Nie wystarczy usunąć konsekwencje, musisz zrozumieć przyczyny. Już to napisałem zostaliśmy zhakowani i podobno wszyscy zdecydowaliśmy. Jednak tydzień później historia się powtórzyła, zmieniono kolejny skrypt jquery, a także pliki .htaccess. Co więcej, w .htaccess były przekierowania na niektóre lewe strony tylko dla urządzeń mobilnych i tabletów, dlatego zauważyłem, że nie od razu.
W ciągu kilku dni udało mi się znaleźć wszystkie pliki zmodyfikowane przez atakującego, a także pliki utworzone przez niego specjalnie do penetracji (powłoki). I jeszcze raz, dzięki hostingowi za ich pomoc. Po czym postanowiłem podjąć wszystkie środki opisane w Internecie.
Treść artykułu
- 1 Wszystkie części mojego małego blogera:
- 2) WordPress Blog Wskazówki dotyczące bezpieczeństwa
- 2.1 Zaktualizuj kody liczników i widżetów
- 2.2 Zaktualizuj wszystkie wtyczki i WordPress do najnowszych wersji i usuń nieużywane
- 2.3 Zaktualizuj timthumb.php
- 2.4 Sprawdź uprawnienia do folderów i plików
- 2.5 Zmień nazwę użytkownika administratora
- 2.6 Zmień wszystkie hasła na bardziej złożone
- 2.7 Chroń pliki .htaccess i wp-config.php przed dostępem dla wszystkich
- 2.8 Chroń folder wp-included za pomocą .htaccess
- 2.9 Chroń folder wp-admin za pomocą .htaccess i .htpasswd
- 2.10 Zmień prefiks bazy danych
- 2.11 Zainstaluj wtyczkę Belavir
- 2.12 Zainstaluj wtyczkę WP Security Scan
- 2.13 Zainstaluj wtyczkę Better WP Security
- 2.14 Monitorowanie zmian na twoim ftp
- 2.15 Kopie zapasowe baz danych i plików raz na kilka dni
Wszystkie części mojego małego blogera:
Napisałem wiele artykułów związanych z blogowaniem. Nie udają pełnoprawnego podręcznika, ale początkujący mogą się przydać. Możesz go przeczytać, jeśli jesteś zainteresowany.
0. Polecam kurs «Jak zostać milionerem blogera i zarabiać pieniądze»
1. Jak założyć blog
2). Jak promować blog - lista moich działań
3). Jak zarabiać na blogu i podróżować
4. Przykład zarabiania na naszym blogu - Finstrip 2013, finstrip 2012, Finstrip 2011
pięć. Ruch czytelników i wyszukiwania oraz dlaczego czytelnicy nie wracają
6. Trochę prawdy o blogowaniu podróżniczym
7. Wskazówki dotyczące ochrony blogów WordPress
WordPress Blog Wskazówki dotyczące bezpieczeństwa
Jest mało prawdopodobne, aby lista była kompletna i, jak mówią, ktokolwiek jej potrzebuje, i tak ją złamie. Ale przynajmniej prawie każdy bloger może wykonać te czynności, aby choć trochę się zabezpieczyć..
Zaktualizuj kody liczników i widżetów
Sprawdź kody wszystkich liczników i widżetów społecznościowych na swoim blogu i na stronie, skąd je masz.
Być może zostały zaktualizowane. Zauważyłem, że Facebook często zmienia kod widżetów, najwyraźniej poprawia bezpieczeństwo.
Zaktualizuj wszystkie wtyczki i WordPress do najnowszych wersji i usuń nieużywane
Tutaj komentarze są zbyteczne, każdy wie, jak to zrobić. Luki w zabezpieczeniach są zwykle zawarte we wtyczkach i motywach, dlatego przynajmniej wszystkie nieużywane powinny zostać usunięte.
Zaktualizuj timthumb.php
Jeśli Twój motyw używa zmiany rozmiaru miniatur za pomocą timthumb.php, musisz zdecydowanie zaktualizować ten plik do najnowszej wersji, ponieważ starsze wersje mają znaną lukę.
Sprawdź uprawnienia do folderów i plików
Wszystkie pliki muszą mieć uprawnienia 644, 755 folderów oprócz .htaccess - 444 uprawnienia i foldery do przesyłania - 777 uprawnień.
Zmień nazwę użytkownika administratora
Najszybszą opcją jest przejście do phpadmin i tam, w bazie danych, wykonaj następujące zapytanie:
AKTUALIZACJA wp_users SET user_login = ‘Twój nowy login’ GDZIE logowanie_użytkownika = ‘Administrator’;
Możesz też po prostu utworzyć nowego użytkownika za pomocą panelu administracyjnego bloga, przypisać mu wszystkie artykuły i usunąć starego użytkownika administratora..
Zmień wszystkie hasła na bardziej złożone
Banalna rada, ale hasła powinny być złożone, składać się z cyfr i liter różnych rejestrów. Nie zapominaj również, że po walce z wirusami musisz zmienić wszystkie hasła w jakikolwiek sposób (administrator blogu, administrator hostingu, ftp, baza danych sql), a także ma sens zmiana tajnych kluczy w pliku wp-config.php.
