Sign in to follow this  
Followers 0
alecscaps

Вирус на вордпресс

22 posts in this topic

Привет всем ...

 

У меня проблема, блог на вордпрес и в хедер прописывается вот такая гадость

http://ssmaker.ru/d7d5bfb7/

убираю, права 444 ставлю и через сутки снова и так три раза уже - как быть

 

еще выдает антивир в панели вот это http://ssmaker.ru/6496caca/

и ошибку http://ssmaker.ru/010d99b8/- вкл/выкл не помогает ..

 

подскажите как искоренить задрал реально

и только каспер видит виры почему то

 

Share this post


Link to post
Share on other sites

Привет всем ...

 

У меня проблема, блог на вордпрес и в хедер прописывается вот такая гадость

http://ssmaker.ru/d7d5bfb7/

убираю, права 444 ставлю и через сутки снова и так три раза уже - как быть

 

еще выдает антивир в панели вот это http://ssmaker.ru/6496caca/

и ошибку http://ssmaker.ru/010d99b8/- вкл/выкл не помогает ..

 

подскажите как искоренить задрал реально

и только каспер видит виры почему то

 

Закрой доступ к блогу через .htpasswd

 

1. Установи на хостинг скрипт отсюда: https://revisium.com/ai/.

2. Проверь блог.

3. Удали всякую гадость, которую найдешь.

4. Если найденная гадость обфусцирована вместе с куском нормального "белого" кода, скачай оригинальные дистрибутивы WP и зараженных плагинов и вручную замени файлы.

5. Проверь права доступа на фалы конфигурации и ключевые файлы.

 

Если через некоторое время блог снова будет заражён - смени хостера. Я, в своё время, только так смог избавиться от вирусов.

Share this post


Link to post
Share on other sites

Хм...

А что говорит хостер?

Активность на ip обязана быть заблокирована.

Вордпрес... ну понятно. 

Share this post


Link to post
Share on other sites

ТУпо - "айболит" по инструкции.

Пустой сайт, дело скунд

 

А вот... при желании ли? smile3.gif Вы ж сами "заразили сайт".

И теперь... понятно.

Share this post


Link to post
Share on other sites

Закрой доступ к блогу через .htpasswd

 

1. Установи на хостинг скрипт отсюда: https://revisium.com/ai/.

2. Проверь блог.

3. Удали всякую гадость, которую найдешь.

4. Если найденная гадость обфусцирована вместе с куском нормального "белого" кода, скачай оригинальные дистрибутивы WP и зараженных плагинов и вручную замени файлы.

5. Проверь права доступа на фалы конфигурации и ключевые файлы.

 

Если через некоторое время блог снова будет заражён - смени хостера. Я, в своё время, только так смог избавиться от вирусов.

htpasswd - как именно закрыть ..............серв нормальный и мне почистили хостеры его ...плагины думаю дырявые да и защиты неставал екогда

Share this post


Link to post
Share on other sites

Хм...

А что говорит хостер?

Активность на ip обязана быть заблокирована.

Вордпрес... ну понятно. 

что тебе понятно поясни раз понятливый

Share this post


Link to post
Share on other sites

что тебе понятно поясни раз понятливый

у хостеров все ок и  давно с ними

Share this post


Link to post
Share on other sites

ТУпо - "айболит" по инструкции.

Пустой сайт, дело скунд

 

А вот... при желании ли? smile3.gif Вы ж сами "заразили сайт".

И теперь... понятно.

мда все умные тока языком

Share this post


Link to post
Share on other sites

Че ты ноешь, как мантра. Сча забанят же. А может просто - проспитесь? Оно... правильней

 

Всё можно. А - зачем?

Share this post


Link to post
Share on other sites

Привет всем ...

 

У меня проблема, блог на вордпрес и в хедер прописывается вот такая гадость

http://ssmaker.ru/d7d5bfb7/

убираю, права 444 ставлю и через сутки снова и так три раза уже - как быть

 

еще выдает антивир в панели вот это http://ssmaker.ru/6496caca/

и ошибку http://ssmaker.ru/010d99b8/- вкл/выкл не помогает ..

