Sfaturi de securitate a blogului WordPress
Nu este suficient pentru a înlătura consecințele, trebuie să înțelegeți cauzele. Am scris deja asta am fost hacked și se presupune că am decis cu toții. Cu toate acestea, o săptămână mai târziu povestea s-a repetat, un alt script jquery a fost schimbat, precum și fișiere .htaccess. Și în .htaccess au fost redirecționări către unele site-uri din stânga numai pentru dispozitive mobile și tablete, și de aceea am observat că nu imediat.
În câteva zile, am reușit să găsesc toate fișierele modificate de atacator, precum și cele create de el special pentru penetrare (shell). Și din nou, mulțumesc găzduirii pentru ajutorul lor. După care am decis să iau toate măsurile descrise pe Internet.
Conținutul articolului
- 1 Toate părțile din micul meu blogger Întrebări frecvente:
- 2 Sfaturi de securitate a blogului WordPress
- 2.1 Actualizați codurile de contor și widget
- 2.2 Actualizați toate pluginurile și WordPress la cele mai recente versiuni și eliminați neutilizate
- 2.3 Actualizați timthumb.php
- 2.4 Verificați permisiunile pe dosare și fișiere
- 2.5 Schimbați numele de utilizator admin
- 2.6 Schimbați toate parolele pe cele mai complexe
- 2.7 Protejați fișierele .htaccess și wp-config.php de accesul tuturor
- 2.8 Protejați folderul wp-include cu .htaccess
- 2.9 Protejați folderul wp-admin cu .htaccess și .htpasswd
- 2.10 Schimbă prefixul bazei de date
- 2.11 Instalați Belavir Plugin
- 2.12 Instalați WP Security Scan Plugin
- 2.13 Instalați mai bine WP Security Plugin
- 2.14 Monitorizarea modificărilor pe ftp
- 2.15 Copii de rezervă ale bazelor de date și fișierelor o dată la câteva zile
Toate părțile din micul meu blogger Întrebări frecvente:
Am scris o serie de articole legate de blogging. Ei nu pretind a fi un manual cu drepturi depline, dar începătorii pot fi utili. O puteți citi, dacă vă interesează.
0. Recomand cursul «Cum să devii blogger milionar și să câștigi bani»
1. Cum să pornești un blog
2. Cum să promovez un blog - o listă cu acțiunile mele
3. Cum să câștigi bani pe un blog și călătorii
4. Un exemplu de câștig pe blogul nostru - Finstrip 2013, finstrip 2012, Finstrip 2011
cinci. Trafic de citire și de căutare și de ce nu revin cititorii
6. Un mic adevăr despre blogurile de călătorii
7. Sfaturi pentru protecția blogului WordPress
Sfaturi de securitate a blogului WordPress
Este puțin probabil ca lista să fie completă și, așa cum spun ei, oricine are nevoie, oricum o va sparge. Dar cel puțin aproape orice blogger poate face aceste acțiuni pentru a se proteja cel puțin..
Actualizați codurile de contor și widget
Verificați codurile tuturor contoarelor și widgeturilor sociale de pe blogul dvs. și de pe site, de unde le-ați obținut.
Poate că au fost actualizate. Am observat că Facebook schimbă adesea codul pentru widget-uri, sporește securitatea aparent.
Actualizați toate pluginurile și WordPress la cele mai recente versiuni și eliminați neutilizate
Aici comentariile sunt de prisos, toată lumea știe să o facă. Vulnerabilitățile sunt de obicei conținute în pluginuri și teme, prin urmare, cel puțin, toate cele neutilizate ar trebui eliminate.
Actualizați timthumb.php
Dacă tema dvs. utilizează miniaturi de redimensionare folosind timthumb.php, atunci trebuie să actualizați cu siguranță acest fișier la cea mai recentă versiune, deoarece versiunile mai vechi au o vulnerabilitate cunoscută.
Verificați permisiunile pe dosare și fișiere
Toate fișierele trebuie să aibă 644 permisiuni, 755 foldere, cu excepția .htaccess - 444 permisiuni și foldere de încărcare - 777 permisiuni.
Schimbați numele de utilizator admin
Cea mai rapidă opțiune este să accesați phpadmin și acolo, în baza de date, să executați această interogare:
UPDATE wp_users SET user_login = ‘Noua dvs. autentificare’ WHERE user_login = ‘admin’;
Sau puteți pur și simplu să creați un utilizator nou prin intermediul panoului de administrare al blogului, să le reasignați toate articolele și să ștergeți vechiul utilizator de administrator..
