WordPress – ērts un draudzīgs SEO
Tikai retajam atklāšu ko jaunu, sakot, ka WordPress ir viena no ērtākajām atvērtā koda (open source) platformām autonomu blogu un vienkāršu, taču kvalitatīvu mājaslapu izveidei. Taču pats svarīgākais – WordPress ir ļoti draudzīgs optimizācijai interneta meklētājsistēmās jeb SEO.
WordPress – mājaslapu LEGO
Mājaslapu uz WordPress bāzes var “samontēt” ar visai pieticīgām zināšanām programmēšanā, tomēr neliela kompetence šajos jautājumos būs ļoti noderīga. WordPress platformas un spraudņu (plugins) instelēšana, kā arī dizaina nomaiņa līdzinās LEGO konstruktora salikšanai – viss notiek tieši tik vienkārši. Turklāt WordPress, tā dizaini un lielākā daļa spraudņu pieejami bez maksas. Par maksu tiek piedāvāti visai specifiski, biznesam orientēti spraudņi un augstvērtīgi dizaini.
Linku ferma WordPress galvenē (header)
Iespējams šis virsraksts zinošiem koderiem izraisīs smīnu, taču man kā WordPress lietotājam, šis nepatīkamais atklājums izraisīja zināmu satraukumu.
Pirms neilga laika gluži nejauši nolēmu paskatīties viena sava uzturētā WordPress lapas kodu (labais taustiņš “View source”) un biju ļoti izbrīnīts, tur atklājot veselu kaudzi nesaprotamu linku uz ārējiem resursiem. Linku enkurtekstos (anchor text) bija redzami dažādu Holivudas filmu nosaukumi. Intereses pēc paskaitīju – linku kolonna aizņēma 8 ekrānus!
Kaut arī visām savām uzturētajām WordPress mājaslapām regulāri veicu gan paša WordPress, gan attiecīgo spraudņu (plugins) atjauninājumus, tomēr kāds, acīmredzot, bija uzlauzis šo WordPress mājaslapu ar Google PageRank 4 un ievietojis linkus.
Ārēji nekas nebija pamanāms – WordPress 2.9.2 mājas lapa izskatījās kā ierasts un darbojās normāli.
Ar interesi sāku pētīt galvenes – header.php failu, kurā bija ievietoti nevēlamie linki un kāda Javascript random funkcija, kas, acīmredzot, linkus “demonstrēja” noteiktā kārtībā no visas “kolekcijas”. Linki tur bija ievietoti tādi kādi tie ir un tos brīvi izdzēsu, taču, dzēšot skriptu, lapas izskats “sabruka”.
WordPress – tomēr uzlaužams?
Vēl atklāju, ka lapā ir reģistrējušies vairāki lietotāji, lai gan WordPress pamatuzstādījumos ķeksis “Anyone can register” bija izņemts un neviens lietotājs “no malas” lapā teorētiski nevarēja reģistrēties… taču faktiski bija reģistrējušies veseli četri lietotāji. Tātad – vai šajā aspektā atklājas WordPress ievainojamība?
Turpinājumā, izpētot mapes “wp-content” folderi “uploads”, atklāju divus PHP failus ar base64 skriptiem, kas, acīmredzot, nodrošināja visas parazītlinku fermas vadību WordPress lapā. Failu nosaukumi arī bija visai radoši: “wp-inclode.php” un “fotter.php”.