 

подскажите как искоренить задрал реально

и только каспер видит виры почему то

Смени хостинг и проблема отпадет.

Share this post


Link to post
Share on other sites

Это вордпресс и такие проблемы могут возникать постоянно....Я как только создал два блога на вордпресс - уже через два дня их пытались взломать через htacess благо хороший хостер сам установил защиту, я бы сам фиг понял и думаю на сайте тоже появились бы вирусы в лучшем случае....

Share this post


Link to post
Share on other sites

Удалить вызов гиф картинки из скриншота 2. Троянский там. Но это может быть не единственная проблема, шаблон то из паблика

Share this post


Link to post
Share on other sites

Стоит (таки) методично подойти к вопросу.

Откуда зараза?

 

/ скачана вместе с дистрибутивом

/ взлом

/ занесена по ftp с компа пользователя

 

Прежде чем "лечить", стоит - поставить диагноз. Если вируса идут с компа администратора, то... мартышкин труд. Бесполезный.

 

Заметка: как только даю клиенту ftp пароли - всё. Сайту - хана. Вирус на сайте сразу, как он поставит Тотал Коммандер и - зайдет.  "взлом, взлом, взлом..." Это - не лечится. Если клиент слушает - хорошо, пролечим. Нет - пусть идет в лес и удавится.

 

Не стоит лезть руками в работающий механизм. Оторвет руки. И - разрушит механику.

Share this post


Link to post
Share on other sites

Это вордпресс и такие проблемы могут возникать постоянно....Я как только создал два блога на вордпресс - уже через два дня их пытались взломать через htacess благо хороший хостер сам установил защиту, я бы сам фиг понял и думаю на сайте тоже появились бы вирусы в лучшем случае....

При чем тут именно вордпресс? Блоги ломают всегда, брутят wp-login. Смена адреса админки спасает. Темы скачанные с левых сайтов - это опасно, темы скачанные с офф сайта иногда так же имеют дыры из-за вызова изображений, что дает возможность подгружать на хост левые изображения. Все темы надо перебирать руками если решили заниматься вордпрессом. Имею более 500 доров на вордпрессе и ни каких проблем не имею, на серверах справляется fail2ban с брутом чего угодно, на хостах смена адреса админки и закрытие через htaccess. Так что не надо винить вордпресс, больше надо винить неопытность в каком-либо движке, все имеют косяки, идеальных цмс не существует

campusboy and xeek like this

Share this post


Link to post
Share on other sites

Тут 100% неопытность вебмастера - публичный шаблон, непроверенный перед установкой. Проблему указал, ТС, видимо, вообще не понимает что дальше делать

Share this post


Link to post
Share on other sites

Привет всем ...

 

У меня проблема, блог на вордпрес и в хедер прописывается вот такая гадость

http://ssmaker.ru/d7d5bfb7/

убираю, права 444 ставлю и через сутки снова и так три раза уже - как быть

 

еще выдает антивир в панели вот это http://ssmaker.ru/6496caca/

и ошибку http://ssmaker.ru/010d99b8/- вкл/выкл не помогает ..

 

подскажите как искоренить задрал реально

и только каспер видит виры почему то

- модераторы закройте тему - надоело слушать умников которые толком ниче сказать не могут а тупо свои рефки суют и лижбы ляпнуть................спс друзья сам справлюсь

Share this post


Link to post
Share on other sites

- модераторы закройте тему - надоело слушать умников которые толком ниче сказать не могут а тупо свои рефки суют и лижбы ляпнуть................спс друзья сам справлюсь

 

Сделай аудит безопасности сайта.

 

Прочти статью.

 

 

В настоящее время резко возросло количество успешных атак на сайты, построенные на основе cms WordPress. Связано это с огромной популярностью системы, разнообразием плагинов и тем оформления, а также хорошо проработанными и автоматизированными механизмами сканирования.

