Jump to content

Для тех у кого Wordpress

GladWeb
 Share Followers 0

Recommended Posts

  • VIP
GladWeb

GladWeb 1433

Posted
  • VIP
Posted

Мини-совет от меня тем, кто использует в качестве движка сайта Wordpress.

 

Отключите функцию XML-RPC на своем сайте. Пользы от нее никакой, а вот вреда очень много. Зачастую именно данную фишку используют для взлома и атаки сайтов на Wordpress.

 

Отключение:

 

1) В functions.php вашей темы вставляем следующее:

 

  1. add_filter('xmlrpc_enabled', '__return_false');

2) В файле header.php удаляем тег:

<link rel=»pingback» href=»http://сайт.ru/xmlrpc.php»>

 

3) В файл .htaccess вашего сайта вставляем следующее:

 

<Files xmlrpc.php>
order deny,allow
deny from all
</Files>

 

Радуемся, одной дыркой меньше  ^_^ 

 

P.S. скопировал основную часть со своей статьи на блоге. Если кому-то интересна расширенная часть, обращайтесь в личку за ссылкой. Здесь не указываю дабы не сочли за рекламу ресурса.

Link to post
Share on other sites
MisterX

MisterX 323

Posted
Posted

Мини-совет от меня тем, кто использует в качестве движка сайта Wordpress.

 

Отключите функцию XML-RPC на своем сайте. Пользы от нее никакой, а вот вреда очень много. Зачастую именно данную фишку используют для взлома и атаки сайтов на Wordpress.

 

Отключение:

 

1) В functions.php вашей темы вставляем следующее:

 

  1. add_filter('xmlrpc_enabled', '__return_false');

2) В файле header.php удаляем тег:

<link rel=»pingback» href=»http://сайт.ru/xmlrpc.php»>

 

3) В файл .htaccess вашего сайта вставляем следующее:

 

<Files xmlrpc.php>

order deny,allow

deny from all

</Files>

 

Радуемся, одной дыркой меньше  ^_^ 

 

P.S. скопировал основную часть со своей статьи на блоге. Если кому-то интересна расширенная часть, обращайтесь в личку за ссылкой. Здесь не указываю дабы не сочли за рекламу ресурса.

Благодарю)

Link to post
Share on other sites
GUEVARA

GUEVARA 469

Posted
Posted

Сколько не ставил ВП, потом все сайты в шеллах были и хтаксесы поменяны и следовательно санкции от ПС... не знаю почему но с ВП не везет, ну оченьььь много там дыр

плагины качал с офф сайта... незнаю в чем проблема, возможно в криворукости моей, НО я бы не советывал ставить ВП... но опять же это моё строгое ИМХО

Link to post
Share on other sites
  • Модератор
files

files 2844

Posted
  • Модератор
Posted

Уязвимость с XML-RPC в последних 2-3 новых версия ВП убрана, так что беспокоиться не стоит.

Разумеется, если вебмастеру не нужен XML-RPC и он вообще не знает что это и для чего, то можно и отключить по совету.

Link to post
Share on other sites
  • VIP
GladWeb

GladWeb 1433

Posted
  • Author
  • VIP
Posted

Уязвимость с XML-RPC в последних 2-3 новых версия ВП убрана, так что беспокоиться не стоит.

Разумеется, если вебмастеру не нужен XML-RPC и он вообще не знает что это и для чего, то можно и отключить по совету.

 

Был готов к такому ответу. В полной версии (на блоге) я упоминал это. По официальным данным уязвимость была якобы убрана в новых версиях, однако я не зря употребил слово Якобы. Проблема как была, так и осталась, только изменились методы взлома. К сожалению сам с этим столкнулся, хотя у меня wordpress последней версии и на борту плагин для защиты сайта.

Link to post
Share on other sites
Whitecrechet

Whitecrechet 16

Posted
Posted

Сколько не ставил ВП, потом все сайты в шеллах были и хтаксесы поменяны и следовательно санкции от ПС... не знаю почему но с ВП не везет, ну оченьььь много там дыр

плагины качал с офф сайта... незнаю в чем проблема, возможно в криворукости моей, НО я бы не советывал ставить ВП... но опять же это моё строгое ИМХО

 

Для этого есть firewall на будущее и все работает отлично, если же найдется таки дубовый школьник, который все таки захочет поковырять сайт, то есть функция отсылки сообщения на почту о изменении структуры файлов... удачи

Link to post
Share on other sites
Whitecrechet

Whitecrechet 16

Posted
Posted

Мини-совет от меня тем, кто использует в качестве движка сайта Wordpress.

 

Отключите функцию XML-RPC на своем сайте. Пользы от нее никакой, а вот вреда очень много. Зачастую именно данную фишку используют для взлома и атаки сайтов на Wordpress.

