Wordpress sikkerhed – Vigtigt plugin

5. maj, 2008

En dag skal jeg nok skrive en større guide til sikkerhed i Wordpress, men inden vi når dertil, er der en vigtig sag at nævne og et hurtigt tip, som kan forbedre din blogs sikkerhed væsentligt og på en dejlig let måde.

Sådan plejer det at være..

Se, en af de ting, som du kan gøre i Wordpress for at øge sikkerheden en smule, er at du i dine temafiler kan finde header.php og i den fil slette det sted, som gør at Wordpress selv oplyser om hvilken version den er til alle der gider at læse det (fx en bot som leder efter lette ofre). Dét, som du skal lede efter og slette i din header fil er <?php bloginfo(’version’); ?>.

Med nyere versioner er det ikke nok

På et tidspunkt (omkring version 2.5 af Wordpress gætter jeg på uden at have undersøgt det i dybden) har tingene ændret sig. Nu virker det gamle trick ikke længere.

Sagen er at Wordpress (mindst fra vesion 2.5) afslører sit versionsnummer selvom du har slettet <?php bloginfo(’version’); ?> fra headeren.

Det som sker er at kaldet, <?php wp_head(); ?>, som er standard i Wordpress nu også leverer versionsnummeret i headeren.

Moskjær redder dagen!

Det er heldigvis let at løse problemet. Jeg er nemlig så privilegeret at abonnere på Kurt Moskjærs glimrende blog, som tit kommer omkring både Wordpress, sikkerhed og søgemaskineoptimering. Her får du hans feed, så du også kan være privilegeret fremover!

I går skrev Kurt en post om et plugin til sikkerhed i Wordpress, WP Security Scan, som både løser det ene og det andet mht sikkerhed i Worpress. I dag har vi begge testet pluginet i forhold til netop det nævnte problem, og det viser sig at WP Security Scan klarer ærterne så snart det er aktiveret på din blog.

Det kan også en masse andet, som du kan læse om i Kurts beskrivelse.

Fik jeg sagt, at jeg synes, du skal abonnere på Kurts blog?

Gemt under Plugins, Sikkerhed 9 kommentarer

Google Reader eller Google Startside

Abonnér på RSS Feed

9 kommentarer

Kurt Moskjær Andersen 5. maj, 2008:

Tak for roserne, Anders.

Saugstrup 5. maj, 2008:

Bare rolig, de er velfortjente!

Niels Gamborg 8. maj, 2008:

Tak for tippet, Anders.

Jeg kører jo stadig 2.3, og elsker tips man kan udføre på under 20 sekunder. Det gør blogging så dejligt overskueligt.

Thomas Clausen 12. maj, 2008:

Man kan også forbedre sikkerheden af Wordpress ved at bruge den nye Secret_Key.

Saugstrup 13. maj, 2008:

Tak for tilføjelsen, Thomas!

Kimpo 25. maj, 2008:

Jeps, styrer et par wp-blogs med 2,3,3. Det må være kommet med den på mange måder skodagtige 2,5

Thomas Clausen 27. juni, 2008:

Donncha O Caoimh som er en Pimus moter på Wordpress MU, har lavet et plugin, der gør at man kan tjekke sit Wordpress site for kompromitteret database eller filer.

Saugstrup 15. januar, 2009:

I denne gode artikel om Wordpress sikkerhed nævner og linker Michal Gray til yderligere tre gode sikkerhedsplugins til Wordpress:
http://www.onlinemarketer.com/the-downside-of-using-wordpress/

Ulf Reese Næsborg 6. marts, 2009:

Ovre på tegneseriesiden, har jeg tilføjet følgende til mit temas functions.php :
function remove_generator() { return ''; } add_filter('the_generator', 'remove_generator');
hvilket gør det samme som “fjern bloginfo(verison)funktionen” i wp security scan og tilmed også fjerner versionsinfo fra RSS-feedet, hvilket wp security scan ikke gør.
Jeg var nødt til at fjerne wp security scan, da den lavede konflikt med et af mine plugins. Tip hermed givet videre.