В этой статьей будут представлены практические рекомендации по установке и использованию данной платформы. Выполнение этих советов сведет к минимум возможность успешной атаки на ваш блог.

Этап установки Измените префикс таблиц

На этапе установки блога укажите произвольный префикс для названия таблиц в базе данных. Это затруднит эксплуатацию такой популярной уязвимости как sql инъекция. В этом случае злоумышленнику сначала потребуется узнать полное название таблиц, чтобы извлечь или внести изменения в данные.

change-prefix-300x179.png

Изменение префикса таблиц

Если на этапе установке вы не изменили префикс, это можно сделать пойзже с использованием специальных плагинов (iThemes SecurityWordfence Security). Вручную этого делать не стоит — велика вероятность ошибки. Перед изменением названий рекомендуется сделать полный бэкап базы.

  Измените имя администратора

При установке создается учетная запись администратора с именем «admin». Рекомендуется его изменить на что-то вроде «superuser_12″. Этим вы затрудните злоумышленникам автоматизированный подбор пароля, так как по умолчанию подбор пароля производится для пользователя с именем «admin».

change-user-300x101.png

Изменить пользователя admin

Этап эксплуатации   Обновляйте ядро, установленные плагины и темы

Наверно это самый важный пункт не только для WordPress, но и для всех информационных систем. Использование последней версии ядра и дополнительных компонентов существенно снижает вероятность эксплуатации уязвимостей. Это во многом объясняется экономическими причинами. Так называемые 0day уязвимости стоят немалых денег и получают широкое распространение после выхода исправлений безопасности от разработчиков.

check-updates-300x133.png

Проверка обновлений wordpress

Рекомендуется не реже одного раза в неделю (лучше чаще) заходить на панель проверки обновлений («Консоль» -> «Обновления»). С помощью дополнительных плагинов (Updater) можно настроить автоматическую проверку обновлений с уведомлением на почту.

Желательно перед применением обновлений делать резервную копию блога. Воспользуйтесь для этого бесплатным плагином UpdraftPlus с настройкой на удаленное хранение резервных копий.

  Защитите панель входа для зарегистрированных пользователей

Панель входа является тем барьером, который разделяет публичную часть сайта и административную. Для cms WordPress панель располагается по адресу example.com/wp-config.php.

Достаточно часто форма авторизации подвергается так называемому брутфорсу (автоматизированному подбору паролей). Противостоять этому вы сможете, если добавите защиту от ботов — Капчу. Можете воспользоваться для этого любым из плагинов, например Captcha.

captcha-login-249x300.png

Защита панель входа

Вот так будет выглядеть ваша форма авторизации.

Если на блоге запрещена свободная регистрация пользователей, тогда рекомендуется переместить панель входа по другому адресу (с example.com/wp-config.php на что-тоexample.com/cont_1243). Это можно сделать с помощью плагина iThemes Security. Изменив адрес, автоматические средства подбора паролей попадут в затруднение.

ithemes-default-dashboard-300x36.png

Перенос панели входа на другой адрес

Так же рекомендуется настроить количество попыток ввода неправильного пароля. После чего ip-адрес, откуда производились попытки, будет на время заблокирован. Используйте тот же плагин.

ithemes-brutforce-protection-300x102.png

Защита от брутфорса

  Защитите конфигурационный файл wp-config.php

Файл wp-config.php расположен в корневой директории WordPress (http://example.com/wp-config.php). В нем содержатся параметры подключения к базе данных, ключи шифрования, префикс таблиц и дополнительные настройки.

Если файл будет доступен для злоумышленников, то у них появляется реальный шанс получить полный доступ до вашего сайта. На очень многих хостингах установлена панель управления базой данных — phpMyAdmin.  Использование параметров из файла wp-config.php позволит пройти авторизацию в этой панели.