 

Отключение:

 

1) В functions.php вашей темы вставляем следующее:

 

  1. add_filter('xmlrpc_enabled', '__return_false');

2) В файле header.php удаляем тег:

<link rel=»pingback» href=»http://сайт.ru/xmlrpc.php»>

 

3) В файл .htaccess вашего сайта вставляем следующее:

 

<Files xmlrpc.php>

order deny,allow

deny from all

</Files>

 

Радуемся, одной дыркой меньше  ^_^ 

 

P.S. скопировал основную часть со своей статьи на блоге. Если кому-то интересна расширенная часть, обращайтесь в личку за ссылкой. Здесь не указываю дабы не сочли за рекламу ресурса.

 

ни разу не видел, чтобы через эту дырку заходили... а вообще, как писал выше пользуйтесь фаерволом и не морочьте дырками себе голову и другим...

Link to post
Share on other sites
  • VIP
GladWeb

GladWeb 1433

Posted
  • Author
  • VIP
Posted

 

 


ни разу не видел, чтобы через эту дырку заходили... а вообще, как писал выше пользуйтесь фаерволом и не морочьте дырками себе голову и другим...

 

То что вы не видели, не значит что этого нет. Либо просто опыта у вас маловато. Фаерволом тоже пользоваться нужно уметь и 100% защиты он не дает, как в моем случае. 

Link to post
Share on other sites
  • VIP
vituson

vituson 675

Posted
  • VIP
Posted

Сколько не ставил ВП, потом все сайты в шеллах были и хтаксесы поменяны и следовательно санкции от ПС... не знаю почему но с ВП не везет, ну оченьььь много там дыр

плагины качал с офф сайта... незнаю в чем проблема, возможно в криворукости моей, НО я бы не советывал ставить ВП... но опять же это моё строгое ИМХО

Пользуюсь WP много лет, ни разу не было на моих сайтах шеллов и вирусов (тьфу-тьфу). Необходимо просто поставить несколько важных плагинов для защиты и подпилить несколько файлов. Конечно, неубиваемых CMS нет, но WP не хуже других, просто очень популярный, поэтому и атакуемый.

Link to post
Share on other sites
cema93

cema93 50

Posted
Posted

у меня старый и посещаемый сайт на вп.

Мне он пришел ещё версией 2.8.

Сайт использовал  кем-то написанную тему и кучу плагинов.

Когда сайт пришел в мои руки я сделал следующее:

1) написание этой же темы с 0, что мне это дало? А дало не мало:

  • я полностью знаю что там к чему и как построено
  • Убраны все ненужные функции, а это снижение нагрузки и ускорение работы сайта

2) Отключены и удалены все ненужные плагины

3) Вместо нужных написаны мной аналоги, более узконаправленные. Спросите что мне это дало? а дало это ровно то же что и с переписыванием темы.

4) Обновил WP, удалил все файлы кроме папки WP-content и залил из дистрибьютива заново, это повышает безопасность. В ходе анализа нашел шелл в одном из файлов папки wp-admin, предположительно оставленный старым админом.

5) анализ вп-контент на наличие шелов

6) анализ вк контент на наличие ненужных файлов(ещё в процессе, никак руки не доходят)

 

И про взломы не слышал ничего!

Link to post
Share on other sites
raynar

raynar 94

Posted
Posted

На буле все проще. Есть спец сайт вб суппорт где с каждой новой дыркой найденной на офф сайте появляется инфа как закрыть и людям без лицензии, на WP таких сайтов нету чтоле?

Link to post
Share on other sites
  • VIP
GladWeb

GladWeb 1433

Posted
  • Author
  • VIP
Posted

На буле все проще. Есть спец сайт вб суппорт где с каждой новой дыркой найденной на офф сайте появляется инфа как закрыть и людям без лицензии, на WP таких сайтов нету чтоле?

На WP есть огромное сообщество (все пользователи) которые и помогают друг-другу.

Link to post
Share on other sites
  • 3 weeks later...
Whitecrechet

Whitecrechet 16

Posted
Posted

То что вы не видели, не значит что этого нет. Либо просто опыта у вас маловато. Фаерволом тоже пользоваться нужно уметь и 100% защиты он не дает, как в моем случае. 

 

естественно, я тут на форуме не строчу ежедневно)))) что за люди... редиски, терпения вам гуру)))) 

Link to post
Share on other sites
  • VIP
GladWeb

GladWeb 1433

Posted
  • Author
  • VIP
Posted

естественно, я тут на форуме не строчу ежедневно)))) что за люди... редиски, терпения вам гуру)))) 

Терпения то хватает, но как говорится "Какой привет - такой ответ". 

Link to post
Share on other sites

Please sign in to comment

You will be able to leave a comment after signing in



Sign In Now
 Share
Followers 0
Go to topic listing

  • Recently Browsing   0 members

    No registered users viewing this page.

×
×
  • Create New...