Не е достатъчно да премахнете последствията, трябва да разберете причините. Вече написах това бяхме хакнати и уж всички сме решили. Седмица по-късно обаче историята се повтори, беше променен друг jquery скрипт, както и .htaccess файлове. И в .htaccess имаше пренасочвания към някой ляв сайт само за мобилни устройства и таблети и затова забелязах това не веднага.
След няколко дни успях да намеря всички файлове, модифицирани от нападателя, както и тези, създадени от него специално за проникване (черупка). И отново благодаря на хостинга за тяхната помощ. След което реших да предприема всички мерки, описани в интернет.
Съдържанието на статията
- 1 Всички части на моя малък блогър FAQ:
- 2 Съвети за сигурност на блога на WordPress
- 2.1 Актуализирайте кодовете на брояча и джаджите
- 2.2 Актуализирайте всички приставки и WordPress до най-новите версии и премахнете неизползваните
- 2.3 Актуализирайте timthumb.php
- 2.4 Проверете разрешенията за папки и файлове
- 2.5 Промяна на потребителското име на администратора
- 2.6 Променете всички пароли на по-сложни
- 2.7 Защитете .htaccess и wp-config.php файлове от достъп за всички
- 2.8 Защитете папката, включваща wp с .htaccess
- 2.9 Защитете папката wp-admin с .htaccess и .htpasswd
- 2.10 Промяна на префикса на базата данни
- 2.11 Инсталирайте приставката Belavir
- 2.12 Инсталирайте приставката за сканиране на WP за сигурност
- 2.13 Инсталирайте по-добър WP Plugin за защита
- 2.14 Наблюдение на промените във вашия ftp
- 2.15 Резервни копия на бази данни и файлове веднъж на няколко дни
Всички части на моя малък блогър FAQ:
Написал съм редица статии, свързани с блоговете. Те не претендират за пълноценен наръчник, но начинаещите може да са полезни. Можете да го прочетете, ако се интересувате.
0. Препоръчвам курса «Как да станете блогър милионер и да печелите пари»
1. Как да започнем блог
2. Как да популяризирам блог - списък с моите действия
3. Как да печелите пари в блог и да пътувате
4. Пример за печалба в нашия блог - Finstrip 2013, finstrip 2012, Finstrip 2011
5. Трафик за четене и търсене и защо читателите не се връщат
6. Малка истина за блоговете за пътувания
7. Съвети за защита на блога на WordPress
Съвети за сигурност на блога на WordPress
Списъкът е малко вероятно да бъде пълен и, както казват, който се нуждае от него, той така или иначе ще го разбие. Но поне почти всеки блогър може да направи тези действия, за да се защити поне малко..
Актуализирайте кодовете на брояча и джаджите
Проверете кодовете на всички броячи и социални джунджурии във вашия блог и на сайта, къде сте ги получили.
Може би са били актуализирани. Забелязах, че Facebook често променя кода за джунджурии, очевидно повишава сигурността.
Актуализирайте всички приставки и WordPress до най-новите версии и премахнете неизползваните
Тук коментарите са излишни, всеки знае как да го направи. Уязвимостите обикновено се съдържат в плъгини и теми, следователно поне всички неизползвани трябва да бъдат премахнати.
Актуализирайте timthumb.php
Ако вашата тема използва преоразмеряване на миниатюри с помощта на timthumb.php, тогава определено трябва да актуализирате този файл до най-новата версия, тъй като по-старите версии имат известна уязвимост.
Проверете разрешенията за папки и файлове
Всички файлове трябва да имат 644 разрешения, 755 папки с изключение на .htaccess - 444 разрешения, а папки за качване - 777 разрешения.
Промяна на потребителското име на администратора
Най-бързият вариант е да влезете в phpadmin и там във вашата база данни да изпълните това запитване:
ОБНОВЛЕНИЕ wp_users SET user_login = ‘Вашето ново вход’ КЪДЕ user_login = ‘администратор’;
Или можете просто да създадете нов потребител чрез административния панел на блога, да пренасочите всички статии към него и да изтриете стария потребител на администратора..
Променете всички пароли на по-сложни
Банални съвети, но паролите трябва да са сложни, състоящи се от числа и букви от различни регистри. Също така, не забравяйте, че след борбата с вирусите, трябва да промените всички пароли по някакъв начин (блог администратор, хостинг администратор, ftp, sql база данни), а също така има смисъл да промените секретните ключове във файла wp-config.php.
