Nem elég a következményeket eltávolítani, meg kell értenie a bekövetkezés okait. Már írtam csapkodtak bennünket és állítólag mindannyian döntöttünk. Egy hét múlva a történet megismétlődött, egy újabb jquery szkript, valamint a .htaccess fájlok megváltoztak. És a .htaccess fájlban átirányítások voltak csak bal oldali webhelyre, csak mobil eszközökre és táblagépekre, és ezért ezt nem azonnal észrevettem.
Néhány napon belül sikerült megtalálni a támadó által módosított összes fájlt, valamint azokat, amelyeket kifejezetten a behatoláshoz (shell) hoztam létre. És ismételten, köszönhetően a házigazdának a segítségüket. Ezután úgy döntöttem, hogy megteszem az interneten leírt összes intézkedést.
A cikk tartalma
- 1 A kis blogger összes GYIK részét:
- 2 WordPress Blog Biztonsági tippek
- 2.1 Frissítse a számláló és a modul modulokat
- 2.2 Frissítse az összes bővítményt és a WordPress-t a legújabb verziókra, és távolítsa el a fel nem használt elemeket
- 2.3 Frissítse timthumb.php
- 2.4 Ellenőrizze a mappák és fájlok engedélyét
- 2.5 Admin felhasználónév módosítása
- 2.6 Minden jelszót változtasson összetettebbé
- 2.7 Védje a .htaccess és a wp-config.php fájlokat mindenki számára a hozzáféréstől
- 2.8 Védje a wp-incl mappát .htaccess fájllal
- 2.9 Védje a wp-admin mappát .htaccess és .htpasswd fájlokkal
- 2.10 Az adatbázis előtagjának megváltoztatása
- 2.11 Telepítse a Belavir beépülő modult
- 2.12 Telepítse a WP Security Scan bővítményt
- 2.13 Telepítse a Better WP Security plugin-t
- 2.14 Az ftp változásainak figyelése
- 2.15 Biztonsági másolat készítése az adatbázisokból és fájlokból néhány naponta
A kis blogger összes GYIK részét:
Számos bloggal kapcsolatos cikket írtam. Nem állítják, hogy teljes kézikönyv lenne, de a kezdők is hasznosak lehetnek. Elolvashatja, ha érdekli.
0. Ajánlom egy tanfolyamot «Hogyan válhat milliomos bloggerré és pénzt kereshet?»
1. Hogyan indítsunk el egy blogot?
2. Hogyan reklámozhatok egy blogot - a tevékenységeim listája
3. Hogyan lehet pénzt keresni egy blogban és utazni?
4. Példa a blogunkban történő keresésre - Finstrip 2013, finstrip 2012, Finstrip 2011
5. Olvasói és keresési forgalom, és miért nem térnek vissza az olvasók
6. Egy kis igazság az utazási blogokról
7. WordPress Blog védelmi tippek
WordPress Blog Biztonsági tippek
A lista valószínűleg nem lesz teljes, és amint azt mondják, kinek szüksége van rá, mindenesetre eltörik. De legalább szinte minden blogger megteheti ezeket a műveleteket annak érdekében, hogy legalább egy kicsit megvédje magát..
Frissítse a számláló és a modul modulokat
Ellenőrizze az összes számláló és közösségi kütyü kódját a blogján és a webhelyen, hol szerezte őket.
Talán frissítették őket. Észrevettem, hogy a Facebook gyakran megváltoztatja a kütyü kódját, ez nyilvánvalóan növeli a biztonságot.
Frissítse az összes bővítményt és a WordPress-t a legújabb verziókra, és távolítsa el a fel nem használt elemeket
Itt a megjegyzések feleslegesek, mindenki tudja, hogyan kell csinálni. A biztonsági réseket általában a bővítmények és témák tartalmazzák, ezért legalább az összes fel nem használt elemet eltávolítani kell.
Frissítse timthumb.php
Ha a témája a miniatűrök átméretezését használja a timthumb.php használatával, akkor feltétlenül frissítse ezt a fájlt a legújabb verzióra, mivel a régebbi verziók ismert biztonsági rése van.
Ellenőrizze a mappák és fájlok engedélyét
Az összes fájlnak 644 jogosultsággal, 755 mappával kell rendelkeznie, kivéve .htaccess - 444 engedély és feltöltési mappa - 777 engedély.
Admin felhasználónév módosítása
A leggyorsabb lehetőség a phpadmin belépés, és az adatbázisában hajtsa végre a következő lekérdezést:
UPDATE wp_users SET user_login = ‘Az új bejelentkezés’ WHERE user_login = ‘admin’;
Vagy egyszerűen létrehozhat új felhasználót a blog adminisztrációs paneljén, hozzárendelheti az összes cikket neki, és törölheti a régi adminisztrátori felhasználót..
Minden jelszót változtasson összetettebbé
Banális tanácsok, de a jelszavaknak összetetteknek kell lenniük, és a különféle nyilvántartások számaiból és betűiből állnak. Ne felejtse el azt sem, hogy a vírusok elleni küzdelem után minden jelszót meg kell változtatnia (blog admin, host admin, ftp, sql adatbázis), és érdemes megváltoztatni a wp-config.php fájl titkos kulcsait is..