Основная причина доступности файла — небезопасная конфигурация. Достаточно  часто администратор сайта создает резервные копии вида:

  • wp-config.php.old
  • wp-config.php1
  • wp-config.php.test
  • wp-config.php~

Последний пример в списке создается автоматически некоторыми текстовыми редакторами. При использовании таких имен файлы перестают обрабатываться как php-скрипты. При прямом запросе (например, http://example.com/wp-config.php.old)пользователь получит все содержимое.

Не храните резервные копии конфигурационного файла в пределах вашего сайта. Для дополнительной защиты поместите следующий код в файл .htaccess, расположенный в корне сайта:

<Files ~ «^wp\-config\.»>

    Order allow,deny

    Deny from all

    Satisfy all

</Files>

Так вы заблокируете доступ к этому файлу (и всем его копиям) средствами веб-сервера.

  Скройте версию WordPress

Чем больше технической информации о вашем блоге на WordPress доступно для любого пользователя, тем выше шансы на проведение успешных атак. Одним из основных параметров является версия блога.

Номер версии можно посмотреть в двух местах:

  • в файле readme.html (расположен в корне сайта)
  • в html-коде любой страницы блога (meta-теге generator)
readme-html-300x129.png

Версия WordPress в файле readme.html

С файлом все просто — удалите его.

Для того, чтобы убрать meta-тег generator рекомендуется воспользоваться одним из плагинов в категории «Безопасность» (например, iThemes Security).

ithemes-%D1%81%D0%BA%D1%80%D1%8B%D0%B2%D

iThemes — скрываем версию

  Используйте плагины безопасности

Для настройки параметров безопасности блога, поиска признаков вредоносного кода, выполнения внутреннего сканирования рекомендуется установить и настроить специализированные плагины. Признанными лидерами среди них являются iThemes Security и Wordfence Security, которые уже не раз упоминались.

iThemes Security — сниппет плагина

Wordfence Security — сниппет плагина

Количество настраиваемых параметров и выполняемых функций очень велико. Вот только некоторые из них:

  • контроль изменения файлов
  • защита от брутфорса
  • сокрытие версии WordPress
  • отключение xmlrpc
  • отключение встроенного редактора
  • защита системных файлов
  • отключение листинга директорий
  • фильтр http-методов
  • блокировка подозрительных запросов

Скоро на нашем блоге будут опубликованы специальные статьи, посвященные этим плагинам.

  Блокируйте небезопасные запросы

Обновление ядра и плагинов — это важный момент. Но что делать, если описание уязвимости или эксплойт для нее попали в сеть, а исправления разработчики еще не выпустили?

Совсем недавно (30 октября) это произошло с плагинами «CP Multi View Event Calendar» и «Rich Counter«. Рекомендовалось их немедленно удалить, пока не будет выпущено обновление.

В таких ситуациях может помочь использование Web Application Firewall. Специальное программное обеспечение, которое пропускает запросы пользователей через собственные фильтры и, если обнаруживает признаки атак, блокирует их. Очень известный продукт — ModSecurity (модуль для веб-сервера Apache).

Пользователям WordPress повезло: функции фильтрации запросов встроены в уже рассмотренные плагины (iThemes Security и Wordfence Security). Необходимо указать максимальное количество и тип символов в запросах пользователей.

IThemes: блокировка длинных URL

iThemes: блокирование подозрительных URL

Такой подход защитит ваш блог от следующих уязвимостей:

  • sql-инъекции
  • xss
  • lfi и rfi инклюдинг

  Используйте механизмы для активного аудита (пентестинг)

Полезно посмотреть на свой блог глазами злоумышленника. В большинстве случаев для автоматизированного тестирования сайтов на WordPress используется бесплатный сканер WPScan.

start-300x104.png

Стартовая страница сканера

Мы рекомендуем ознакомиться с этим инструментом и периодически запускать для проверки своего блога. Его основные возможности:

  • определение версии WordPress и наличие в ней известных уязвимостей
  • поиск установленных плагинов и тем, а также найденные в них уязвимости
  • проверка использования простых паролей
%D1%80%D0%B0%D1%81%D1%88%D0%B8%D1%80%D0%

Определение версии WordPress

Из минусов стоит отметить, что проблематично установить сканер на Windows-платформу.