Kā atjaunot uzlauztu WordPress
Tā kā ar šādu problēmu saskāros pirmo reizi, to novērsu pakāpeniski, lai saglabātu lapas saturu bez datubāzes un pašas lapas FTP backup (secīgs izklāsts):
1) Internetā atradu un no jauna lejuplādēju izmantoto WordPress ādiņu (dizainu), lai tā būtu “tīra”;
2) nomainīju lapas izskatu uz vienu no WordPress defaultajiem dizainiem;
3) izdzēsu pilnībā visas bojātās ādiņas datnes;
4) uzlādēju un aktivizēju “tīro” WordPress ādiņu;
5) izdzēsu failus “wp-inclode.php” un “fotter.php”;
6) izdzēsu lapā reģistrējušos lietotājus;
7) veicu lapas dzinēja automātisko upgrade uz WordPress 3.0.;
8) izdzēsu visus neizmantotots spraudņus jeb “plugins”;
9) profilakses nolūkos, gadījumā, ja pašā wordpress instalācijā būtu pievienoti kādi nevēlami faili, kurus apgreids varētu būt saglabājis mapēs, – mehāniski no FTP servera izdzēsu visas WordPress mapes un failus, izņemot failu “wp-config.php” un satura mapi “wp-content”;
10) uzlādēju visus dzēstos failus atkārtoti, bet jau no garantēti “tīra” wordpress, kas novilkts no wordpress.org;
11) uzlādēju no jauna “tīrus” visu pluginu failus;
12) nomainīju FTP un MSQL datubāzes pieejas paroles.
13) pārģenerēju un nomainīju WordPress secure key wp-config.php failā
Faktiski problēma tika atrisināta jau pēc WordPress ādiņas nomaiņas, kaitīgo failu “wp-inclode.php” un “fotter.php”, un nesankcionēti reģistrējušos lietotāju dzēšanas, taču pārējās darbības veicu profilaktiskos nolūkos ar cerību, ka WordPress 3.0 būs drošāks. Protams, visu šo varēja atrisināt, veicot mazāku darbību skaitu, taču, meklēdams problēmas cēloņus, izvēlējos pakāpenisku risinājumu.
Diemžēl, jāsecina, ka atklātā koda programmatūra, kāda ir WordPress, var būt tikai nosacīti droša, pārējais paliek lapas uzturētāja ziņā. Risku viennozīmīgi pastiprina lapas popularitāte, apmeklējums un arī Google Page Rank – jo augstāks, jo lielāka varbūtība, ka kāds vēlēsies tajā nesankcionēti izvietot linkus.
Kā operatīvāk novērst līdzīgas problēmas ar WordPress
Skaidrs, ka WordPress ir tāds kāds tas ir un, ja neesmu speciālists advancētāku drošības risinājumu izveidē, tad kā ierindas lietotājs varu vismaz ieteikt kā operatīvāk konstatēt problēmas un atjaunot normālu WordPress mājas lapas darbību:
- regulāri jāseko mājalapai, jāpārlūko tās kods;
- datorā jāglabā atsevišķi “tīri” WordPress dizaina faili un spraudņu faili, lai vajadzības gadījumā tie katrs atsevišķi nebūtu no jauna jāmeklē internetā. Pašu WordPress jaunāko instalāciju varēs lejuplādēt no wordpress.org. Spraudņu atjauninājumus (upgrade) pēc tam varēs automātiski veikt no WordPress vadības paneļa;
- jāveic regulāras datubāzes un ftp servera rezerves kopijas (backups) – šim nolūkam ir ērti WordPress spraudņi (plugins);
- jāpārbauda vai lapā nav reģistrējušies nevēlami lietotāji un tie nekavējoties jāizdzēš. Parasti WordPress atsūta e-pastu tiklīdz piereģistrējies jauns lietotājs;
- regulāri jāatjauno (upgrade) spraudņi un pats WordPress. Tas tiek piedāvāts automātiski;
- regulāri jāmaina ftp un datubāzes servera pieejas paroles.
{ 1 comment… read it below or add one }
Drošības draudi nāk nevis no wordpress dzinēja (protams arī tam var būt ievainojamības), bet gan no spraudņiem, kurus var uztaisīt jebkurš (arī ļaundaris) un brīvi piedāvāt internetā. Tieši tos liekot virsū ir ļoti, ļoti jāuzmanās. Domāju, ka vismaz 94% uzlaušanas gadījumu izrausa līki spraudņi, vēl 5.5% servera konfigurācijas un tikai 0.5% pats wordpress dzinējs.