Etter at noen installasjoner av WordPress 2.8.4 (du har oppgradert?) ble utsatt for en del angrep av bl.a. typen Denial-Of-Service har behovet for å ha kontroll med sin WordPress installasjon økt. Det er selvsagt alltid viktig å benytte seg av riktige fil og mappe rettigheter på serveren din, men dette er noe jeg vet av erfaring kan være vanskelig å sette seg inn i. Siden du er eier av ditt eget domene med WordPress installert, så går jeg utifra at du har lest gjennom WordPress sin guide til sikre fil rettigheter - hvis ikke så bør du gjøre det nå!

Nå skal det sies at selv om du både har lest igjennom dette og holder tungen beint i riktig munn – så er det ikke så lett å få dette riktig til.

En annen ting du alltid gjør er jo selvsagt å «lese» igjennom koden til temaer og innstikk du laster ned fra andre steder enn WordPress.org – for du vet aldri hva du kan ha lastet ned… Du trenger ikke å kunne PHP/mySQL eller HTML for å «lese» igjennom koden i det du laster ned. Hvis du vet hva du skal se etter, er det for så vidt enkelt å finne ting som ikke skal være der. Her er en liten oversikt over hva du kan se etter;

<iframe

<iframe brukes gjerne til å sette innhold inn i bloggen din fra andre nettsteder. Brukes gjerne i temaer.

eval(

eval( brukes gjerne i innstikk og temaer for å skjule bl.a. javascripts og php/html kode

String.fromCharCode

String.fromCharCode brukes ofte til å skjule javascript

base64_decode

base64_decode brukes ofte til å skjule ondsinnet kode, gjerne URLer (nett adresser)

Disse eksemplene er ikke utfyllende, det vil si at det finnes mange andre måter å skjule ondsinnet kode i noe så uskyldig som et tema til din WordPress blogg. Det dumme er at alle disse eksemplene kan også brukes på en «pen» måte, det vil si de kan være en nødvendig del av koden som trengs for å drive et tema eller et innstikk på bloggen din, så det er viktig å se dette i sammenheng med resten av koden. Noe som ofte skille «snill» kode og «ondsinnet» kode er kommentarer i koden. En programmerer med rent mel i sekken kommenterer som oftest i koden sin. Det vil si at han eller hun skriver små forklarende kommentarer i og rundt koden. Et eksempel på kode med kommentar;

base64_decode('R0lGODlhAQABAIAAAH//AP///ywAAAAAAQABAAACAUQAOw==')); // very simple 1px GIF file base64-encoded as string

Det å lese igjennom kode er selvsagt ikke noe som er gøy å gjøre men av og til er det noe du virkelig bør vurdere å gjøre. For de av dere som følger en del (litt mer en normalt…) med i WordPress miljøet er nok kjent med Donncha O Caoimh – mannen bak mange innstikk og ikke minst drivkraften bak WordPress MU. Donncha har bl.a utviklet innstikket WordPress Exploit Scanner. WordPress Exploit Scanner er et innstikk som leser igjennom alle mapper og filer i din WordPress installasjon for å finne ut om noen har plantet ondsinnet kode i noen av disse. Dette er noe som selvsagt letter jobben din voldsomt med å holde bloggen din sikker, men den erstatter ikke det å lese gjennom koden med (u)jevne mellomrom, være sikker på hvor du laster ned temaer og innstikk fra – og sist men ikke minst at du ofte tar backup av bloggen din.

WordPress Exploit Scanner finner bl.a. de metoder som er nevnt over, men har ingen mulighet for skille «snill» fra «ondsinnet» kode, dette er noe du selv må vurdere i hvert enkelt tilfelle. Men framdeles gjelder tommelfinger regelen at «snill» kode som oftest er kommentert av programmereren. En annen måte å verifisere at koden som er i din(e) tema og innstikk er legitime, er å spørre utvikleren selv. Du kan også benytte deg av det norske WordPress forumet som du finner på http://norsk.bloggs.be – der vil det som oftest være noen som kan svare deg eller peke deg i riktig retning for videre «etterforskning».

Når du har ditt eget domene med WordPress eller annen form for programvare på, er det viktig at du har kontroll på hva du laster inn på serverplassen din, du som domene eier står selv ansvarlig for at ikke din side inneholder kode som enten kan være en plage eller skadelig for dine besøkende og/eller serveren du er leier plass på. En av de viktigste vedlikeholds rutinene du må følge er å holde all kode oppdatert til siste utgave. Som WordPress bruker er dette enkelt for deg. Både selve «hovedkoden» (WordPress) og alle innstikk og temaer lar seg raskt og enkelt oppgradere fra WordPress sitt kontrollpanel.

Hvis du føler at du ikke har kunnskap nok til å vedlikeholde og drifte en WordPress installasjon, bør du gjerne vurdere noen av de gratis blogg alternativene som finnes der ute. Alternativt kan du ta kontakt med et firma som kan hjelpe deg med både vedlikehold og sikkerhets kontroller av bloggen/serverplassen din. Mye av «hemmeligheten» med å finne «ondsinnet» kode er erfaring – det å vite hvor man skal lete og hva man skal lete etter.

Husk alltid de tre B’er når det gjelder alt som gjelder data; Backup, Backup og Backup…