Tas nav pietiekami, lai noņemtu sekas, jums ir jāsaprot cēloņi. Es jau to uzrakstīju mēs bijām uzlauzti un domājams, ka mēs visi nolēmām. Tomēr nedēļu vēlāk sižets atkārtojās, tika mainīts vēl viens jquery skripts, kā arī .htaccess faili. Un .htaccess vietnē tika novirzīti uz kādu kreiso vietni tikai mobilajām ierīcēm un planšetdatoriem, un tāpēc es to pamanīju ne uzreiz.
Pāris dienu laikā man izdevās atrast visus uzbrucēja modificētos failus, kā arī tos, kurus viņš izveidojis speciāli iespiešanai (apvalks). Un vēlreiz, pateicoties hostingam par viņu palīdzību. Pēc tam es nolēmu veikt visus pasākumus, kas aprakstīti internetā.
Raksta saturs
- 1 Visas mana mazā blogera FAQ daļas:
- 2 WordPress emuāra drošības padomi
- 2.1 Atjauniniet skaitītāju un logrīku kodus
- 2.2 Atjauniniet visus spraudņus un WordPress uz jaunākajām versijām un noņemiet neizmantotos
- 2.3 Atjaunināt timthumb.php
- 2.4 Pārbaudiet mapju un failu atļaujas
- 2.5 Mainīt administratora lietotājvārdu
- 2.6 Mainiet visas paroles uz sarežģītākām
- 2.7 Aizsargājiet .htaccess un wp-config.php failus no piekļuves visiem
- 2.8 Aizsargājiet mapi wp-incl ar .htaccess
- 2.9 Aizsargājiet mapi wp-admin ar .htaccess un .htpasswd
- 2.10 Mainīt datu bāzes prefiksu
- 2.11 Instalējiet spraudni Belavir
- 2.12 Instalējiet WP drošības skenēšanas spraudni
- 2.13 Instalējiet labāku WP drošības spraudni
- 2.14 Jūsu ftp izmaiņu uzraudzība
- 2.15 Datubāzu un failu dublējumi reizi pāris dienās
Visas mana mazā blogera FAQ daļas:
Esmu uzrakstījis vairākus ar emuāru veidošanu saistītus rakstus. Viņi nepretendē uz pilnvērtīgu rokasgrāmatu, taču iesācēji var būt noderīgi. Varat to izlasīt, ja interesē.
0. Iesaku kursu «Kā kļūt par miljonāru emuāru autori un nopelnīt naudu»
1. Kā izveidot emuāru
2. Kā reklamēt emuāru - manu darbību saraksts
3. Kā nopelnīt naudu emuārā un ceļot
4. Pelnīšanas piemērs mūsu emuārā - Finstrip 2013, finstrip 2012, Finstrip 2011
pieci. Lasītāju un meklēšanas trafiks un kāpēc lasītāji neatgriežas
6. Maza patiesība par ceļojumu blogošanu
7. WordPress emuāru aizsardzības padomi
WordPress emuāra drošības padomi
Visticamāk, ka saraksts nebūs pilnīgs, un, kā viņi saka, tas, kurš tam būs vajadzīgs, tik un tā tiks sadalīts. Bet vismaz gandrīz ikviens emuāru autors var veikt šīs darbības, lai vismaz nedaudz aizstāvētos.
Atjauniniet skaitītāju un logrīku kodus
Pārbaudiet visu skaitītāju un sociālo logrīku kodus savā emuārā un vietnē, kur tos ieguvāt.
Varbūt tie ir atjaunināti. Es pamanīju, ka Facebook bieži maina logrīku kodu, tas acīmredzami uzlabo drošību.
Atjauniniet visus spraudņus un WordPress uz jaunākajām versijām un noņemiet neizmantotos
Šeit komentāri ir lieki, visi zina, kā to izdarīt. Ievainojamības parasti atrodas spraudņos un motīvos, tāpēc vismaz visi neizmantotie ir jānoņem.
Atjaunināt timthumb.php
Ja tavā tēmā tiek izmantots sīktēlu lieluma maiņa caur timthumb.php, tad noteikti jāatjaunina šis fails uz jaunāko versiju, jo vecākām versijām ir zināma ievainojamība..
Pārbaudiet mapju un failu atļaujas
Visiem failiem jābūt 644 atļaujām, 755 mapēm, izņemot .htaccess - 444 atļaujas un augšupielādes mapēm - 777 atļaujām.
Mainīt administratora lietotājvārdu
Ātrākā iespēja ir iedziļināties phpadmin un tur, datu bāzē, izpildīt šo vaicājumu:
UPDATE wp_users SET user_login = ‘Jūsu jaunā pieteikšanās’ KUR user_login = ‘admin’;
Vai arī jūs varat vienkārši izveidot jaunu lietotāju, izmantojot emuāra administratora paneli, nodot viņam visus rakstus un izdzēst veco administratora lietotāju..
Mainiet visas paroles uz sarežģītākām
Banāli padomi, bet parolēm jābūt sarežģītām, sastāv no dažādu reģistru cipariem un burtiem. Tāpat neaizmirstiet, ka pēc cīņas ar vīrusiem jums jebkādā veidā jāmaina visas paroles (emuāru administrators, hostinga admins, ftp, sql datu bāze), un ir arī jēga mainīt slepenās atslēgas failā wp-config.php.
