Да преборим спам-а в wordpress

4919659112_b9f6b0df8f_o

Спамът е неразделна част от почти всяко начинание в Интернет, независимо дали желаете да имате блог за личните си преживявания, бизнес сайт за вашата компания или онлайн магазин.

Особено вярно е това за готовите CMS (Content-Management-System) решения като WordPress, Joomla, Drupal и т.н. Поради тази причина екипът на Host.bg в серия от постове ще ви даде насоки, с които можете да намалите и дори напълно елиминирате нежеланите коментари, регистрации и поща през контактната форма.

Ще започнем с най-разпространената и популярна CMS система последните години – WordPress. WordPress е мултифункционална софтуерна система, която може да ползва за широка гама от сайтове, напълно различни като визия и функции. Популярността се дължи на огромното и съзидателно общество, което непрекъснато разработва нови разширения, теми и дори помага за откриването на потенциални пробиви в сигурността. Това ни води и до първата и най-важна точка за защитата на WordPress:

1. Винаги актуализирайте WordPress до най-новата налична и стабилна версия. WordPress ви напомня за това – не игнорирайте тези съобщения. Актуализацията (в общия случай) е бърза, автоматична и безпроблемна.

1.1 Просто натиснете бутона „Please update now“ на съобщението за налична нова версия:

u1

И следвайте стъпките за да завършите актуализацията:

u2

1.2 Същото е необходимо да правите за всички плъгини/приставки/добавки/разширения, които използвате, както и облиците за вашия сайт. Host.bg ви препоръчва да не ползвате приставки или облици от съмнителни автори и сайтове или такива, които предлагат безплатни версии на премиум (платени) темплейти и плъгини.

2. За да се предпазите от голяма част от спам-а в коментарите ви препоръчваме използването на специализираните за това добавки – например вградената в новите версии на wordpress Akismet. Нейната активация става по следния начин:

2.1 Активирате Akismet – можете да направите това от меню „Plugins“ > „Installed Plugins“ („Разширения“ ако wordpress ви е на български език):

1

2.2 Създаване и активиране Akismet акаунт:

2

и си генериране ключ (или ако вече притежавате създаден използвате него):

3

2.3 В случай, че нямате ключ ще бъдете пренасочени към официалния сайт на akismet, откъде може да създадете необходимия API key:

4

За това, разбира се ви е необходим и акаунт (ако вече имате регистрация на wordpress.com, можете да използвате същия профил):

5

Трябва да авторизирате akismet да се свърже с wordpress:

6

И да попълните вашата информация – необходимо е също да изберете персонален план на akismet – използването му за комерсиална употреба е платено.

След цялата тази процедура ще получите вашият API key:

8

2.4 Въвеждате API ключа в настройките на инсталирания Akismet в административния панел на wordpress:

9

3. Третата задължителна стъпка за предпазване от спам е да инсталирате captcha защита във формата за коментари или контакт.

CAPTCHA (главни букви на латиница, ˈkæptʃə, понякога предавано като капча) е тест за сигурност, използван в информатиката, за който се смята, че може да бъде издържан само от човек. Процесът се състои в това компютър да генерира прост въпрос, чийто отговор е очевиден за човек, но не и за друг компютър. Типичен CAPTCHA тест е показването на разкривени букви, които потребителят трябва да въведе.

Препоръчваме използването на reCAPTCHA плъгин-а за wordpress, като една от най-сигурните подобни защити (А и с нея помагате за сканирането на стари книги ;))

3.1 Можете да инсталирате въпросната приставка от „Plugins“ > „Add New“ („Разширения“ > „Добавяне на Още“) като търсите термина „recaptcha“:

r1

Първият резултат обикновено е нужният ни и кликваме „Install Now“ (но ви препоръчваме да четете описанието и да взимате предвид оценката и репутацията при инсталиране на каквито и да добавки):

r2

След няколко секунди инсталацията трябва да е завършена и можем да активираме плъгина:

r3

3.2 Тук отново трябва да създадем API ключ. Бутонът „here“ ще ви отвори сайтът на recaptcha:

r4

За него можете да използвате Google акаунта си (всеки от свързан с Gmail, G+, Youtube или други Google приложения) и да генерирате специализиран ключ за вашия сайт:

r5

И получавате ключовете:

r6

Въвеждате ги обратно в административния панел на wordpress:

r7

И вече имате защита за вашите коментари и контактни форми:

r8

Очаквайте съвети и останалите популярни CMS системи.

