Det er ikke nok til å fjerne konsekvensene, du må forstå årsakene. Det skrev jeg allerede vi ble hacket og visstnok bestemte vi oss for alle. En uke senere gjentok imidlertid historien, et nytt jquery-skript ble endret, i tillegg til .htaccess-filer. Og i .htaccess var det viderekoblinger til noen venstre side bare for mobile enheter og nettbrett, og derfor merket jeg dette ikke umiddelbart.
I løpet av et par dager klarte jeg å finne alle filene modifisert av angriperen, så vel som de som er opprettet av ham spesielt for penetrering (skall). Og igjen, takk til vertskapet for deres hjelp. Deretter bestemte jeg meg for å ta alle tiltakene som er beskrevet på Internett.
Innholdet i artikkelen
- 1 Alle deler av min lille blogger FAQ:
- 2 WordPress Blogs sikkerhetstips
- 2.1 Oppdater teller- og widgetkoder
- 2.2 Oppdater alle plugins og WordPress til de nyeste versjonene og fjern ubrukte
- 2.3 Oppdater timoem.php
- 2.4 Sjekk tillatelsene til mapper og filer
- 2.5 Endre admin brukernavn
- 2.6 Endre alle passord til mer komplekse
- 2.7 Beskytt .htaccess- og wp-config.php-filer fra tilgang for alle
- 2.8 Beskytt wp-inkluderer mappe med .htaccess
- 2.9 Beskytt wp-admin-mappen med .htaccess og .htpasswd
- 2,10 Endre database prefiks
- 2,11 Installer Belavir-plugin
- 2,12 Installer WP Security Scan Plugin
- 2,13 Installer Better WP Security Plugin
- 2,14 Overvåke endringer på ftp-en
- 2,15 Sikkerhetskopi av databaser og filer en gang noen få dager
Alle deler av min lille blogger FAQ:
Jeg har skrevet en rekke bloggrelaterte artikler. De hevder ikke å være en fullverdig manual, men nybegynnere kan være nyttige. Du kan lese den, hvis du er interessert.
0. Jeg anbefaler et kurs «Hvordan bli millionærblogger og tjene penger»
1. Slik starter du en blogg
2. Hvordan markedsføre en blogg - en liste over handlingene mine
3. Hvordan tjene penger på en blogg og reise
4. Et eksempel på å tjene på bloggen vår - Finstrip 2013, finstrip 2012, Finstrip 2011
fem. Leser- og søketrafikk, og hvorfor leserne ikke kommer tilbake
6. En liten sannhet om reiseblogging
7. Tips om beskyttelse av WordPress Blog
WordPress Blogs sikkerhetstips
Listen er neppe fullstendig, og som de sier, den som trenger den vil uansett bli ødelagt. Men i det minste nesten enhver blogger kan gjøre disse handlingene for å forsvare i det minste litt.
Oppdater teller- og widgetkoder
Sjekk kodene for alle tellere og sosiale widgets på bloggen din og på nettstedet, hvor fikk du dem.
Kanskje har de blitt oppdatert. Jeg la merke til at Facebook ofte endrer koden for småprogram, det forbedrer tilsynelatende sikkerheten.
Oppdater alle plugins og WordPress til de nyeste versjonene og fjern ubrukte
Her er kommentarer overflødige, alle vet hvordan de skal gjøre det. Sikkerhetsproblemer er vanligvis inneholdt i plugins og temaer, derfor bør i det minste alle ubrukte fjernes.
Oppdater timoem.php
Hvis temaet bruker endring av miniatyrbilder gjennom timbour.php, må du definitivt oppdatere denne filen til den nyeste versjonen, siden eldre versjoner har en kjent sårbarhet.
Sjekk tillatelsene til mapper og filer
Alle filer må ha 644 tillatelser, 755 mapper unntatt .htaccess - 444 tillatelser og laste opp mapper - 777 tillatelser.
Endre admin brukernavn
Det raskeste alternativet er å gå inn på phpadmin, og utføre denne spørringen i databasen din:
OPPDATERING wp_users SET user_login = ‘Din nye innlogging’ HVOR user_login = ‘admin’;
Eller du kan ganske enkelt opprette en ny bruker gjennom bloggadministrasjonspanelet, tilordne alle artikler til ham og slette den gamle adminbrukeren..
