Как улучшить безопасность на вашем собственном веб-сайте WordPress.

stels485

Всем привет, Недавно мой сайт был взломан (был установлен вредоносный код). Я запаниковал и нанял фрилансера, чтобы это исправить. Привет, почистил файлы и через несколько дней проблема повторилась снова. Сканирование плагина Wordfence обнаружило те же вредоносные файлы.

Итак, я начал копаться в этом, чтобы найти решение.

Ниже вы можете найти мои предложения о том, как улучшить безопасность.

Пожалуйста, поделитесь своим, чтобы помочь другим. 1. Я добавил эти строки кода в .htaccess, чтобы скрыть wp-config.php и .htaccess:

 define('DISALLOW_FILE_EDIT', true);

Код (разметка): отключите редактирование файла в wp-config.php, добавив следующую строку кода:

 <Files wp-config.php> order allow,deny deny from all </Files> <Files .htaccess> order allow,deny deny from all </Files>

Код (разметка): просто применив эти три кода, я предотвратил взлом моего сайта.

citrushost

Ну... вот одна вещь: ЕСЛИ ваш сайт взломали, не «исправляйте» его.

Вы отключите его, очистите его (под этим я подразумеваю, что вы начинаете заново, заставляете службу хостинга стереть вашу учетную запись и настраиваете ее заново), а затем загружаете свежую версию последней версии WordPress и добавляете минимум плагинов и тем, которые вам нужны, и удалите все остальные темы, которые могут остаться.

Затем вы проверяете свою резервную копию БД на наличие всех сообщений в блоге, просматриваете эту резервную копию и проверяете наличие эксплойтов, хранящихся в базе данных.

Вы также повторно загружаете каждый файл, который использовали на сайте — изображения, видео и т. д. ЗАТЕМ вы можете начать думать о «повышении безопасности» — когда вы действительно уверены, что вредоносного кода не осталось.

devils

Что ж, мой блог тоже несколько раз подвергался атакам, и в конце концов он переключился на тему по умолчанию.

Проблема показывает, что в большинстве случаев эти хакеры просто входят через темы, а затем через базу данных. Пожалуйста, сообщите нам об этом, чтобы мы тоже могли избежать этих серьезных атак.

maximusis

Я тоже вижу проблемы такого типа, я профессиональный веб-разработчик и дизайнер. вам нужно серьезно относиться к безопасности WordPress. Вот 7 шагов безопасности

настроить URL-адрес страницы входа и даже взаимодействие со страницей
Функция блокировки неудачных попыток входа в систему может решить огромную проблему.
Внедрение сертификата SSL (Secure Socket Layer) — это разумный шаг для защиты панели администратора.
SSL обеспечивает безопасную передачу данных между браузерами пользователей и сервером, что затрудняет хакерам взлом соединения или подделку вашей информации.
Измените префикс таблицы базы данных WordPress.
Регулярно создавайте резервную копию вашего сайта
Установите надежные пароли для вашей базы данных
Добавьте в файл wp-config.php следующее (в самом конце):
define('DISALLOW_FILE_EDIT', правда);

М.К. Гупта

gogogo1

В любом случае загружать пиратские плагины - это неуместно, но если вам нужно больше сдерживающего фактора, чем это, вполне законные плагины часто повреждаются вредоносным ПО к тому времени, когда они попадают на нелегальные сайты загрузки.

virtas

Эти два плагина должны принести большую пользу для надежности сайта:

WordFence — настройка брандмауэра, сканирования, блокировка неудачного входа в систему, безопасные пароли
WP Super Cache — настройте кеш для посетителей, чтобы боты/сканеры не захватывали ресурсы.

Также см http://www.videochat-scripts.com/top-plugins-to-optimize-and-secure-wordpress/

.

Tonita

Примечание.

Написание собственного кода не является гарантией от атак безопасности.

Особенно, если ты нуб и невежественный.

