Nestačí len odstrániť následky, musíte pochopiť príčiny. Už som to napísal boli sme hacknutí a pravdepodobne sme sa všetci rozhodli. O týždeň neskôr sa však príbeh zopakoval, zmenil sa ďalší skript jquery, ako aj súbory .htaccess. Navyše, v tom istom čase boli presmerovania na niektoré ľavé stránky iba pre mobilné zariadenia a tablety, a preto som si to okamžite všimol.
Za pár dní sa mi podarilo nájsť všetky súbory modifikované útočníkom, ako aj tie, ktoré vytvoril špeciálne pre prienik (shell). A opäť vďaka hosting za ich pomoc. Potom som sa rozhodol prijať všetky opatrenia opísané na internete.
Obsah článku
- 1 Všetky časti môjho malého bloggera FAQ:
- 2 Tipy na zabezpečenie blogu WordPress
- 2.1 Aktualizujte počítadlá a kódy widgetov
- 2.2 Aktualizujte všetky doplnky a WordPress na najnovšie verzie a odstráňte nepoužité
- 2.3 Aktualizujte timthumb.php
- 2.4 Skontrolujte povolenia pre priečinky a súbory
- 2.5 Zmeniť používateľské meno správcu
- 2.6 Zmeňte všetky heslá na zložitejšie
- 2.7 Chráňte súbory .htaccess a wp-config.php pred prístupom pre všetkých
- 2.8 Chráňte priečinok obsahujúci wp pomocou .htaccess
- 2.9 Chráňte priečinok wp-admin pomocou .htaccess a .htpasswd
- 2.10 Zmeniť predponu databázy
- 2.11 Nainštalujte doplnok Belavir
- 2.12 Nainštalujte doplnok bezpečnostného skenovania WP
- 2.13 Nainštalujte lepší doplnok zabezpečenia WP
- 2.14 Monitorovanie zmien na ftp
- 2.15 Zálohovanie databáz a súborov raz za pár dní
Všetky časti môjho malého bloggera FAQ:
Napísal som niekoľko článkov týkajúcich sa blogov. Nepredstierajú, že ide o plnohodnotnú príručku, ale začiatočníci môžu byť užitoční. V prípade záujmu si ho môžete prečítať.
0. Odporúčam kurz «Ako sa stať milionárom blogerov a zarobiť si peniaze»
1. Ako začať blog
2. Ako propagovať blog - zoznam mojich akcií
3. Ako zarobiť peniaze na blogu a cestovať
4. Príklad zarábania na našom blogu - Finstrip 2013, finstrip 2012, Finstrip 2011
päť. Návštevnosť čítačky a vyhľadávania a prečo sa čitatelia nevracajú
6. Trocha pravdy o cestovaní blogov
7. Tipy na ochranu blogu WordPress
Tipy na zabezpečenie blogu WordPress
Tipy na zabezpečenie blogu WordPress
Zoznam pravdepodobne nebude úplný a, ako sa hovorí, kto ho potrebuje, aj tak ho rozbije. Aspoň takmer každý blogger však môže urobiť tieto kroky, aby sa aspoň trochu chránil..
Aktualizujte počítadlá a kódy widgetov
Skontrolujte kódy všetkých počítadiel a sociálnych miniaplikácií na svojom blogu a na webe, kde ste ich získali.
Možno boli aktualizované. Všimol som si, že Facebook často mení kód pre widgety, zjavne to zvyšuje bezpečnosť.
Aktualizujte všetky doplnky a WordPress na najnovšie verzie a odstráňte nepoužité
Komentáre sú zbytočné, každý vie, ako na to. Zraniteľnosti sú zvyčajne obsiahnuté v doplnkoch a témach, a preto by sa mali odstrániť aspoň nepoužité.
Aktualizujte timthumb.php
Ak vaša téma používa zmenu veľkosti miniatúr pomocou timthumb.php, musíte tento súbor určite aktualizovať na najnovšiu verziu, pretože staršie verzie majú známu zraniteľnosť.
Skontrolujte povolenia pre priečinky a súbory
Všetky súbory musia mať 644 povolení, 755 priečinkov s výnimkou .htaccess - 444 povolení a nahrávať priečinky - 777 povolení.
Zmeniť používateľské meno správcu
Najrýchlejšou možnosťou je ísť do phpadminu a tam v databáze vykonať tento dotaz:
UPDATE wp_users SET user_login = ‘Vaše nové prihlasovacie údaje’ WHERE user_login = ‘admin’;
Alebo môžete jednoducho vytvoriť nového používateľa pomocou administračného panela blogu, priradiť mu všetky články a starého správcu odstrániť..
Zmeňte všetky heslá na zložitejšie
Banálne poradenstvo, ale heslá by mali byť zložité a pozostávať z čísel a písmen rôznych registrov. Nezabudnite tiež, že po boji proti vírusom musíte akýmkoľvek spôsobom zmeniť všetky heslá (blog admin, hosting admin, ftp, sql databáza), a tiež to má zmysel meniť tajné kľúče v súbore wp-config.php..
