• Egyre több a támadás a WordPress ellen – mit tehetünk?

    Az ingyenes, nyílt forráskódú tartalommenedzselő rendszerek, mint amilyen a WordPress, a Joomla, a Drupal, az e107 és még néhány, mindig is ki voltak téve a támadásoknak. Korábban a WordPress volt a legbiztonságosabb, de most, hogy piacvezetővé vált, és egyre több komoly, nagyforgalmú weboldal is használja, mint amilyen például a CNN, egyre gyakrabban kerül a hackerek célkeresztjébe. Aki nem tesz meg mindent, hogy a weboldalát biztonságos állapotban tartsa, és kaput nyit a károkozóknak, az nemcsak a saját weboldalát, hanem a többiekét is veszélyezteti, akik vele egy szerveren vannak, és nemcsak a WordPress alapúakat, hanem az összeset, a szerver teljes működését. Márpedig ez – és ezt sokan nem tudják – a Büntető Törvénykönyvbe ütköző cselekedet, így rendkívül fontos a felelősségteljes magatartás, hiszen akár bűnvádi eljárás is lehet a figyelmetlenségből, nemtörődömségből. Sokszor írtam már arról, hogy a megjelenő frissítéseket mindig azonnal le kell tölteni, mert ezek a felfedezett biztonsági réseket tömik be, de ezen kívül is rengeteget tehetünk weboldalunk megvédésre. Az alábbiakban összefoglalom a legfontosabb lépéseket.

  • Hivatalos közleményünk a 2013. június 3-i szerver-incidensről

    Tegnapelőtt délután erős támadás indult a szerverünk ellen, a naplózás szerint az All-In-One-SEO-Pack nevű bővítményen keresztül, de összefüggésben volt a WordPress Pingback/Trackback funkciójával is, amely telepítéskor automatikusan bekapcsolt és engedélyezett állapotban van. A szerverre nem jutott be a támadás, viszont a WordPress oldalak működésében kb 20 perces kiesés volt tapasztalható.

  • Biztonsági rés a W3 Total Cache bővítményben

    Veszélyes hibát fedezett fel a napokban egy felhasználó a W3 Total Cache nevű, közismert és széles körben használt bővítményben. A W3 Total Cache eredetileg abból a célból készült, hogy a WordPress alapú weboldalak betöltésének sebességét gyorsítsa a statikus tartalmak gyorsítótárazásával. Egy konfigurációs hiba miatt azonban úgy néz ki, hogy “bárki egyszerűen letöltheti az összes adatbázis cache-kulcsot és azokból kiszűrheti az érzékeny információkat” – ahogyan a rés felfedezője írja.

  • Mit tegyek, ha feltörték a WordPress oldalamat? (És hogyan lehet megelőzni?)

    Pár hete vasárnap az egyik közismert tárhelyszolgáltatót érte hacker-támadás, amelyet gyorsan észleltek és ki is javítottak. Az ilyen jellegű betörések ellen a szolgáltató védekezik, és ha valami mégis bejut a szerverre, akkor az ő dolguk a helyreállítás. Azonban ha csak a Te oldaladat törik fel, azaz a hiba nem általános, akkor a tárhelyszolgáltatónak nem kötelessége ezt sem vizsgálni, sem javítani. Ilyenkor a Te dolgod a rosszindulatú kódok felderítése, törlése, és a weboldalad helyreállítása.

  • Kicsivel több biztonság

    Megjelent a WordPress legújabb, 3.3.2-es verziója. Elsősorban biztonsági okokból érdemes frissíteni, hiszen több rést is betöm (a média feltöltéssel és a flash tartalmak használatával foglalkozó függvényeket frissítették, amelyeket egyes bővítmények is használhatnak), illetve néhány javítást végeztek a multisite változatok számára. Közben folyik a WP 3.4 főverzió fejlesztése és béta-tesztelése is, amelybe természetesen bárki bekapcsolódhat. A következő tréningünk is ezekről a témákról szól: biztonsági kérdésekről, frissítésekről, hibajavításról.

  • 100 % biztonság 58 % kedvezménnyel

    Ez az ősz mintha a biztonságról, a támadásokról, a rosszindulatú szoftverekről és az azok elleni védekezésről szólna. Hat héttel ezelőtt a WordPress korábbi verziói ellen történt durva támadás, két hete pedig a Google jelzett rosszindulatú szoftvert a WP-Suli tanfolyamának gyakorló oldalán. Ezen a héten újra aktualitása van a biztonsági kérdéseknek, mégpedig azért, mert itt egy ragyogó alkalom a számítógéped védelmének erősítésére.

  • Komoly támadás a WordPress ellen – frissíts!

    Nem győzöm eleget hangoztatni a frissítések fontosságát. Nemcsak azért jönnek ki újabb és újabb verziók a WordPress motorból és a bővítményekből, hogy szebb, okosabb legyen a weboldalunk, hanem nagyon sokszor biztonsági réseket tömnek be ezek a frissítések. Ezen a hétvégén komoly támadás érte a WordPress weblapokat, úgy néz ki, hogy Kínából, Tajvanból, Litvániából és máshonnan jönnek, de tárhelyszolgáltatónk, a Silihost is megerősítette, hogy kizárólag a nem frissített, 2.9.2. és 3.0.1. verziójú WordPress oldalak voltak és vannak veszélyben.