Endre alle passord til mer komplekse
Banale råd, men passord skal være sammensatte, bestående av tall og bokstaver i forskjellige registre. Ikke glem at etter kampen mot virus, må du endre alle passord på noen måte (bloggadministrator, hostingadministrator, ftp, sql-database), og det er også fornuftig å endre de hemmelige nøklene i wp-config.php-filen.
Beskytt .htaccess- og wp-config.php-filer fra tilgang for alle
Legg til din .htaccess i roten av bloggen, denne koden:
Ordre nekt, tillat
nekte fra alle
ordre tillate, nekt
nekte fra alle
Beskytt wp-inkluderer mappe med .htaccess
Lag en ren tekstfil, kaller den. Htaccess og kopier den til wp-inkluderer-mappen, etter å ha lagt koden til filen:
Bestill Tillat, nekt
Nekt fra alle
Tillat fra alle
Beskytt wp-admin-mappen med .htaccess og .htpasswd
Lag en ren tekstfil, kall den. Htaccess og kopier den til wp-admin-mappen, etter å ha lagt koden til filen:
AuthUserFile /home/public/.htpasswd
AuthType Basic
AuthName “begrenset”
Bestill Nekt, tillat
Nekt fra alle
Krev gyldig bruker
Tilfredsstille noen
Hvor, «/home/public/.htpasswd» Er den fullstendige banen til .htpasswd-filen. Det anbefales at denne filen ligger over katalogen til bloggen din.
.Htpasswd-filen inneholder passordet for tilgang til wp-admin-sonen i kryptert form. Den enkleste måten å opprette denne filen på er å oppgi brukernavn og passord på vanlig måte. Det er best å ikke gjenta og indikere data som er forskjellig fra eksisterende kontoer.
Det er bare en ulempe med denne metoden - det er ikke aktuelt hvis du har en blogg med flere brukere, ettersom passordet vil bli bedt om fra alle brukere.
Endre database prefiks
Endre prefikset til din sql-database fra standard «wp_» på noen «wpsdjflk647_» Det var mulig helt i begynnelsen av opprettelsen av bloggen. Men nå er ikke dette et problem. Jeg har laget det en plugin, som vil bli diskutert nedenfor. Selv om du kan gå inn på phpadmin, bytter du ut alle tabellenavn der, og endrer deretter prefikset i wp-config.php-filen
Installer Belavir-plugin
Installer Belavir-plugin, som vil spore endringer i alle php-filer i bloggen din. Selve pluginen overvåker ikke noe, men starter skanningen når du går til bloggadministrasjonspanelet på Console-siden, der den faktisk viser endringene. Han har ingen innstillinger.
Installer WP Security Scan Plugin
Installer WP Security Scan-plugin, som du kan gjøre noen ting med, spesielt:
- endre databaseprefikset
- sjekk tillatelsene til mapper og filer
- skjul versjonen av WordPress
- koble antivirus for bloggen og sjekk den
Installer Better WP Security Plugin
Installer Better WP Security plugin, det er enda mer nødvendig enn de to foregående. Listen over funksjonene er veldig stor, jeg vil liste en del:
- lar deg endre databaseprefikset
- fjerner unødvendig informasjon fra bloggkoden etter type wordpress-versjon
- overvåker endringer i alle filer
- forby ip av de som oppgir rare adresser i nettleseren etter navnet på bloggen din, og mottar en feil 404
- forbyr valg av passord for administratorpanelet, ban ip
- endrer standard administrator-påloggingsadresser, utmerket beskyttelse mot brute-force-angrep
- og mye mer.
Overvåke endringer på ftp-en
Installer ftpinfo-programmet på datamaskinen din, som lar deg koble til ftp-serveren og overvåke endringene til alle kontofiler for utseende / sletting / endring. Veldig nyttig ting under virusangrep. Du kan overvåke ikke bare alle filer, men også lage masker for filer og mapper.
Sikkerhetskopi av databaser og filer en gang noen få dager
En veldig nyttig ting, det kan være nyttig for bekjempelse av virus. De originale filene vil alltid være tilgjengelig, og det vil være en mulighet til å rulle tilbake hvis det ikke er mulig å rense nettstedet for virus. Jeg bruker BackWPup-pluginen. Den har mange funksjoner, inkludert kopiering av data til Dropbox - en praktisk tjeneste som gir 2 GB ledig plass på Internett og synkronisering med datamaskinen din.
Dette er tipsene for å beskytte en WordPress-blogg som jeg brukte på bloggen vår. Hvis det er spørsmål eller tillegg (kanskje noe annet kan gjøres), skriv i kommentarene 🙂