Защитете .htaccess и wp-config.php файлове от достъп за всички
Добавете към своя .htaccess в корена на блога този код:
Поръчайте отричайте, позволете
отричам от всички
поръчка позволява, отказва
отричам от всички
Защитете папката, включваща wp с .htaccess
Създайте обикновен текстов файл, наречете го .htaccess и го копирайте в папката wp-include, след като добавите кода към файла:
Поръчай разреши, забрани
Отказ от всички
Позволете от всички
Защитете папката wp-admin с .htaccess и .htpasswd
Създайте обикновен текстов файл, наречете го .htaccess и го копирайте в папката wp-admin, след като добавите кода към файла:
AuthUserFile /home/public/.htpasswd
AuthType Basic
Authname “ограничен”
Поръчайте Отказ, Разрешете
Отказ от всички
Изисквайте валиден потребител
Удовлетворете всеки
Където, «/home/public/.htpasswd» Пълният път е към .htpasswd файла. Препоръчително е този файл да се намира над директорията на вашия блог.
Файлът .htpasswd съдържа паролата за достъп до зоната wp-admin в криптиран вид. Най-лесният начин да създадете този файл е да въведете потребителското име и паролата по обичайния начин. Най-добре е да не се повтарят и посочват данни, които са различни от съществуващите акаунти.
Има само едно неудобство с този метод - той не е приложим, ако имате блог с много потребители, тъй като паролата ще бъде поискана от всички потребители.
Промяна на префикса на базата данни
Променете префикса на вашата sql база данни от стандартния «wp_» на няколко «wpsdjflk647_» Това беше възможно в самото начало на създаването на блога. Но сега това не е проблем. Направих го плъгин, който ще бъде разгледан по-долу. Въпреки че можете да влезете в phpadmin, заменете всички имена на таблици там и след това променете префикса във файла wp-config.php
Инсталирайте приставката Belavir
Инсталирайте приставката Belavir, която ще проследява промените във всички php файлове на вашия блог. Самият плъгин не следи нищо, но стартира сканирането, когато отидете на администраторския панел на блога на страницата на конзолата, където всъщност показва промените. Той няма настройки.
Инсталирайте приставката за сканиране на WP за сигурност
Инсталирайте приставката за WP Security Scan, с която можете да направите някои неща, по-специално:
- промяна на префикс на база данни
- проверете разрешенията за папки и файлове
- скрийте версията на WordPress
- свържете антивируса за блога и го проверете
Инсталирайте по-добър WP Plugin за защита
Инсталирайте приставката Better WP Security, тя е още по-необходима от предишните две. Списъкът с неговите функции е много голям, ще изброя част:
- ви позволява да промените префикса на базата данни
- премахва ненужната информация от кода на блога по вид версия на wordpress
- следи промените във всички файлове
- забранява ip на тези, които въвеждат странни адреси в браузъра след името на вашия блог, получавайки грешка 404
- забранява избора на парола за администраторския панел, забранява ip
- Променя адресите за влизане по подразбиране на администратора, отлична защита срещу брутални атаки
- и още много.
Наблюдение на промените във вашия ftp
Инсталирайте ftpinfo програмата на вашия компютър, която ви позволява да се свържете към вашия ftp сървър и да наблюдавате промените на всички файлове на акаунта за тяхното появяване / изтриване / промяна. Много удобно нещо по време на вирусни атаки. Можете да наблюдавате не само всички файлове, но и да създавате маски за файлове и папки.
Резервни копия на бази данни и файлове веднъж на няколко дни
Много полезно нещо, може да е полезно за борба с вируси. Оригиналните файлове винаги ще бъдат под ръка и ще има възможност за връщане назад, ако не е възможно да почистите сайта от вируси. Използвам приставката BackWPup. Той има много функции, включително копиране на данни в Dropbox - удобна услуга, която осигурява 2 GB свободно пространство в Интернет и синхронизация с вашия компютър.
Това са съветите за защита на блог на WordPress, които приложих към нашия блог. Ако има някакви въпроси или допълнения (може би може да се направи нещо друго), пишете в коментарите 🙂