Как улучшить безопасность на вашем собственном веб-сайте WordPress.

Всем привет, Недавно мой сайт был взломан (был установлен вредоносный код). Я запаниковал и нанял фрилансера, чтобы это исправить. Привет, почистил файлы и через несколько дней проблема повторилась снова. Сканирование плагина Wordfence обнаружило те же вредоносные файлы.

Итак, я начал копаться в этом, чтобы найти решение.

Ниже вы можете найти мои предложения о том, как улучшить безопасность.

Пожалуйста, поделитесь своим, чтобы помочь другим. 1. Я добавил эти строки кода в .htaccess, чтобы скрыть wp-config.php и .htaccess:

 define('DISALLOW_FILE_EDIT', true);

Код (разметка): отключите редактирование файла в wp-config.php, добавив следующую строку кода:

 <Files wp-config.php> order allow,deny deny from all </Files> <Files .htaccess> order allow,deny deny from all </Files> 

Код (разметка): просто применив эти три кода, я предотвратил взлом моего сайта.

Ну... вот одна вещь: ЕСЛИ ваш сайт взломали, не «исправляйте» его.



Вы отключите его, очистите его (под этим я подразумеваю, что вы начинаете заново, заставляете службу хостинга стереть вашу учетную запись и настраиваете ее заново), а затем загружаете свежую версию последней версии WordPress и добавляете минимум плагинов и тем, которые вам нужны, и удалите все остальные темы, которые могут остаться.



Затем вы проверяете свою резервную копию БД на наличие всех сообщений в блоге, просматриваете эту резервную копию и проверяете наличие эксплойтов, хранящихся в базе данных.

Вы также повторно загружаете каждый файл, который использовали на сайте — изображения, видео и т. д. ЗАТЕМ вы можете начать думать о «повышении безопасности» — когда вы действительно уверены, что вредоносного кода не осталось.

Что ж, мой блог тоже несколько раз подвергался атакам, и в конце концов он переключился на тему по умолчанию.

Проблема показывает, что в большинстве случаев эти хакеры просто входят через темы, а затем через базу данных. Пожалуйста, сообщите нам об этом, чтобы мы тоже могли избежать этих серьезных атак.

Я тоже вижу проблемы такого типа, я профессиональный веб-разработчик и дизайнер. вам нужно серьезно относиться к безопасности WordPress. Вот 7 шагов безопасности

• настроить URL-адрес страницы входа и даже взаимодействие со страницей
  
• Функция блокировки неудачных попыток входа в систему может решить огромную проблему.
  
• Внедрение сертификата SSL (Secure Socket Layer) — это разумный шаг для защиты панели администратора.
  SSL обеспечивает безопасную передачу данных между браузерами пользователей и сервером, что затрудняет хакерам взлом соединения или подделку вашей информации.
  
• Измените префикс таблицы базы данных WordPress.
  
• Регулярно создавайте резервную копию вашего сайта
  
• Установите надежные пароли для вашей базы данных
  
• Добавьте в файл wp-config.php следующее (в самом конце):
  define('DISALLOW_FILE_EDIT', правда);
  

М.К. Гупта

В любом случае загружать пиратские плагины - это неуместно, но если вам нужно больше сдерживающего фактора, чем это, вполне законные плагины часто повреждаются вредоносным ПО к тому времени, когда они попадают на нелегальные сайты загрузки.

Эти два плагина должны принести большую пользу для надежности сайта:

• WordFence — настройка брандмауэра, сканирования, блокировка неудачного входа в систему, безопасные пароли
  
• WP Super Cache — настройте кеш для посетителей, чтобы боты/сканеры не захватывали ресурсы.
  

Также см http://www.videochat-scripts.com/top-plugins-to-optimize-and-secure-wordpress/

.

Примечание.

Написание собственного кода не является гарантией от атак безопасности.

Особенно, если ты нуб и невежественный.

Существует множество ошибок безопасности, ответственных за каждое серьезное взлом/взлом за последние 10 лет, и большая часть из них — это код, разработанный собственными силами.

Плагин All In One WordPress Security обеспечит безопасность вашего сайта:

• Безопасность учетных записей пользователей
  
• Безопасность входа пользователя
  
• Безопасность регистрации пользователей
  
• Безопасность базы данных
  
• Безопасность файловой системы
  
• Резервное копирование и восстановление файлов htaccess и wp-config.php
  
• Функциональность черного списка
  
• Функциональность брандмауэра
  
• Сканер безопасности
  
• Безопасность комментариев от спама
  

Файлы PHP по умолчанию недоступны для чтения, хотя отключить редактирование файлов — хорошая идея.

Таким образом, даже если у них есть wp-admin, они не смогут редактировать файлы через редактор плагинов/тем, хотя если бы они загрузили плагин, который может просматривать дерево файлов, это тоже было бы довольно спорно.

Даже написав собственный код или безопасное кодирование, вы, скорее всего, не сможете обнаружить все возможные уязвимости.

Кроме того, причина, по которой вы сначала очищаете свой сайт и начинаете заново, заключается в том, чтобы обеспечить более эффективную защиту периметра.

После очистки вы повышаете безопасность своего сайта с помощью своего рода обнаружения вторжений и просто сосредотачиваетесь на очистке входящих запросов/трафика от вредоносного поведения.

WAF может остановить большинство веб-атак, и, учитывая то, как часто мой сайт подвергается грубому подбору и сканируется на наличие уязвимостей (определенно хакерами), это важная часть настройки любого веб-сайта.

Кроме того, не забудьте изменить строки безопасности в вашем wp-config.php после компрометации, чтобы сделать недействительными все существующие файлы cookie сеанса.

Многие люди забывают об этом и, заплатив за очистку, обнаруживают, что на их сайте все еще обитают нежелательные гости.

Вы можете найти генератор секретных ключей здесь

а затем вставьте весь блок вместо существующих значений в вашей конфигурации.

Спасибо за все ваши предложения, ребята! Мой сайт снова взломали.

Я восстановил свою резервную копию и добавил новый плагин безопасности Anti-Malware от GOTMLS.NET.

После сканирования public_html плагин проделал хорошую работу и обнаружил несколько вредоносных скриптов, которых не было в плагине Wordfence.

Эти сценарии могли остаться со времен, когда я не реализовал другие меры безопасности.

Скоро поделюсь результатами.

Хотя приведенные выше предложения помогают остановить ИЗВЕСТНЫЕ эксплойты Turdpress, как насчет НЕИЗВЕСТНЫХ дыр в безопасности, которые в конечном итоге будут обнаружены? Или со временем появится в обновленных версиях Turdpress? Просто еще одна причина написать свой собственный код вместо использования Turdpress, Bootcrap или любого другого Clusterf**k, в котором дыры в безопасности настолько велики, что в них можно свалить гору.