Schimbați toate parolele pe cele mai complexe
Sfaturi banale, dar parolele ar trebui să fie complexe, constând din numere și litere din diferite registre. De asemenea, nu uitați că, după lupta împotriva virușilor, trebuie să schimbați toate parolele în orice mod (admin blog, admin hosting, ftp, sql database) și, de asemenea, are sens să schimbați cheile secrete din fișierul wp-config.php.
Protejați fișierele .htaccess și wp-config.php de accesul tuturor
Adăugați la .htaccess dvs. în rădăcina blogului, acest cod:
Comanda refuza permis
negă din toate
comanda permite, negă
negă din toate
Protejați folderul wp-include cu .htaccess
Creați un fișier text obișnuit, sunați-l .htaccess și copiați-l în folderul wp-include, după adăugarea codului în fișier:
Comandați Permiteți, refuzați
Neagă de la toate
Permiteți din toate
Protejați folderul wp-admin cu .htaccess și .htpasswd
Creăm fișierul ca fișier text simplu, îl denumim .htaccess și îl copiem în folderul wp-admin, după adăugarea codului în fișier:
AuthUserFile /home/public/.htpasswd
AuthType Basic
AuthName “restrâns”
Comandați Deny, Allow
Neagă de la toate
Solicitați un utilizator valid
Satisface orice
Unde, «/home/public/.htpasswd» Este calea completă către fișierul .htpasswd. Este recomandabil ca acest fișier să fie situat deasupra directorului blogului tău.
Fișierul .htpasswd conține parola de acces la zona wp-admin într-o formă criptată. Cel mai simplu mod de a crea acest fișier este de a introduce numele de utilizator și parola în mod obișnuit. Cel mai bine este să nu repetați și să indicați date care sunt diferite de conturile existente.
Există un singur inconvenient cu această metodă - nu se aplică dacă aveți un blog cu mai mulți utilizatori, deoarece parola va fi solicitată tuturor utilizatorilor.
Schimbă prefixul bazei de date
Schimbați prefixul bazei de date sql de la standard «wp_» pe unele «wpsdjflk647_» A fost posibil chiar la începutul creării blogului. Dar acum aceasta nu este o problemă. I-am făcut un plugin, despre care vom discuta mai jos. Deși puteți intra în phpadmin, înlocuiți toate numele tabelelor de acolo, apoi modificați prefixul în fișierul wp-config.php
Instalați Belavir Plugin
Instalați pluginul Belavir, care va urmări modificările din toate fișierele php ale blogului dvs. Pluginul în sine nu monitorizează nimic, dar începe scanarea când accesați panoul de administrare a blogului din pagina Console, unde afișează efectiv modificările. Nu are setări.
Instalați WP Security Scan Plugin
Instalați pluginul WP Security Scan, cu ajutorul căruia puteți face unele lucruri, în special:
- schimbarea prefixului bazei de date
- verificați permisiunile pe dosare și fișiere
- ascunde versiunea WordPress
- conectați un antivirus pentru un blog și verificați-l
Instalați mai bine WP Security Plugin
Instalați pluginul Better WP Security, este chiar mai necesar decât cele două precedente. Lista caracteristicilor sale este foarte mare, voi enumera o parte:
- vă permite să modificați prefixul bazei de date
- elimină informațiile inutile din codul blogului după tipul versiunii wordpress
- monitorizează modificările din toate fișierele
- interzice ip-ul celor care introduc adrese ciudate în browser după numele blogului dvs., primind o eroare 404
- interzice selectarea unei parole pentru panoul de admin, ban ip
- schimbă adresele de conectare admin standard, protecție excelentă împotriva atacurilor cu forțe brute
- și mult mai mult.
Monitorizarea modificărilor pe ftp
Instalați programul ftpinfo pe computerul dvs., care vă permite să vă conectați la serverul dvs. ftp și să monitorizați modificările tuturor fișierelor de cont pentru apariția / ștergerea / modificarea acestora. Lucru foarte la îndemână în timpul atacurilor de virus. Puteți monitoriza nu numai toate fișierele, dar pot crea și măști pentru fișiere și foldere.
Copii de rezervă ale bazelor de date și fișierelor o dată la câteva zile
Un lucru foarte util, poate fi util pentru combaterea virusurilor. Fișierele originale vor fi întotdeauna la îndemână și va exista posibilitatea de a reda dacă nu este posibil să curățați site-ul de viruși. Folosesc pluginul BackWPup. Are multe funcții, inclusiv copierea datelor în Dropbox - un serviciu convenabil care oferă 2 GB spațiu gratuit pe internet și sincronizare cu computerul.
Acestea sunt sfaturile pentru protejarea unui blog WordPress pe care l-am aplicat pe blogul nostru. Dacă există întrebări sau completări (poate se poate face altceva), scrieți în comentarii :)