Védje a .htaccess és a wp-config.php fájlokat mindenki számára a hozzáféréstől
Adja hozzá a .htaccess fájljához a blog gyökerébe ezt a kódot:
Rendelés tagadás, engedje meg
mindenki tagadja
rendelés engedélyezni, tagadni
mindenki tagadja
Védje a wp-incl mappát .htaccess fájllal
Hozzon létre egy egyszerű szöveges fájlt, hívja .htaccess-ként, és másolja át a wp-include mappába, miután hozzáadta a fájlt a fájlhoz:
Rendelje meg, tagadja
Mindenkit tagadni
Engedjen meg mindent
Védje a wp-admin mappát .htaccess és .htpasswd fájlokkal
Hozzon létre egy normál szöveges fájlt, hívja .htaccess-ként, és másolja át a wp-admin mappába, miután hozzáadta a fájlt a fájlhoz:
AuthUserFile /home/public/.htpasswd
AuthType Basic
authname “korlátozott”
Rendelje tagadást, engedélyezze
Mindenkit tagadni
Igényeljen érvényes felhasználót
Bármelyik kielégítheti
Ahol, «/home/public/.htpasswd» A .htpasswd fájl teljes elérési útja. Célszerű, hogy ez a fájl a blogja könyvtárai fölött legyen.
A .htpasswd fájl titkosított formában tartalmazza a wp-admin zónához való hozzáférés jelszavát. A fájl létrehozásának legegyszerűbb módja a felhasználónév és a jelszó megadása a szokásos módon. A legjobb, ha nem ismételje meg és jelölje meg a meglévő fiókoktól eltérő adatokat.
Csak egy kellemetlenség jelentkezik ezzel a módszerrel - ez nem alkalmazható, ha több felhasználó blogja van, mivel a jelszót minden felhasználó kérni fogja.
Az adatbázis előtagjának megváltoztatása
Változtassa meg az SQL adatbázis előtagot a szokásoshoz «wp_» néhányon «wpsdjflk647_» Lehetséges volt a blog létrehozásának kezdetén. De most ez nem jelent problémát. Csináltam egy plugint, amelyet az alábbiakban tárgyalunk. Bár bemehet a phpadminba, cserélje ki az összes táblanevet, majd módosítsa az előtagot a wp-config.php fájlban
Telepítse a Belavir beépülő modult
Telepítse a Belavir beépülő modult, amely nyomon követi a blog összes php fájljának változásait. Maga a beépülő modul semmit nem figyel, hanem elindítja a beolvasást, amikor a konzol oldalán a blog adminisztrációs paneljére lép, ahol a változások valóban megjelennek. Nincs beállítása.
Telepítse a WP Security Scan bővítményt
Telepítse a WP Security Scan bővítményt, amellyel néhány dolgot megtehet, különösen:
- az adatbázis előtagjának megváltoztatása
- ellenőrizze a mappák és fájlok engedélyét
- elrejteni a WordPress verzióját
- csatlakoztassa a víruskeresőt a bloghoz, és ellenőrizze
Telepítse a Better WP Security plugin-t
Telepítse a Better WP Security bővítményt, még ennél is többre van szüksége, mint az előző kettőnél. Jellemzőinek listája nagyon nagy, felsorolok egy részt:
- lehetővé teszi az adatbázis előtagjának megváltoztatását
- a WordPress verzió típusa szerint eltávolítja a felesleges információkat a blogkódból
- figyeli az összes fájl változását
- tiltja azoknak az ip-t, akik a blogja neve után furcsa címeket írnak a böngészőbe, 404-es hibát kapva
- tiltja a jelszó kiválasztását az admin panelen, ban ip
- Megváltoztatja az alapértelmezett admin bejelentkezési címeket, kiváló védelmet nyújt a brute-force támadásokkal szemben
- és még sok más.
Az ftp változásainak figyelése
Telepítse az ftpinfo programot a számítógépére, amely lehetővé teszi a csatlakozást az ftp szerverhez, és figyelemmel kísérheti az összes fiókfájl változásait megjelenésük / törlésük / változásuk szempontjából. Nagyon praktikus dolog a vírus támadások során. Nem csak az összes fájlt figyelheti, hanem maszkokat is létrehozhat a fájlok és mappák számára.
Biztonsági másolat készítése az adatbázisokból és fájlokból néhány naponta
Nagyon hasznos dolog, hasznos lehet a vírusok elleni küzdelemben. Az eredeti fájlok mindig kéznél vannak, és lehetősége van visszaváltásra, ha a webhelyet nem lehet megtisztítani a vírusoktól. A BackWPup bővítményt használom. Számos funkcióval rendelkezik, beleértve az adatok másolását a Dropboxba - ez egy kényelmes szolgáltatás, amely 2 GB szabad helyet biztosít az interneten és szinkronizálást a számítógéppel.
Ezek a tippek a WordPress blog védelmére, amelyeket alkalmaztam a blogunkon. Ha bármilyen kérdése vagy kiegészítése van (talán még valami megtehető), írj a megjegyzésekbe 🙂