Chroń pliki .htaccess i wp-config.php przed dostępem dla wszystkich
Dodaj do swojego .htaccess w katalogu głównym bloga ten kod:
Zamówienie odmów, zezwól
Odmowa od wszystkich
pozwolenie na zamówienie, odmowa
Odmowa od wszystkich
Chroń folder wp-included za pomocą .htaccess
Utwórz zwykły plik tekstowy, nazwij go .htaccess i skopiuj go do folderu wp-include, po dodaniu kodu do pliku:
Zamów Pozwól, Odmów
Odmowa od wszystkich
Pozwól od wszystkich
Chroń folder wp-admin za pomocą .htaccess i .htpasswd
Tworzymy plik jako zwykły plik tekstowy, nazywamy go .htaccess i kopiujemy do folderu wp-admin, po dodaniu kodu do pliku:
AuthUserFile /home/public/.htpasswd
AuthType Basic
Authname “ograniczony”
Zamów Odmów, Zezwól
Odmowa od wszystkich
Wymagaj ważnego użytkownika
Spełnij każdy
Gdzie, «/home/public/.htpasswd» Jest pełną ścieżką do pliku .htpasswd. Wskazane jest, aby ten plik znajdował się nad katalogiem Twojego bloga.
Plik .htpasswd zawiera hasło dostępu do strefy wp-admin w postaci zaszyfrowanej. Najłatwiejszym sposobem utworzenia tego pliku jest wprowadzenie nazwy użytkownika i hasła w zwykły sposób. Najlepiej nie powtarzać i wskazywać danych innych niż istniejące konta.
Ta metoda ma tylko jedną niedogodność - nie ma zastosowania, jeśli masz bloga dla wielu użytkowników, ponieważ hasło będzie wymagane od wszystkich użytkowników.
Zmień prefiks bazy danych
Zmień prefiks swojej bazy danych SQL ze standardowej «wp_» na niektórych «wpsdjflk647_» Było to możliwe na samym początku tworzenia bloga. Ale teraz to nie jest problem. Zrobiłem to wtyczkę, która zostanie omówiona poniżej. Chociaż możesz przejść do phpadmin, zamień tam wszystkie nazwy tabel, a następnie zmień prefiks w pliku wp-config.php
Zainstaluj wtyczkę Belavir
Zainstaluj wtyczkę Belavir, która będzie śledzić zmiany we wszystkich plikach php twojego bloga. Sama wtyczka niczego nie monitoruje, ale rozpoczyna skanowanie po przejściu do panelu administracyjnego blogu na stronie konsoli, gdzie faktycznie wyświetla zmiany. On nie ma ustawień.
Zainstaluj wtyczkę WP Security Scan
Zainstaluj wtyczkę WP Security Scan, za pomocą której możesz wykonywać niektóre czynności, w szczególności:
- zmień prefiks bazy danych
- sprawdź uprawnienia do folderów i plików
- ukryj wersję WordPress
- podłącz program antywirusowy do bloga i sprawdź go
Zainstaluj wtyczkę Better WP Security
Zainstaluj wtyczkę Better WP Security, jest jeszcze bardziej potrzebna niż dwie poprzednie. Lista jego funkcji jest bardzo duża, wymienię część:
- pozwala zmienić prefiks bazy danych
- usuwa niepotrzebne informacje z kodu blogu według typu wersji wordpress
- monitoruje zmiany we wszystkich plikach
- zakazuje adresu IP osobom, które wprowadzają dziwne adresy w przeglądarce po nazwie Twojego bloga, otrzymując błąd 404
- zabrania wyboru hasła do panelu administracyjnego, ban ip
- zmienia standardowe adresy logowania administratora, doskonałą ochronę przed atakami siłowymi
- i wiele więcej.
Monitorowanie zmian na twoim ftp
Zainstaluj program ftpinfo na swoim komputerze, który umożliwia połączenie z serwerem ftp i monitorowanie zmian we wszystkich plikach kont pod kątem ich wyglądu / usuwania / zmiany. Bardzo przydatna rzecz podczas ataków wirusów. Możesz monitorować nie tylko wszystkie pliki, ale także tworzyć maski dla plików i folderów.
Kopie zapasowe baz danych i plików raz na kilka dni
Bardzo przydatna rzecz, może się przydać do walki z wirusami. Oryginalne pliki będą zawsze pod ręką i będzie można je przywrócić, jeśli nie będzie możliwe usunięcie witryny z wirusów. Korzystam z wtyczki BackWPup. Ma wiele funkcji, w tym kopiowanie danych do Dropbox - wygodnej usługi, która zapewnia 2 GB wolnego miejsca w Internecie i synchronizację z komputerem.
Oto wskazówki dotyczące ochrony blogu WordPress, które zastosowałem na naszym blogu. Jeśli są jakieś pytania lub uzupełnienia (może coś innego można zrobić), napisz w komentarzach 🙂