Nestačí odstranit důsledky, musíte pochopit příčiny. Už jsem to napsal byli jsme hacknuti a pravděpodobně jsme se všichni rozhodli. O týden později se však příběh opakoval, změnil se další skript jquery a soubory .htaccess. A v .htaccess došlo k přesměrování na některý levý web pouze pro mobilní zařízení a tablety, a proto jsem si to okamžitě všiml.
Za pár dní se mi podařilo najít všechny soubory modifikované útočníkem i ty, které vytvořil speciálně pro proniknutí (shell). A opět díky hostování za jejich pomoc. Poté jsem se rozhodl podniknout všechna opatření popsaná na internetu.
Obsah článku
- 1 Všechny části mého malého bloggera FAQ:
- 2 Tipy pro zabezpečení blogu WordPress
- 2.1 Aktualizujte kódy čítačů a widgetů
- 2.2 Aktualizujte všechny pluginy a WordPress na nejnovější verze a odeberte nepoužívané
- 2.3 Aktualizujte timthumb.php
- 2.4 Zkontrolujte oprávnění ke složkám a souborům
- 2.5 Změnit uživatelské jméno správce
- 2.6 Změňte všechna hesla na složitější
- 2.7 Chraňte soubory .htaccess a wp-config.php před přístupem pro všechny
- 2.8 Chraňte složku obsahující wp pomocí .htaccess
- 2.9 Chraňte složku wp-admin pomocí .htaccess a .htpasswd
- 2.10 Změnit předponu databáze
- 2.11 Nainstalujte Belavir Plugin
- 2.12 Nainstalujte plugin WP Security Scanin
- 2.13 Nainstalujte lepší zásuvný modul zabezpečení WP
- 2.14 Sledování změn na vašem ftp
- 2.15 Zálohy databází a souborů jednou za pár dní
Všechny části mého malého bloggera FAQ:
Napsal jsem řadu blogů souvisejících článků. Netvrdí, že jde o kompletní příručku, ale začátečníci mohou být užiteční. V případě zájmu si ji můžete přečíst.
0. Doporučuji kurz «Jak se stát milionářem bloggerů a vydělávat peníze»
1. Jak začít blog
2. Jak propagovat blog - seznam mých akcí
3. Jak vydělat peníze na blogu a cestování
4. Příklad výdělku na našem blogu - Finstrip 2013, finstrip 2012, Finstrip 2011
5. Provoz čtenářů a vyhledávání a proč se čtenáři nevracejí
6. Trocha pravdy o cestování blogů
7. Tipy pro ochranu blogu WordPress
Tipy pro zabezpečení blogu WordPress
Tipy pro zabezpečení blogu WordPress
Seznam pravděpodobně nebude úplný, a jak se říká, kdokoli to potřebuje, stejně jej rozbije. Ale přinejmenším téměř každý blogger může tyto akce udělat, aby se alespoň trochu chránil..
Aktualizujte kódy čítačů a widgetů
Zkontrolujte kódy všech čítačů a sociálních widgetů ve svém blogu a na webu, kde jste je získali.
Možná byly aktualizovány. Všiml jsem si, že Facebook často mění kód pro widgety, což zřejmě zvyšuje bezpečnost.
Aktualizujte všechny pluginy a WordPress na nejnovější verze a odeberte nepoužívané
Zde jsou komentáře zbytečné, každý ví, jak na to. Zranitelnosti jsou obvykle obsaženy v zásuvných modulech a tématech, a proto by měly být odstraněny alespoň všechny nevyužité.
Aktualizujte timthumb.php
Pokud vaše téma používá změnu velikosti miniatur pomocí timthumb.php, musíte tento soubor určitě aktualizovat na nejnovější verzi, protože starší verze mají známou zranitelnost.
Zkontrolujte oprávnění ke složkám a souborům
Všechny soubory musí mít 644 oprávnění, 755 složek s výjimkou .htaccess - 444 oprávnění a nahrát složky - 777 oprávnění.
Změnit uživatelské jméno správce
Nejrychlejší možností je přejít do phpadminu a tam v databázi spustit tento dotaz:
UPDATE wp_users SET user_login = ‘Vaše nové přihlášení’ WHERE user_login = ‘admin’;
Nebo můžete jednoduše vytvořit nového uživatele pomocí panelu administrace blogu, přiřadit mu všechny články a odstranit starého uživatele administrátora..
Změňte všechna hesla na složitější
Banální doporučení, ale hesla by měla být složitá, skládající se z čísel a písmen různých registrů. Nezapomeňte také, že po boji proti virům musíte jakýmkoli způsobem změnit všechna hesla (blog admin, hosting admin, ftp, sql databáze) a také má smysl změnit tajné klíče v souboru wp-config.php..