Существует множество ошибок безопасности, ответственных за каждое серьезное взлом/взлом за последние 10 лет, и большая часть из них — это код, разработанный собственными силами.

bvn2

Плагин All In One WordPress Security обеспечит безопасность вашего сайта:

Безопасность учетных записей пользователей
Безопасность входа пользователя
Безопасность регистрации пользователей
Безопасность базы данных
Безопасность файловой системы
Резервное копирование и восстановление файлов htaccess и wp-config.php
Функциональность черного списка
Функциональность брандмауэра
Сканер безопасности
Безопасность комментариев от спама

lamer_hacker

Файлы PHP по умолчанию недоступны для чтения, хотя отключить редактирование файлов — хорошая идея.

Таким образом, даже если у них есть wp-admin, они не смогут редактировать файлы через редактор плагинов/тем, хотя если бы они загрузили плагин, который может просматривать дерево файлов, это тоже было бы довольно спорно.

dkomov

Даже написав собственный код или безопасное кодирование, вы, скорее всего, не сможете обнаружить все возможные уязвимости.

Кроме того, причина, по которой вы сначала очищаете свой сайт и начинаете заново, заключается в том, чтобы обеспечить более эффективную защиту периметра.

После очистки вы повышаете безопасность своего сайта с помощью своего рода обнаружения вторжений и просто сосредотачиваетесь на очистке входящих запросов/трафика от вредоносного поведения.

WAF может остановить большинство веб-атак, и, учитывая то, как часто мой сайт подвергается грубому подбору и сканируется на наличие уязвимостей (определенно хакерами), это важная часть настройки любого веб-сайта.

BoberBober2

Кроме того, не забудьте изменить строки безопасности в вашем wp-config.php после компрометации, чтобы сделать недействительными все существующие файлы cookie сеанса.

Многие люди забывают об этом и, заплатив за очистку, обнаруживают, что на их сайте все еще обитают нежелательные гости.

Вы можете найти генератор секретных ключей здесь

а затем вставьте весь блок вместо существующих значений в вашей конфигурации.

gfd2006

Спасибо за все ваши предложения, ребята! Мой сайт снова взломали.

Я восстановил свою резервную копию и добавил новый плагин безопасности Anti-Malware от GOTMLS.NET.

После сканирования public_html плагин проделал хорошую работу и обнаружил несколько вредоносных скриптов, которых не было в плагине Wordfence.

Эти сценарии могли остаться со времен, когда я не реализовал другие меры безопасности.

Скоро поделюсь результатами.

Ler1

Хотя приведенные выше предложения помогают остановить ИЗВЕСТНЫЕ эксплойты Turdpress, как насчет НЕИЗВЕСТНЫХ дыр в безопасности, которые в конечном итоге будут обнаружены? Или со временем появится в обновленных версиях Turdpress? Просто еще одна причина написать свой собственный код вместо использования Turdpress, Bootcrap или любого другого Clusterf**k, в котором дыры в безопасности настолько велики, что в них можно свалить гору.

Похожие темы	Дата
Java Web Services & Java EE Microservices: JSP Servlets JBDC	19.10.2024, 18:10
[Дмитрий Елисеев] Онлайн-интенсив по изучению ООП «Неделя ООП » 3 поток [2017]	19.10.2024, 18:10
eMail Verifier (c активацией)	19.10.2024, 18:10
Отслеживание и управление трафиком Ad Trackz Gold v6.9	19.10.2024, 18:10
Школа Лемуров: Надежный блог за один вечер	19.10.2024, 18:10
Java 8. Карманный справочник (2016)	19.10.2024, 18:10
[Pluralsight] Хакинг веб-приложений: атака на куки (2018)	19.10.2024, 18:10
Толковые Словари	19.10.2024, 18:10
Stimulsoft Reports - All Here	19.10.2024, 18:10
Bunifu / Dataviz - All Here	19.10.2024, 18:10

Как улучшить безопасность на вашем собственном веб-сайте WordPress.

stels485

citrushost

devils

maximusis

gogogo1

virtas

Tonita

bvn2

lamer_hacker

dkomov

BoberBober2

gfd2006

Ler1

I AM

Интересно