Важно именно периодическое использование сканера. Сегодня он ничего не покажет, а через неделю продемонстрирует критическую уязвимость в используемом плагине из обновленной базы.

Вы можете воспользоваться нашим сервисом weBBez. Просто добавьте ваш сайт для постоянного контроля безопасности и получайте еженедельные pdf-отчеты на почту.

 

Не используйте FTP

Использование ftp-протокола — это потенциальная угроза безопасности. Причина — передача пароля и данных в «открытом» виде (нешифрованный протокол).

Для администрирования сайта рекомендуем использовать SSH или SFTP. В этом случае весь сеанс связи зашифрован. Большинство хостингов предоставляют такую возможность.

Стоит отметить, что в последних релизах WordPress для установки плагинов и тем cms требует наличие ftp-подключения. Для отключения этой функции добавьте в конец файлаwp-config.php следующую строку:

define(‘FS_METHOD’, ‘direct’);

 

Вывод. Для защиты вашего сайта на основе cms WordPress рекомендуется выполнить следующие шаги и рекомендации:

  • измените префикс таблиц
  • измените имя администратора
  • обновляйте ядро, установленные плагины и темы
  • защитите панель входа для зарегистрированных пользователей
  • защитите конфигурационный файл wp-config.php
  • скройте версию WordPress
  • используйте плагины безопасности
  • блокируйте небезопасные запросы
  • используйте механизмы для активного аудита
  • не используйте FTP

Ссылки на упомянутые программные продукты:

campusboy likes this

Share this post


Link to post
Share on other sites

 

Сделай аудит безопасности сайта.

 

Прочти статью.

 

 

В настоящее время резко возросло количество успешных атак на сайты, построенные на основе cms WordPress. Связано это с огромной популярностью системы, разнообразием плагинов и тем оформления, а также хорошо проработанными и автоматизированными механизмами сканирования.

В этой статьей будут представлены практические рекомендации по установке и использованию данной платформы. Выполнение этих советов сведет к минимум возможность успешной атаки на ваш блог.

Этап установки Измените префикс таблиц

На этапе установки блога укажите произвольный префикс для названия таблиц в базе данных. Это затруднит эксплуатацию такой популярной уязвимости как sql инъекция. В этом случае злоумышленнику сначала потребуется узнать полное название таблиц, чтобы извлечь или внести изменения в данные.

change-prefix-300x179.png

Изменение префикса таблиц

Если на этапе установке вы не изменили префикс, это можно сделать пойзже с использованием специальных плагинов (iThemes SecurityWordfence Security). Вручную этого делать не стоит — велика вероятность ошибки. Перед изменением названий рекомендуется сделать полный бэкап базы.

  Измените имя администратора

При установке создается учетная запись администратора с именем «admin». Рекомендуется его изменить на что-то вроде «superuser_12″. Этим вы затрудните злоумышленникам автоматизированный подбор пароля, так как по умолчанию подбор пароля производится для пользователя с именем «admin».

change-user-300x101.png

Изменить пользователя admin

Этап эксплуатации   Обновляйте ядро, установленные плагины и темы

Наверно это самый важный пункт не только для WordPress, но и для всех информационных систем. Использование последней версии ядра и дополнительных компонентов существенно снижает вероятность эксплуатации уязвимостей. Это во многом объясняется экономическими причинами. Так называемые 0day уязвимости стоят немалых денег и получают широкое распространение после выхода исправлений безопасности от разработчиков.

check-updates-300x133.png

Проверка обновлений wordpress

Рекомендуется не реже одного раза в неделю (лучше чаще) заходить на панель проверки обновлений («Консоль» -> «Обновления»). С помощью дополнительных плагинов (Updater) можно настроить автоматическую проверку обновлений с уведомлением на почту.