WordPress Up

WordUp - WordPress форум

Първата в България WordUp конференция вече е факт. Тя събра потребители на най-популярната платформа за създаване уеб сайтове и разработчици на разширения за платформата под гостоприемния покрив на академия Телерик. Събитието показа, че българската WordPress общност има нужда от този форум. Интересът към мероприятието беше голям, а активността на участниците показа високото ниво на специалистите, ангажирани с платформата у нас.

Няколко основни теми фокусираха вниманието на аудиторията. Инструменти и хитрости при разработката на теми и плъгини за WordPress очаквано формираха единия от акцентите в програмата. Презентации с този фокус направиха Константин Данков и Христо Чакъров. Темата за сигурността също беше подобаващо застъпена. WordPress евангелисти, като Марио Пешев и Димитър Николов, допринесоха за многообразието на тематиката, а гост-лекторът от Холандия – Марко Хайнен обърна внимание на стандартите при разработка на приложения за популярната платформа. Блогърър Пламен Петров разчупи технологичното статукво и напомни, че идеалната техология и създаденият с нейна помощ идеален сайт не могат да заменят качественото съдържание. Организаторите от NewBiz Club обeщаха да публикуват всички презентации от форума на сайта на събитието: wordup.bg.

Конференцията разкри, че общността от разработчици у нас са ориентирани предимно към WordPress проекти вън от страната. Българските потребители от своя страна търсят евтини или безплатни решения от глобални доставчици. Разработката на пакети от теми например, не е приоритет за WordPress специалистите в България. Броят на посветилите се на създаване на пакети от теми у нас не е висок, а универсални теми с включена поддръжка почти не се предлагат.

Къстомизирането на сайтове с помощта на плъгини предизвиква по-голям интерес. Широкозастъпеният начин на снабдяване с подходящо разширение обаче, остава търсенето на готови плъгини в Интернет. Нова област в развитието на платформата е предлагането на решения, които са фокусирани във вертикалните пазари. Това са сайтовете от един бранш, а услугата предлага специфични улеснения за създаването им, под формата на софтуер като услуга.

Специално внимание на форума беше отделено на сигурноста. Kакто стана ясно, основният проблем идва от темите и плъгините. И докато за плъгините в повечето случаи може да се разчита, че разработчикът се грижи за тяхната сигурност, темите остават най-уязвимото място при използване на WordPress. Пробиви могат да бъдат установени както в безплатните, така и в платените теми. В последния случай реакцията на доставчиците обикновено е своевременна и единствено т. нар. zeroday уязвимости представляват опасност.

Големият проблем обаче си остават теми, които са модифицирани със зловреден код преди да се публикуват за безплатно изтегляне от мрежата. Една от препоръките на конференцията бе, че неоригинални източници, като форуми, коментарни секции и др. подобни не трябва да се използват. Ако все пак се избере тема без доказан произход, трябва да се вземат мерки за нейната проверка. Това може да стане с плъгини за защита или инструменти за проверка. Миглен Евлогиев даде списък на такива инструменти и препоръча използването на Suhosin версия на PHP, която комплексно филтрира голям брой нерегулярни заявки. В контролния панел на Host.bg такава версия може да бъде избрана в модула за настройка на PHP с индекс „s“ след номера на версията. Едно от най-полезните места за намиране на повече информация свързана със сигурността на WordPress остава сайта wordpress.org. Ето няколко полезни линка:

Валидатор на кода на темите:
  wordpress.org/extend/plugins/theme-check
Проверка за зловреден код в темплейтите:
  wordpress.org/extend/plugins/antivirus/
Проверка в плъгините:
  wordpress.org/extend/plugins/tac/
Проверка в wordpress:
  wordpress.org/extend/plugins/quttera-web-malware-scanner/
Проверка в целия сайт:
  wordpress.org/extend/plugins/exploit-scanner/

10 билета, 10 победителя- WordUp! Conference 2013 Sofia

10-Symbol

10-те безплатни билета се оказаха твърде малко за желаещите да присъстват на първата WordUp! Conference София 2013 година, но какво да се прави…. Пламен, Боян, Александър, Стефана, Гергана, Христо, Георги, Юлиан, Силвина и Владислав ще имат късмета, благодарение на Host.bg да посетят най-якото WordPress събитие за тази година. На 27.04.2013 г. (събота) ще дадем старта на първото издание на събитието, паралено с WordUp Conference Scotland, което ще започне по същото време в Единбург Шотландия. Всички, които искат да участват, все още могат да се регистрират на сайта на събитието. Научете повече за програмата

