Sign in to follow this  
Followers 0
GladWeb

Для тех у кого Wordpress

22 posts in this topic

Мини-совет от меня тем, кто использует в качестве движка сайта Wordpress.

 

Отключите функцию XML-RPC на своем сайте. Пользы от нее никакой, а вот вреда очень много. Зачастую именно данную фишку используют для взлома и атаки сайтов на Wordpress.

 

Отключение:

 

1) В functions.php вашей темы вставляем следующее:

 

  1. add_filter('xmlrpc_enabled', '__return_false');

2) В файле header.php удаляем тег:

<link rel=»pingback» href=»http://сайт.ru/xmlrpc.php»>

 

3) В файл .htaccess вашего сайта вставляем следующее:

 

<Files xmlrpc.php>
order deny,allow
deny from all
</Files>

 

Радуемся, одной дыркой меньше  ^_^ 

 

P.S. скопировал основную часть со своей статьи на блоге. Если кому-то интересна расширенная часть, обращайтесь в личку за ссылкой. Здесь не указываю дабы не сочли за рекламу ресурса.

Share this post


Link to post
Share on other sites

Мини-совет от меня тем, кто использует в качестве движка сайта Wordpress.

 

Отключите функцию XML-RPC на своем сайте. Пользы от нее никакой, а вот вреда очень много. Зачастую именно данную фишку используют для взлома и атаки сайтов на Wordpress.

 

Отключение:

 

1) В functions.php вашей темы вставляем следующее:

 

  1. add_filter('xmlrpc_enabled', '__return_false');

2) В файле header.php удаляем тег:

<link rel=»pingback» href=»http://сайт.ru/xmlrpc.php»>

 

3) В файл .htaccess вашего сайта вставляем следующее:

 

<Files xmlrpc.php>

order deny,allow

deny from all

</Files>

 

Радуемся, одной дыркой меньше  ^_^ 

 

P.S. скопировал основную часть со своей статьи на блоге. Если кому-то интересна расширенная часть, обращайтесь в личку за ссылкой. Здесь не указываю дабы не сочли за рекламу ресурса.

Благодарю)

Share this post


Link to post
Share on other sites

У меня на всех WP в header.php такая строка...

<link rel="pingback" href="<?php bloginfo('pingback_url'); ?>" />

Share this post


Link to post
Share on other sites

У меня на всех WP в header.php такая строка...

<link rel="pingback" href="<?php bloginfo('pingback_url'); ?>" />

Как раз ее и нужно убрать

malahovnet likes this

Share this post


Link to post
Share on other sites

Спасибо, полезно. 

Как раз WP недавно выбрал.  :)

Share this post


Link to post
Share on other sites

Сколько не ставил ВП, потом все сайты в шеллах были и хтаксесы поменяны и следовательно санкции от ПС... не знаю почему но с ВП не везет, ну оченьььь много там дыр

плагины качал с офф сайта... незнаю в чем проблема, возможно в криворукости моей, НО я бы не советывал ставить ВП... но опять же это моё строгое ИМХО

Share this post


Link to post
Share on other sites

Уязвимость с XML-RPC в последних 2-3 новых версия ВП убрана, так что беспокоиться не стоит.

Разумеется, если вебмастеру не нужен XML-RPC и он вообще не знает что это и для чего, то можно и отключить по совету.

Share this post


Link to post
Share on other sites

Уязвимость с XML-RPC в последних 2-3 новых версия ВП убрана, так что беспокоиться не стоит.

Разумеется, если вебмастеру не нужен XML-RPC и он вообще не знает что это и для чего, то можно и отключить по совету.

 

Был готов к такому ответу. В полной версии (на блоге) я упоминал это. По официальным данным уязвимость была якобы убрана в новых версиях, однако я не зря употребил слово Якобы. Проблема как была, так и осталась, только изменились методы взлома. К сожалению сам с этим столкнулся, хотя у меня wordpress последней версии и на борту плагин для защиты сайта.

Share this post


Link to post
Share on other sites

Сколько не ставил ВП, потом все сайты в шеллах были и хтаксесы поменяны и следовательно санкции от ПС... не знаю почему но с ВП не везет, ну оченьььь много там дыр

плагины качал с офф сайта... незнаю в чем проблема, возможно в криворукости моей, НО я бы не советывал ставить ВП... но опять же это моё строгое ИМХО

 

Для этого есть firewall на будущее и все работает отлично, если же найдется таки дубовый школьник, который все таки захочет поковырять сайт, то есть функция отсылки сообщения на почту о изменении структуры файлов... удачи

Share this post


Link to post
Share on other sites

Мини-совет от меня тем, кто использует в качестве движка сайта Wordpress.