Chraňte soubory .htaccess a wp-config.php před přístupem pro všechny
Přidejte do svého .htaccess v kořenovém adresáři blogu tento kód:
Objednávka popírat, dovolit
popírat ze všeho
objednávka dovolit, popřít
popírat ze všeho
Chraňte složku obsahující wp pomocí .htaccess
Vytvořte obyčejný textový soubor, zavolejte jej .htaccess a po přidání kódu do souboru jej zkopírujte do složky wp:
Povolit, zakázat
Odepřít všem
Povolit od všech
Chraňte složku wp-admin pomocí .htaccess a .htpasswd
Vytvořte obyčejný textový soubor, nazvejte jej .htaccess a po přidání kódu do souboru jej zkopírujte do složky wp-admin:
AuthUserFile /home/public/.htpasswd
AuthType Basic
Jméno “omezený”
Objednávejte Odepřít, Povolit
Odepřít všem
Vyžadovat platného uživatele
Spokojte všechny
Kde, «/home/public/.htpasswd» Je úplná cesta k souboru .htpasswd. Je vhodné, aby byl tento soubor umístěn nad adresářem vašeho blogu.
Soubor .htpasswd obsahuje heslo pro přístup do zóny wp-admin v šifrované podobě. Nejsnadnějším způsobem vytvoření tohoto souboru je obvyklé zadání uživatelského jména a hesla. Nejlepší je neopakovat a označit údaje, které se liší od stávajících účtů.
S touto metodou existuje pouze jeden problém - nelze jej použít, pokud máte blog pro více uživatelů, protože heslo bude vyžadováno od všech uživatelů..
Změnit předponu databáze
Změňte předponu vaší databáze SQL ze standardu «wp_» na některých «wpsdjflk647_» Bylo to možné na samém začátku vytváření blogu. Ale teď to není problém. Udělal jsem z něj plugin, který bude diskutován níže. Přestože můžete jít do phpadminu, nahraďte tam všechny názvy tabulek a změňte předponu v souboru wp-config.php
Nainstalujte Belavir Plugin
Nainstalujte si Belavir plugin, který bude sledovat změny ve všech php souborech vašeho blogu. Samotný plugin nemonitoruje nic, ale spustí kontrolu, když přejdete na panel administrace blogu na stránce Konzole, kde skutečně zobrazuje změny. Nemá žádné nastavení.
Nainstalujte plugin WP Security Scanin
Nainstalujte si plugin WP Security Scan, pomocí kterého můžete provádět některé činnosti, zejména:
- změnit předponu databáze
- zkontrolovat oprávnění ke složkám a souborům
- skrýt verzi WordPress
- připojte antivirus k blogu a zkontrolujte jej
Nainstalujte lepší zásuvný modul zabezpečení WP
Nainstalujte si plugin Better WP Security, který je ještě potřebnější než předchozí dva. Seznam jeho funkcí je velmi velký, uvedu část:
- umožňuje změnit předponu databáze
- odstraní nepotřebné informace z kódu blogu podle typu verze wordpressu
- sleduje změny ve všech souborech
- zakáže IP uživatelům, kteří v prohlížeči zadají pod jménem vašeho blogu podivné adresy a obdrží chybu 404
- zakazuje výběr hesla pro panel administrátora, zakázat ip
- Změní výchozí přihlašovací adresy správce, vynikající ochranu před útoky brutální síly
- a mnohem víc.
Sledování změn na vašem ftp
Nainstalujte do počítače program ftpinfo, který vám umožní připojit se k serveru ftp a sledovat změny všech souborů účtu z hlediska jejich vzhledu / odstranění / změny. Velmi šikovná věc během virových útoků. Můžete sledovat nejen všechny soubory, ale také vytvářet masky pro soubory a složky.
Zálohy databází a souborů jednou za pár dní
Velmi užitečná věc, může se hodit pro boj s viry. Původní soubory budou vždy po ruce a bude možné vrátit se zpět, pokud nebude možné vyčistit web od virů. Používám plugin BackWPup. Má mnoho funkcí, včetně kopírování dat do Dropboxu - pohodlná služba, která poskytuje 2 GB volného místa na internetu a synchronizaci s počítačem.
Toto jsou tipy na ochranu blogu WordPress, který jsem použil na náš blog. Pokud máte nějaké dotazy nebo dodatky (možná se dá udělat i něco jiného), napište do komentářů 🙂
