Jump to content
Sign in to follow this  
GladWeb

Для тех у кого Wordpress

Recommended Posts

Мини-совет от меня тем, кто использует в качестве движка сайта Wordpress.

 

Отключите функцию XML-RPC на своем сайте. Пользы от нее никакой, а вот вреда очень много. Зачастую именно данную фишку используют для взлома и атаки сайтов на Wordpress.

 

Отключение:

 

1) В functions.php вашей темы вставляем следующее:

 

  1. add_filter('xmlrpc_enabled', '__return_false');

2) В файле header.php удаляем тег:

<link rel=»pingback» href=»http://сайт.ru/xmlrpc.php»>

 

3) В файл .htaccess вашего сайта вставляем следующее:

 

<Files xmlrpc.php>
order deny,allow
deny from all
</Files>

 

Радуемся, одной дыркой меньше  ^_^ 

 

P.S. скопировал основную часть со своей статьи на блоге. Если кому-то интересна расширенная часть, обращайтесь в личку за ссылкой. Здесь не указываю дабы не сочли за рекламу ресурса.

Share this post


Link to post
Share on other sites

Мини-совет от меня тем, кто использует в качестве движка сайта Wordpress.

 

Отключите функцию XML-RPC на своем сайте. Пользы от нее никакой, а вот вреда очень много. Зачастую именно данную фишку используют для взлома и атаки сайтов на Wordpress.

 

Отключение:

 

1) В functions.php вашей темы вставляем следующее:

 

  1. add_filter('xmlrpc_enabled', '__return_false');

2) В файле header.php удаляем тег:

<link rel=»pingback» href=»http://сайт.ru/xmlrpc.php»>

 

3) В файл .htaccess вашего сайта вставляем следующее:

 

<Files xmlrpc.php>

order deny,allow

deny from all

</Files>

 

Радуемся, одной дыркой меньше  ^_^ 

 

P.S. скопировал основную часть со своей статьи на блоге. Если кому-то интересна расширенная часть, обращайтесь в личку за ссылкой. Здесь не указываю дабы не сочли за рекламу ресурса.

Благодарю)

Share this post


Link to post
Share on other sites

Сколько не ставил ВП, потом все сайты в шеллах были и хтаксесы поменяны и следовательно санкции от ПС... не знаю почему но с ВП не везет, ну оченьььь много там дыр

плагины качал с офф сайта... незнаю в чем проблема, возможно в криворукости моей, НО я бы не советывал ставить ВП... но опять же это моё строгое ИМХО

Share this post


Link to post
Share on other sites

Уязвимость с XML-RPC в последних 2-3 новых версия ВП убрана, так что беспокоиться не стоит.

Разумеется, если вебмастеру не нужен XML-RPC и он вообще не знает что это и для чего, то можно и отключить по совету.

Share this post


Link to post
Share on other sites

Уязвимость с XML-RPC в последних 2-3 новых версия ВП убрана, так что беспокоиться не стоит.

Разумеется, если вебмастеру не нужен XML-RPC и он вообще не знает что это и для чего, то можно и отключить по совету.

 

Был готов к такому ответу. В полной версии (на блоге) я упоминал это. По официальным данным уязвимость была якобы убрана в новых версиях, однако я не зря употребил слово Якобы. Проблема как была, так и осталась, только изменились методы взлома. К сожалению сам с этим столкнулся, хотя у меня wordpress последней версии и на борту плагин для защиты сайта.

Share this post


Link to post
Share on other sites

Сколько не ставил ВП, потом все сайты в шеллах были и хтаксесы поменяны и следовательно санкции от ПС... не знаю почему но с ВП не везет, ну оченьььь много там дыр

плагины качал с офф сайта... незнаю в чем проблема, возможно в криворукости моей, НО я бы не советывал ставить ВП... но опять же это моё строгое ИМХО

 

Для этого есть firewall на будущее и все работает отлично, если же найдется таки дубовый школьник, который все таки захочет поковырять сайт, то есть функция отсылки сообщения на почту о изменении структуры файлов... удачи

Share this post


Link to post
Share on other sites

Мини-совет от меня тем, кто использует в качестве движка сайта Wordpress.

 

Отключите функцию XML-RPC на своем сайте. Пользы от нее никакой, а вот вреда очень много. Зачастую именно данную фишку используют для взлома и атаки сайтов на Wordpress.