Chráňte súbory .htaccess a wp-config.php pred prístupom pre všetkých
Pridajte do svojho .htaccess v koreňovom adresári blogu tento kód:
Objednávka odmietnuť, povoliť
popierať zo všetkých
zakázať, zakázať
popierať zo všetkých
Chráňte priečinok obsahujúci wp pomocou .htaccess
Vytvorte normálny textový súbor, zavolajte ho .htaccess a po pridaní kódu do súboru skopírujte do priečinka wp-include:
Zakázať, odmietnuť
Odmietnuť zo všetkých
Povoliť od všetkých
Chráňte priečinok wp-admin pomocou .htaccess a .htpasswd
Vytvorte normálny textový súbor, zavolajte ho .htaccess a po pridaní kódu do súboru skopírujte do priečinka wp-admin:
AuthUserFile /home/public/.htpasswd
AuthType Basic
AuthName “obmedzený”
Príkaz Zakázať, Povoliť
Odmietnuť zo všetkých
Vyžadovať platného používateľa
Spokojnosť všetkých
Kde, «/home/public/.htpasswd» Je úplná cesta k súboru .htpasswd. Je vhodné, aby sa tento súbor nachádzal nad adresárom vo vašom blogu.
Súbor .htpasswd obsahuje heslo pre prístup do zóny wp-admin v šifrovanej podobe. Najjednoduchší spôsob vytvorenia tohto súboru je obvyklé zadanie používateľského mena a hesla. Najlepšie je neopakovať a uviesť údaje, ktoré sa líšia od existujúcich účtov.
Pri tejto metóde existuje iba jeden problém. Neuplatňuje sa, ak máte blog pre viacerých používateľov, pretože heslo bude potrebné od všetkých používateľov..
Zmeniť predponu databázy
Zmeňte predponu svojej databázy SQL zo štandardu «wp_» na niektorých «wpsdjflk647_» Bolo to možné na úplnom začiatku vytvorenia blogu. Teraz to však nie je problém. Urobil som z neho doplnok, o ktorom sa bude hovoriť nižšie. Aj keď by ste mohli ísť do phpadminu, nahradiť tam všetky názvy tabuliek a potom zmeniť predponu v súbore wp-config.php
Nainštalujte doplnok Belavir
Nainštalujte doplnok Belavir, ktorý bude sledovať zmeny vo všetkých php súboroch vo vašom blogu. Samotný doplnok nemonitoruje nič, ale prehľadávanie sa spustí, keď prejdete na panel administrácie blogu na stránke Konzola, kde skutočne zobrazuje zmeny. Nemá žiadne nastavenia.
Nainštalujte doplnok bezpečnostného skenovania WP
Nainštalujte doplnok WP Security Scan, pomocou ktorého môžete robiť niektoré veci, najmä:
zmeniť predponu databázy -
- skontrolovať oprávnenie na priečinky a súbory
skryť verziu WordPress
- pripojte antivírusový program na blog a skontrolujte ho
Nainštalujte lepší doplnok zabezpečenia WP
Nainštalujte doplnok Better WP Security, ktorý je ešte potrebnejší ako predchádzajúce dva. Zoznam jeho funkcií je veľmi rozsiahly, uvediem časť:
- umožňuje zmeniť predponu databázy
- odstraňuje nepotrebné informácie z kódu blogu podľa typu verzie wordpressu
- monitoruje zmeny vo všetkých súboroch
- zakáže IP používateľom, ktorí zadajú v prehliadači po názve svojho blogu podivné adresy a dostanú chybu 404
- zakazuje výber hesla pre panel správcov, zákaz ip
- mení štandardné prihlasovacie adresy správcu, vynikajúcu ochranu pred útokmi hrubou silou
- a oveľa viac.
Monitorovanie zmien na ftp
Nainštalujte do svojho počítača ftpinfo program, ktorý vám umožní pripojiť sa k vášmu ftp serveru a monitorovať zmeny vo všetkých súboroch účtu z hľadiska ich vzhľadu / odstránenia / zmeny. Veľmi užitočná vec počas vírusových útokov. Môžete monitorovať nielen všetky súbory, ale tiež vytvárať masky pre súbory a priečinky.
Zálohovanie databáz a súborov raz za pár dní
Veľmi užitočná vec môže byť vhodná na boj proti vírusom. Pôvodné súbory budú vždy po ruke a bude možné vrátiť sa, ak nie je možné vyčistiť lokalitu od vírusov. Používam doplnok BackWPup. Má veľa funkcií vrátane kopírovania údajov do Dropboxu - praktickej služby, ktorá poskytuje 2 GB voľného miesta na internete a synchronizáciu s počítačom.
Toto sú tipy na ochranu blogu WordPress, ktorý som použil na náš blog. Ak máte nejaké otázky alebo doplnky (možno sa dá urobiť aj niečo iné), napíšte do komentárov 🙂