Уязвими теми за WordPress

wordpress-vulnerability-fire

Най-популярната платформа за бързо и лесно създаване на уеб сайтове WordPress продължава да бъде във фокуса на хакерската активност. През последния месец, освен необичайно голямата мрежова атака от типа DDOS, все по-агресивно се атакуват уязвимости в графичните теми. Техническата поддръжка на Host.bg последователно изследва всички атаки. В момента има засилен интерес към теми, които използват инструмента TimThumb. Традиционно продължават да се експлоатират голям брой теми със CSRF (Cross-Site Request Forgery) и CSS (Cross Site Scripting) уязвимости. Списъкът на атакуваните уязвимите теми е публикуван по-долу. Пролуките в сигурността се използват за:

– Изпращане на спам
– Инсталиране на зловреден код
– Участие в мрежови атаки
– Кражба на акаунт информация
– Промяна на началната страница
– Компрометиране на коментарна секция
– други

TimThumb aтаката представлява трудна за отстраняване, по оценка на специалистите, но сравнително лесна за експлоатиране уязвимост. Тя се осъществява през кешираните файлове, които Wordpres създава на картинки и иконки в подпапки на папката wp-content. Кеш файловете се подменят с такива с достъп до „shell“-a, след което хакерът получава пълен достъп до платформата.

За съжаление проблеми има както при безплатните, така и при платени теми. Няма гаранция, че ако сте закупили темата тя ще е защитена. Срокът за защита на платените теми все пак е много по-къс. Нашият съвет към потребителите на WordPress е да проверят, дали използват някоя от темите от публикувания списък. Заедно с това трябва да обърнете внимание на версията на темата, която използва вашият сайт. Ако темата е уязвима незабавно се свържете с Техническата поддръжка на Host.bg, за да получите помощ за идентифициране на евентуален проблем и по-важното вземете мерки за отстраняване на евентуалната уязвимост.

Списък с уязвими теми.

20khabar
acens
Aggregate
airfolio
amplus_v1.6
another
aquitaine
arras
arthemia-premium
AskIt
Aurelius
Avenue
awake
bestvariety
blacklabel
blindway_themes
bueno
busybee
Calypso
Carta
Chameleon
cinch
cityguide
classic
classifiedstheme
clockstone
count.php
dandelion_v2.6.1
DeepFocus
default
delicate
delight
directorypress
disney
dizimag
duotive-three
DynamiX
ecobiz
eGallery
ElegantEstate
elemental
eNews
envision
Envisioned
ePhoto
estate
etiquette-wp
Feather
folioway
Gallope
gazette
genoa
Glow
graphene
greatio
headlines
headlines_enhanced
hotvariety
InnovationScience2
InReview
inuitypes_free
invictus
IRAnian
Iris
Karma
Karma_planete
LeanBiz
LightBright
Linepress
listings
LondonLive
Lycus
magazinum
magnific
Magnificent
mainstream
manifesto
metrolo
Modest
modularity
monmarthe
multidesign
newcar
News
newsworld
Nova
object
obvious
ocram_1.1
parachute
pattoncommerce
photoria
Polaris Package
Polished
premiumnews
primely-theme
primely-wordpress
profitstheme
PureType
purevision
retreat
rocknpup
rockwell_v1.3
Romix
royalty
rujlu
scarlett
setinstone
Shuttershot
simplicity
snapshot
sohbettema
sportpress
suffusion
supermassive
teardrop
Telegraph
thedawn
themes.php
TheProfessional
TheSource
TheStyle
TheTravelTheme
TidalForce
transcript
twentyeleven
twentyten
u-design
urbanhip
versatile
vilisya
visitingtherapyservices
Webly
webstudio
welcome_inn
widescreen
work
wpzoom

Ако все още нямате сайт, изберете своя хостинг план и домейн име и създайте своя собствена страница с безплатния инсталационен пакет Softaculous.

Първата в България WordUp! Conference

Първата в България WordUp! Conference ще се проведе на 27.04.2013 година с икзлючителната подкрепа на Host.bg. WordUp! Conference Sofia 2013 се организира в партньорство с WordUp Conference Scotland, която ще се проведе паралелно по същото време в Единбург, Шотландия.

Host.bg дава възможност на 10 от вас, всички наши фенове, клиетни и приятели безплатно да станете част от събитието. Всичко, което трябва да направите е да заявите своето желание, през нашата контактна форма в сайта.

Българското събитие ще събере на едно място най-големите специалисти, занимаващи се с WordPress у нас. Те ще покажат на практика полезни трикове и възможни спънки при работа с платформата. Едно събитие, което определено не е за изпускане!

Билети ще спечелят първите 10 заявили и потвърдили участие на посоченият от тях e-mail 😉

Успех на всички!