 

Отключение:

 

1) В functions.php вашей темы вставляем следующее:

 

  1. add_filter('xmlrpc_enabled', '__return_false');

2) В файле header.php удаляем тег:

<link rel=»pingback» href=»http://сайт.ru/xmlrpc.php»>

 

3) В файл .htaccess вашего сайта вставляем следующее:

 

<Files xmlrpc.php>

order deny,allow

deny from all

</Files>

 

Радуемся, одной дыркой меньше  ^_^ 

 

P.S. скопировал основную часть со своей статьи на блоге. Если кому-то интересна расширенная часть, обращайтесь в личку за ссылкой. Здесь не указываю дабы не сочли за рекламу ресурса.

 

ни разу не видел, чтобы через эту дырку заходили... а вообще, как писал выше пользуйтесь фаерволом и не морочьте дырками себе голову и другим...

Share this post


Link to post
Share on other sites

 

 


ни разу не видел, чтобы через эту дырку заходили... а вообще, как писал выше пользуйтесь фаерволом и не морочьте дырками себе голову и другим...

 

То что вы не видели, не значит что этого нет. Либо просто опыта у вас маловато. Фаерволом тоже пользоваться нужно уметь и 100% защиты он не дает, как в моем случае. 

Share this post


Link to post
Share on other sites

Сколько не ставил ВП, потом все сайты в шеллах были и хтаксесы поменяны и следовательно санкции от ПС... не знаю почему но с ВП не везет, ну оченьььь много там дыр

плагины качал с офф сайта... незнаю в чем проблема, возможно в криворукости моей, НО я бы не советывал ставить ВП... но опять же это моё строгое ИМХО

Пользуюсь WP много лет, ни разу не было на моих сайтах шеллов и вирусов (тьфу-тьфу). Необходимо просто поставить несколько важных плагинов для защиты и подпилить несколько файлов. Конечно, неубиваемых CMS нет, но WP не хуже других, просто очень популярный, поэтому и атакуемый.

Share this post


Link to post
Share on other sites

у меня старый и посещаемый сайт на вп.

Мне он пришел ещё версией 2.8.

Сайт использовал  кем-то написанную тему и кучу плагинов.

Когда сайт пришел в мои руки я сделал следующее:

1) написание этой же темы с 0, что мне это дало? А дало не мало:

  • я полностью знаю что там к чему и как построено
  • Убраны все ненужные функции, а это снижение нагрузки и ускорение работы сайта

2) Отключены и удалены все ненужные плагины

3) Вместо нужных написаны мной аналоги, более узконаправленные. Спросите что мне это дало? а дало это ровно то же что и с переписыванием темы.

4) Обновил WP, удалил все файлы кроме папки WP-content и залил из дистрибьютива заново, это повышает безопасность. В ходе анализа нашел шелл в одном из файлов папки wp-admin, предположительно оставленный старым админом.

5) анализ вп-контент на наличие шелов

6) анализ вк контент на наличие ненужных файлов(ещё в процессе, никак руки не доходят)

 

И про взломы не слышал ничего!

Share this post


Link to post
Share on other sites

На буле все проще. Есть спец сайт вб суппорт где с каждой новой дыркой найденной на офф сайте появляется инфа как закрыть и людям без лицензии, на WP таких сайтов нету чтоле?

Share this post


Link to post
Share on other sites

На буле все проще. Есть спец сайт вб суппорт где с каждой новой дыркой найденной на офф сайте появляется инфа как закрыть и людям без лицензии, на WP таких сайтов нету чтоле?

На WP есть огромное сообщество (все пользователи) которые и помогают друг-другу.

Share this post


Link to post
Share on other sites

То что вы не видели, не значит что этого нет. Либо просто опыта у вас маловато. Фаерволом тоже пользоваться нужно уметь и 100% защиты он не дает, как в моем случае. 

 

естественно, я тут на форуме не строчу ежедневно)))) что за люди... редиски, терпения вам гуру)))) 

Share this post


Link to post
Share on other sites

естественно, я тут на форуме не строчу ежедневно)))) что за люди... редиски, терпения вам гуру)))) 

Терпения то хватает, но как говорится "Какой привет - такой ответ". 

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Sign in to follow this  

  • Recently Browsing   0 members

    No registered users viewing this page.

×
×
  • Create New...