Aizsargājiet .htaccess un wp-config.php failus no piekļuves visiem
Pievienojiet savam .htaccess emuāra saknei šo kodu:
Pasūtījums liedz atļauju
noliegt no visiem
rīkojums atļauj, noliedz
noliegt no visiem
Aizsargājiet mapi wp-incl ar .htaccess
Izveidojiet parastu teksta failu, nosauciet to par .htaccess un pēc koda pievienošanas failam nokopējiet to mapē wp-iekļauj:
Pasūtīt atļaut, noliegt
No visiem noliegt
Atļauties no visiem
Aizsargājiet mapi wp-admin ar .htaccess un .htpasswd
Izveidojiet vienkārša teksta failu, nosauciet to par .htaccess un pēc koda pievienošanas failam nokopējiet to mapē wp-admin:
AuthUserFile /home/public/.htpasswd
AuthType Basic
Automāts “ierobežots”
Pasūtīt noliegt, atļaut
No visiem noliegt
Nepieciešams derīgs lietotājs
Apmierini jebkuru
Kur, «/home/public/.htpasswd» Vai ir pilns ceļš uz .htpasswd failu. Ir ieteicams, ka šis fails atrodas virs jūsu emuāra direktorija.
.Htpasswd failā ir šifrētā formā pieejama parole piekļuvei wp-admin zonai. Vienkāršākais veids, kā izveidot šo failu, ir parastā veidā ievadīt lietotājvārdu un paroli. Vislabāk nav atkārtot un norādīt datus, kas atšķiras no esošajiem kontiem.
Šai metodei ir tikai vienas neērtības - tā nav piemērojama, ja jums ir vairāku lietotāju emuārs, jo parole tiks prasīta no visiem lietotājiem.
Mainīt datu bāzes prefiksu
Mainiet sql datu bāzes prefiksu no standarta «wp_» uz dažiem «wpsdjflk647_» Tas bija iespējams jau pašā emuāra izveides sākumā. Bet tagad tā nav problēma. Es to izveidoju par spraudni, kas tiks apspriests turpmāk. Lai gan jūs varētu iedziļināties phpadmin, nomainiet visus tabulas nosaukumus un pēc tam mainiet prefiksu failā wp-config.php
Instalējiet spraudni Belavir
Instalējiet spraudni Belavir, kas izsekos visu jūsu emuāra php failu izmaiņas. Pats spraudnis neko neuzrauga, bet sāk skenēšanu, dodoties uz emuāra administratora paneli konsoles lapā, kur tas faktiski parāda izmaiņas. Viņam nav iestatījumu.
Instalējiet WP drošības skenēšanas spraudni
Instalējiet spraudni WP Security Scan, ar kuru jūs varat veikt dažas darbības, jo īpaši:
mainīt datu bāzes prefiksu
- pārbaudiet mapju un failu atļaujas
paslēpt WordPress versiju
- pievienojiet emuāra antivīrusu un pārbaudiet to
Instalējiet labāku WP drošības spraudni
Instalējiet spraudni Better WP Security, tas ir vēl vairāk vajadzīgs nekā iepriekšējie divi. Tā funkciju saraksts ir ļoti liels, es uzskaitīšu daļu:
- ļauj mainīt datu bāzes prefiksu
- noņem nevajadzīgu informāciju no emuāra koda pēc WordPress versijas veida
- uzrauga visu failu izmaiņas
- aizliedz ip tiem, kas pārlūkprogrammā pēc jūsu emuāra nosaukuma ievada dīvainas adreses, saņemot kļūdu 404
- aizliedz izvēlēties paroli admin panelim, ban ip
- maina standarta administratora pieteikšanās adreses, lielisku aizsardzību pret brutālu spēku uzbrukumiem
- un daudz vairāk.
Jūsu ftp izmaiņu uzraudzība
Instalējiet datorā ftpinfo programmu, kas ļauj izveidot savienojumu ar ftp serveri un uzraudzīt visu konta failu izmaiņas to parādīšanās / dzēšanas / izmaiņas. Ļoti ērta lieta vīrusu uzbrukumu laikā. Jūs varat pārraudzīt ne tikai visus failus, bet arī izveidot failu un mapju maskas.
Datubāzu un failu dublējumi reizi pāris dienās
Ļoti noderīga lieta, tā var noderēt cīņā pret vīrusiem. Oriģinālie faili vienmēr būs pa rokai, un būs iespēja atgriezties, ja vietni nav iespējams notīrīt no vīrusiem. Es izmantoju spraudni BackWPup. Tam ir daudz funkciju, ieskaitot datu kopēšanu uz Dropbox - ērtu pakalpojumu, kas nodrošina 2 GB brīvas vietas internetā un sinhronizāciju ar datoru.
Šie ir padomi WordPress emuāra aizsardzībai, kurus es piemēroju mūsu emuāram. Ja ir kādi jautājumi vai papildinājumi (varbūt kaut ko vēl var izdarīt), raksti komentāros 🙂