der har ændret dem, og find ud af om det er helt legitimt eller om det i virkeligheden er ændringer som slet ikke skulle være der.

Kontrollér databasen under dit website

Dit website har en tilknyttet database. Den kan du sidde og patch'e i med de bare fingre. Log ind i et værktøj som giver dig adgang til databasens tabelrækker, husk at tage en sikkerhedskopi før du giver dig til at rette, og fjern så de rækker, hvor indholdet ser mistænkeligt ud.

Det kan være mange forskellige ting - men her er nogle "ord" som måske kan lede dig på vej:

  • *.js
  • cdn[.]online
  • redirect
  • nofollow
  • setup-config.php

Det er ikke sådan at disse ord nødvendigvis er lig med at indholdet er dårligt - men det bør advare om at indholdet bør kontrolleres.

Hold øje med dine plugins

Søg dem ud på Google Dorks - og check at de ikke er ømtålelige overfor fx XSS (cross site scripting). Lær at bruge Dorks her.

Her er fx et udpluk fra en aktuel liste for 2018 over partial URL's som er/kan være ømtålelige for SQL injection:

  • category_list.php?id=
  • categorydisplay.php?catid=
  • checkout.php?cartid=
  • checkout.php?UserID=
  • checkout_confirmed.php?order_id=
  • checkout1.php?cartid=

Genkender du nogen?

Check at din webserver har disse opsætningen

Der findes tilsvarende indstillinger til NGiNX men her viser jeg dem der hører til Apache:

#security.conf
<IfModule mod_headers.c>
  Header always append X-Frame-Options SAMEORIGIN
  Header set X-XSS-Protection "1; mode=block"
  Header set X-Content-Type-Options nosniff
</IfModule>
<IfModule mod_rewrite.c>
  RewriteEngine On 
  RewriteCond %{REQUEST_METHOD} ^TRACE 
  RewriteRule .* - [F]
</IfModule>

# .htaccess
Options -Indexes

Lade Google hjælpe med

En pænt uvildig part er Google (og så kan man jo så iøvrigt mene om dem, hvad man vil). De har noget, de kalder Google Search Console, som ejere af websites kan bruge til at holde øje med hvordan Google behandler dem.

Brug det - gå ned til punktet Security Issues / Sikkerhedsproblemer -

Brug en online scanner

Der findes en stak online scannere - men fx VirusTotal er kendt som en af de bedre. Brug den til at sikre dig, at dit website ikke (måske fejlagtigt) så opført som "befængt" blandt en lang række sites!