Желательно перед применением обновлений делать резервную копию блога. Воспользуйтесь для этого бесплатным плагином UpdraftPlus с настройкой на удаленное хранение резервных копий.

  Защитите панель входа для зарегистрированных пользователей

Панель входа является тем барьером, который разделяет публичную часть сайта и административную. Для cms WordPress панель располагается по адресу example.com/wp-config.php.

Достаточно часто форма авторизации подвергается так называемому брутфорсу (автоматизированному подбору паролей). Противостоять этому вы сможете, если добавите защиту от ботов — Капчу. Можете воспользоваться для этого любым из плагинов, например Captcha.

captcha-login-249x300.png

Защита панель входа

Вот так будет выглядеть ваша форма авторизации.

Если на блоге запрещена свободная регистрация пользователей, тогда рекомендуется переместить панель входа по другому адресу (с example.com/wp-config.php на что-тоexample.com/cont_1243). Это можно сделать с помощью плагина iThemes Security. Изменив адрес, автоматические средства подбора паролей попадут в затруднение.

ithemes-default-dashboard-300x36.png

Перенос панели входа на другой адрес

Так же рекомендуется настроить количество попыток ввода неправильного пароля. После чего ip-адрес, откуда производились попытки, будет на время заблокирован. Используйте тот же плагин.

ithemes-brutforce-protection-300x102.png

Защита от брутфорса

  Защитите конфигурационный файл wp-config.php

Файл wp-config.php расположен в корневой директории WordPress (http://example.com/wp-config.php). В нем содержатся параметры подключения к базе данных, ключи шифрования, префикс таблиц и дополнительные настройки.

Если файл будет доступен для злоумышленников, то у них появляется реальный шанс получить полный доступ до вашего сайта. На очень многих хостингах установлена панель управления базой данных — phpMyAdmin.  Использование параметров из файла wp-config.php позволит пройти авторизацию в этой панели.

Основная причина доступности файла — небезопасная конфигурация. Достаточно  часто администратор сайта создает резервные копии вида:

  • wp-config.php.old
  • wp-config.php1
  • wp-config.php.test
  • wp-config.php~

Последний пример в списке создается автоматически некоторыми текстовыми редакторами. При использовании таких имен файлы перестают обрабатываться как php-скрипты. При прямом запросе (например, http://example.com/wp-config.php.old)пользователь получит все содержимое.

Не храните резервные копии конфигурационного файла в пределах вашего сайта. Для дополнительной защиты поместите следующий код в файл .htaccess, расположенный в корне сайта:

<Files ~ «^wp\-config\.»>

    Order allow,deny

    Deny from all

    Satisfy all

</Files>

Так вы заблокируете доступ к этому файлу (и всем его копиям) средствами веб-сервера.

  Скройте версию WordPress

Чем больше технической информации о вашем блоге на WordPress доступно для любого пользователя, тем выше шансы на проведение успешных атак. Одним из основных параметров является версия блога.

Номер версии можно посмотреть в двух местах:

  • в файле readme.html (расположен в корне сайта)
  • в html-коде любой страницы блога (meta-теге generator)
readme-html-300x129.png

Версия WordPress в файле readme.html

С файлом все просто — удалите его.

Для того, чтобы убрать meta-тег generator рекомендуется воспользоваться одним из плагинов в категории «Безопасность» (например, iThemes Security).

ithemes-%D1%81%D0%BA%D1%80%D1%8B%D0%B2%D

iThemes — скрываем версию

  Используйте плагины безопасности

Для настройки параметров безопасности блога, поиска признаков вредоносного кода, выполнения внутреннего сканирования рекомендуется установить и настроить специализированные плагины. Признанными лидерами среди них являются iThemes Security и Wordfence Security, которые уже не раз упоминались.

iThemes Security — сниппет плагина

Wordfence Security — сниппет плагина

Количество настраиваемых параметров и выполняемых функций очень велико. Вот только некоторые из них:

  • контроль изменения файлов
  • защита от брутфорса
  • сокрытие версии WordPress
  • отключение xmlrpc
  • отключение встроенного редактора
  • защита системных файлов
  • отключение листинга директорий
  • фильтр http-методов
  • блокировка подозрительных запросов

Скоро на нашем блоге будут опубликованы специальные статьи, посвященные этим плагинам.