 

Отключите функцию XML-RPC на своем сайте. Пользы от нее никакой, а вот вреда очень много. Зачастую именно данную фишку используют для взлома и атаки сайтов на Wordpress.

 

Отключение:

 

1) В functions.php вашей темы вставляем следующее:

 

  1. add_filter('xmlrpc_enabled', '__return_false');

2) В файле header.php удаляем тег:

<link rel=»pingback» href=»http://сайт.ru/xmlrpc.php»>

 

3) В файл .htaccess вашего сайта вставляем следующее:

 

<Files xmlrpc.php>

order deny,allow

deny from all

</Files>

 

Радуемся, одной дыркой меньше  ^_^ 

 

P.S. скопировал основную часть со своей статьи на блоге. Если кому-то интересна расширенная часть, обращайтесь в личку за ссылкой. Здесь не указываю дабы не сочли за рекламу ресурса.

 

ни разу не видел, чтобы через эту дырку заходили... а вообще, как писал выше пользуйтесь фаерволом и не морочьте дырками себе голову и другим...

Share this post


Link to post
Share on other sites

 

 


ни разу не видел, чтобы через эту дырку заходили... а вообще, как писал выше пользуйтесь фаерволом и не морочьте дырками себе голову и другим...

 

То что вы не видели, не значит что этого нет. Либо просто опыта у вас маловато. Фаерволом тоже пользоваться нужно уметь и 100% защиты он не дает, как в моем случае. 

Share this post


Link to post
Share on other sites

Так же, полезно будет - стандартные комментарии отключить.

Share this post


Link to post
Share on other sites

Так же, полезно будет - стандартные комментарии отключить.

В чем польза? 

Share this post


Link to post
Share on other sites

Сколько не ставил ВП, потом все сайты в шеллах были и хтаксесы поменяны и следовательно санкции от ПС... не знаю почему но с ВП не везет, ну оченьььь много там дыр

плагины качал с офф сайта... незнаю в чем проблема, возможно в криворукости моей, НО я бы не советывал ставить ВП... но опять же это моё строгое ИМХО

Пользуюсь WP много лет, ни разу не было на моих сайтах шеллов и вирусов (тьфу-тьфу). Необходимо просто поставить несколько важных плагинов для защиты и подпилить несколько файлов. Конечно, неубиваемых CMS нет, но WP не хуже других, просто очень популярный, поэтому и атакуемый.

Whitecrechet likes this

Share this post


Link to post
Share on other sites

у меня старый и посещаемый сайт на вп.

Мне он пришел ещё версией 2.8.

Сайт использовал  кем-то написанную тему и кучу плагинов.

Когда сайт пришел в мои руки я сделал следующее:

1) написание этой же темы с 0, что мне это дало? А дало не мало:

  • я полностью знаю что там к чему и как построено
  • Убраны все ненужные функции, а это снижение нагрузки и ускорение работы сайта

2) Отключены и удалены все ненужные плагины

3) Вместо нужных написаны мной аналоги, более узконаправленные. Спросите что мне это дало? а дало это ровно то же что и с переписыванием темы.

4) Обновил WP, удалил все файлы кроме папки WP-content и залил из дистрибьютива заново, это повышает безопасность. В ходе анализа нашел шелл в одном из файлов папки wp-admin, предположительно оставленный старым админом.

5) анализ вп-контент на наличие шелов

6) анализ вк контент на наличие ненужных файлов(ещё в процессе, никак руки не доходят)

 

И про взломы не слышал ничего!

Share this post


Link to post
Share on other sites

На буле все проще. Есть спец сайт вб суппорт где с каждой новой дыркой найденной на офф сайте появляется инфа как закрыть и людям без лицензии, на WP таких сайтов нету чтоле?

Share this post


Link to post
Share on other sites

На буле все проще. Есть спец сайт вб суппорт где с каждой новой дыркой найденной на офф сайте появляется инфа как закрыть и людям без лицензии, на WP таких сайтов нету чтоле?

На WP есть огромное сообщество (все пользователи) которые и помогают друг-другу.

Share this post


Link to post
Share on other sites

То что вы не видели, не значит что этого нет. Либо просто опыта у вас маловато. Фаерволом тоже пользоваться нужно уметь и 100% защиты он не дает, как в моем случае. 

 

естественно, я тут на форуме не строчу ежедневно)))) что за люди... редиски, терпения вам гуру)))) 

Share this post


Link to post
Share on other sites

естественно, я тут на форуме не строчу ежедневно)))) что за люди... редиски, терпения вам гуру)))) 

Терпения то хватает, но как говорится "Какой привет - такой ответ". 

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!


Register a new account

Sign in

Already have an account? Sign in here.


Sign In Now
Sign in to follow this  
Followers 0

  • Recently Browsing   0 members

    No registered users viewing this page.