  Блокируйте небезопасные запросы

Обновление ядра и плагинов — это важный момент. Но что делать, если описание уязвимости или эксплойт для нее попали в сеть, а исправления разработчики еще не выпустили?

Совсем недавно (30 октября) это произошло с плагинами «CP Multi View Event Calendar» и «Rich Counter«. Рекомендовалось их немедленно удалить, пока не будет выпущено обновление.

В таких ситуациях может помочь использование Web Application Firewall. Специальное программное обеспечение, которое пропускает запросы пользователей через собственные фильтры и, если обнаруживает признаки атак, блокирует их. Очень известный продукт — ModSecurity (модуль для веб-сервера Apache).

Пользователям WordPress повезло: функции фильтрации запросов встроены в уже рассмотренные плагины (iThemes Security и Wordfence Security). Необходимо указать максимальное количество и тип символов в запросах пользователей.

IThemes: блокировка длинных URL

iThemes: блокирование подозрительных URL

Такой подход защитит ваш блог от следующих уязвимостей:

  • sql-инъекции
  • xss
  • lfi и rfi инклюдинг

  Используйте механизмы для активного аудита (пентестинг)

Полезно посмотреть на свой блог глазами злоумышленника. В большинстве случаев для автоматизированного тестирования сайтов на WordPress используется бесплатный сканер WPScan.

start-300x104.png

Стартовая страница сканера

Мы рекомендуем ознакомиться с этим инструментом и периодически запускать для проверки своего блога. Его основные возможности:

  • определение версии WordPress и наличие в ней известных уязвимостей
  • поиск установленных плагинов и тем, а также найденные в них уязвимости
  • проверка использования простых паролей
%D1%80%D0%B0%D1%81%D1%88%D0%B8%D1%80%D0%

Определение версии WordPress

Из минусов стоит отметить, что проблематично установить сканер на Windows-платформу.

Важно именно периодическое использование сканера. Сегодня он ничего не покажет, а через неделю продемонстрирует критическую уязвимость в используемом плагине из обновленной базы.

Вы можете воспользоваться нашим сервисом weBBez. Просто добавьте ваш сайт для постоянного контроля безопасности и получайте еженедельные pdf-отчеты на почту.

 

Не используйте FTP

Использование ftp-протокола — это потенциальная угроза безопасности. Причина — передача пароля и данных в «открытом» виде (нешифрованный протокол).

Для администрирования сайта рекомендуем использовать SSH или SFTP. В этом случае весь сеанс связи зашифрован. Большинство хостингов предоставляют такую возможность.

Стоит отметить, что в последних релизах WordPress для установки плагинов и тем cms требует наличие ftp-подключения. Для отключения этой функции добавьте в конец файлаwp-config.php следующую строку:

define(‘FS_METHOD’, ‘direct’);

 

Вывод. Для защиты вашего сайта на основе cms WordPress рекомендуется выполнить следующие шаги и рекомендации:

  • измените префикс таблиц
  • измените имя администратора
  • обновляйте ядро, установленные плагины и темы
  • защитите панель входа для зарегистрированных пользователей
  • защитите конфигурационный файл wp-config.php
  • скройте версию WordPress
  • используйте плагины безопасности
  • блокируйте небезопасные запросы
  • используйте механизмы для активного аудита
  • не используйте FTP

Ссылки на упомянутые программные продукты:

 

спасибо большое

Share this post


Link to post
Share on other sites

спасибо большое

у меня в хедере код прописывается и ничего не спасает - права 444 ставлю и всеравно...

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!


Register a new account

Sign in

Already have an account? Sign in here.


Sign In Now
Sign in to follow this  
Followers 0

  • Recently Browsing   0 members

    No registered users viewing this page.